Jailkit frage

Dieses Thema im Forum "Allgemein" wurde erstellt von logifech, 3. Nov. 2011.

  1. logifech

    logifech Member

    Hallo Forum,

    ich habe mal eine Frage die Jailkit betrifft und zwar was genau ist Jailkit wozu wird es gebraucht und was für vor oder auch Nachteile hat man durch den einsatz von Jailkit?

    Gruß
    Ich
     
  2. nowayback

    nowayback Well-Known Member

    Moinsen,

    Quelle: Jailkit - chroot jail utilities

    "Jailkit is a set of utilities to limit user accounts to specific files using chroot() and or specific commands. Setting up a chroot shell, a shell limited to some specific command, or a daemon inside a chroot jail is a lot easier and can be automated using these utilities.

    Jailkit is known to be used in network security appliances from several leading IT security firms, internet servers from several large enterprise organizations, internet servers from internet service providers, as well as many smaller companies and private users that need to secure cvs, sftp, shell or daemon processes."

    Richtige Vor oder Nachteile sind da schwer zu benennen. Ich würde mal sagen das ein Vorteil ist, dass der User nur in "seiner" Umgebung arbeiten kann und da nicht rauskommt.... Das kann jedoch auch ein Nachteil sein ;) Ein Nachteil ist z.B. das du alle Bibliotheken die der User für seine Programme braucht auch mit in das geschützte Verzeichnis kopieren musst/lassen musst. etc.

    Wie gesagt, was für einige nen Vorteil ist, ist für andere nen Nachteil. Wenn du alleine am Server arbeitest macht jailkit meist weniger Sinn - is aber meine persönliche Meinung.

    Grüße
    nwb
     
  3. logifech

    logifech Member

    Ahhh, ok das klingt Super werd Ich mir mal genauer ansehen. Kann ich in ISPConfig3 auch fest legen, dass der Client z.B. nur shell script (.sh) ausführen kann oder so?
     
  4. Rafael.K

    Rafael.K New Member

    Hallo,

    ja kannst Du.

    Du gehst als admin in ISPCONFIG3 UI in "System" -> "Serverkonfiguration" -> "Jailkit"

    und passt dort die Direktiven wie gewünscht an.

    du kannst noch mehr erreichen, wenn du in die Datei /etc/jailkit/jk_init.ini reinschaust, und diese wunschgemäß anpasst.

    siehe http://www.howtoforge.de/forum/inst...-12/jailkit-und-php-cli-php-fatal-error-5020/

    Gruß

    Rafael.K
     
  5. logifech

    logifech Member

    Hey,
    also das klingt Super vielen dank erstmal.
    Aber eine kurze Verständnissfrage zu deinem Link und zwar da geht es ja um PHP-CLI das heißt wenn ich die .ini datei wie in dme link beschreiben einrichte und über ISPConfig einen SSH user anlege kann er in seiner SSH umgebung bspw. nur PHP-CLI Applicationen ausführen?

    M.F.G
    Ich
     
  6. Rafael.K

    Rafael.K New Member

    Jein,

    in dem Thread wurde Jailchroot (Knastumgebung) um PHP-CLI(Kommandozeilen-PHP) erweitert.

    Genau so wie erweitern geht natürlich einengen noch leichter,
    in dem man z.B. :

    in ISPCONFIG3 UI in "System" -> "Serverkonfiguration" -> "Jailkit"
    - alle "Jailkit chroot Anwendungsbereiche"-Direktiven bis auf "basicshell ssh"
    - alle "Jailkit chrooted Anwendungen"-Direktiven
    löscht.
    Und dann neue Webseiten mit Jail-Benutzern anlegt, weil ISPCONFIG3 die bestehende Jailkit-Umgebungen nicht ändern kann (also diese müssen zufuß angepasst werden).

    Das macht natürlich wenig Sinn, so geizig ssh-zugang zu beschränken, aber es ist ja auch nur ein Beispiel.

    Zurück zu jk_init.ini

    du kannst dir z.B sowas basteln:
    jk_init.ini
    Code:
    [meinPaket]
    comment = meine eigene Zusammensetzung für ISPCONFIG3 Kunden
    executables = /usr/bin/mySuperSoft, /usr/bin/mySuperEditor, /usr/share/myMegaProgi
    regularfiles = /etc/mySuperSoft/conf.ini
    directories = /usr/bin/mySuperSoft/abhaengigkeiten, /usr/schare/etwas
    includesections = java, perl, c, meinAnderesPaket
    
    und dann ISPCONFIG3 UI in "System" -> "Serverkonfiguration" -> "Jailkit" -> "Jailkit chroot Anwendungsbereiche" die Direktiven um meinPaket ergänzen.
    Somit ist man eigentlich uneingeschränkt mit Möglichkeiten der ISPCONFIG3 und Jailkit.

    Gruß
    Rafael.K
     
    Zuletzt bearbeitet: 3. Nov. 2011
  7. logifech

    logifech Member

    Ahh, alles klar das klingt Super, Danke :) Werd emich damit in eienr Testumgebung mal genauer befassen :)
     

Diese Seite empfehlen