Strukturierung eines Servers mit mehreren Diensten

[hawkeye78]

Hallo,

nachdem ich mich jetzt in den letzten Tagen ausführlich mit dem Thema Server, Dienste und wie man das ganze sicher bekommt beschäftigt habe, stehe ich jetzt so ein bißchen vor dem Problem, wie teilt man das besten auf. Darum will ich einfach hier mal eine kleine Umfrage starten. Im moment sehe ich (zusammen mit TRex) drei Optionen
erst Dienst dann Benutzer
Jeder Dienst (z.B. /var/www/ für den Apache) bekommt ein Unterverzeichnis mit dem entsprechenden Benutzernamen, so das sich der Benutzer ggf. durch die Verzeichnisstruktur vom Server hangeln muss oder wie wir es angedacht haben der ssh-Zugang z.B. auf /home/$user verweist und der ftp zugang initial auf /var/www/$user

erst User, dann Dienst
ist eigentlich die genaue Umkehre von dem ersten man (ich) wirft/werfe alles in ein Verzeichnis z.B. das Home-Verzeichnis vom Benutzer und biege dann die Dienst entsprechend um das sie alles finden.

etwas anderes / Chaos / Anarchie
Vielleicht gibt es ja noch eine dritte / vierte / fünfte... Alternative die ich nicht kenne, die auch sinn macht.

Im moment denke ich ist es eigentlich nur eine Geschmacksfrage was man genau wählt und würde aus meinem persönlichen empfinden zu der Option "erst User dann Dienst" tendieren. Aber vielleicht gibt es ja triftige Gründe sich für eine andere Lösung zu entscheiden. Ich lasse mich da auf jeden Fall gerne eines besseres belehren und bin und auch gerne zu Diskussion bereit oder besser gesagt gerne dazu bereit etwas neues dazuzulernen.
Und nun bin ich auf eure Antworten gespannt.
Viele Grüsse
Dan

[TBT]

Wieso soll eine User Zugriff außerhalb seines Home haben?
Was meinst du mit Dienste verbiegen? Für sowas gibt es zig Standardkonfigurationen.

Meiner einer sperrt die User in ihrem Home ein, also ssh wird nach /home/user/ chrootet, ftp auch,
und seine Domains liegen auch in seinem Home. Des Weiteren haben die /home/xxx Verzeichnisse
alle die Rechte 0700 und gehören dem User mit seiner Usergruppe.

Der einzige Dienst, welcher außerhalb arbeitet, ist Exim. Da liegendie Postfächer zentral an einer Stelle.

[hawkeye78]

Ein Freund hatte die Idee das ich die Zurodnung auf www-data:$user setze und dann sowohl die SGID und die SUID-Bits setze. Bei der Konfigurations läuft der Apache weiter mit dem Benutzer www-data:www-data...
Was mich persönlich halt an der Idee so ein bißchen stört das man dem Benutzer sagen müßte wo sein Home-verzeichnis und das Document-Root-Verzeichnis liegt was für Leute die wenig bis gar nichts mit Linux zutun hatten halt nicht ganz trivial ist

[TRex]

Was mich persönlich halt an der Idee so ein bißchen stört das man dem Benutzer sagen müßte wo sein Home-verzeichnis und das Document-Root-Verzeichnis liegt was für Leute die wenig bis gar nichts mit Linux zutun hatten halt nicht ganz trivial ist

Nein, wie schon erwähnt hat ein FTP-Client einen "Pfad" zum eintragen, der wohl kein besonders großes Hindernis darstellen sollte.

[McAldo]

Alle Dienste in ein chroot und den Rest des Systems nach Debian-Security-Richtlinie einrichten.

McAldo

[AlterSack]

Ich nehme mal an, daß das sowas wie ein User-Web-/Mail-/FTP-/whatever-Space werden soll. Ich würd das auch so machen wie TBT geschrieben hat. Allerdings würde ich auch die Postfächer in des Users $HOME verfrachten (geht zB mit qmail problemlos, wahrscheinlich mit anderen Mailservern aber auch). Für jeden User wäre dann noch (falls Apache als Webserver) ein virtueller Server pro Domain vonnöten, um das schön auseinanderzuhalten.

Ich hab sowas vor ca. 10 Jahren genau so eingerichtet und verwaltet, und die Kundschaft war's zufrieden (ca. 100 zahlende Kunden mit Web, SMTP, POP3, FTP auf einer alten Sun Netra, bzw später auf HP-Servern).

Also erst die User, dann die Verzeichnisse für die Dienste in den Userverzeichnissen. Und wenn sie unbedingt mit ssh zugreifen müssen, dann schön drauf achten, daß sie eingesperrt bleiben in ihrem $HOME.