Hallo,
nachdem ich mich jetzt in den letzten Tagen ausführlich mit dem Thema Server, Dienste und wie man das ganze sicher bekommt beschäftigt habe, stehe ich jetzt so ein bißchen vor dem Problem, wie teilt man das besten auf. Darum will ich einfach hier mal eine kleine Umfrage starten. Im moment sehe ich (zusammen mit TRex) drei Optionen
erst Dienst dann Benutzer
Jeder Dienst (z.B. /var/www/ für den Apache) bekommt ein Unterverzeichnis mit dem entsprechenden Benutzernamen, so das sich der Benutzer ggf. durch die Verzeichnisstruktur vom Server hangeln muss oder wie wir es angedacht haben der ssh-Zugang z.B. auf /home/$user verweist und der ftp zugang initial auf /var/www/$user
erst User, dann Dienst
ist eigentlich die genaue Umkehre von dem ersten man (ich) wirft/werfe alles in ein Verzeichnis z.B. das Home-Verzeichnis vom Benutzer und biege dann die Dienst entsprechend um das sie alles finden.
etwas anderes / Chaos / Anarchie
Vielleicht gibt es ja noch eine dritte / vierte / fünfte... Alternative die ich nicht kenne, die auch sinn macht.
Im moment denke ich ist es eigentlich nur eine Geschmacksfrage was man genau wählt und würde aus meinem persönlichen empfinden zu der Option "erst User dann Dienst" tendieren. Aber vielleicht gibt es ja triftige Gründe sich für eine andere Lösung zu entscheiden. Ich lasse mich da auf jeden Fall gerne eines besseres belehren und bin und auch gerne zu Diskussion bereit oder besser gesagt gerne dazu bereit etwas neues dazuzulernen.
Und nun bin ich auf eure Antworten gespannt.
Viele Grüsse
Dan
Strukturierung eines Servers mit mehreren Diensten
Strukturierung eines Servers mit mehreren Diensten
I love deadlines. I like the whooshing sound they make as they fly by - Douglas Adams
Re: Strukturierung eines Servers mit mehreren Diensten
Wieso soll eine User Zugriff außerhalb seines Home haben?
Was meinst du mit Dienste verbiegen? Für sowas gibt es zig Standardkonfigurationen.
Meiner einer sperrt die User in ihrem Home ein, also ssh wird nach /home/user/ chrootet, ftp auch,
und seine Domains liegen auch in seinem Home. Des Weiteren haben die /home/xxx Verzeichnisse
alle die Rechte 0700 und gehören dem User mit seiner Usergruppe.
Der einzige Dienst, welcher außerhalb arbeitet, ist Exim. Da liegendie Postfächer zentral an einer Stelle.
Was meinst du mit Dienste verbiegen? Für sowas gibt es zig Standardkonfigurationen.
Meiner einer sperrt die User in ihrem Home ein, also ssh wird nach /home/user/ chrootet, ftp auch,
und seine Domains liegen auch in seinem Home. Des Weiteren haben die /home/xxx Verzeichnisse
alle die Rechte 0700 und gehören dem User mit seiner Usergruppe.
Der einzige Dienst, welcher außerhalb arbeitet, ist Exim. Da liegendie Postfächer zentral an einer Stelle.
Re: Strukturierung eines Servers mit mehreren Diensten
Ein Freund hatte die Idee das ich die Zurodnung auf www-data:$user setze und dann sowohl die SGID und die SUID-Bits setze. Bei der Konfigurations läuft der Apache weiter mit dem Benutzer www-data:www-data...
Was mich persönlich halt an der Idee so ein bißchen stört das man dem Benutzer sagen müßte wo sein Home-verzeichnis und das Document-Root-Verzeichnis liegt was für Leute die wenig bis gar nichts mit Linux zutun hatten halt nicht ganz trivial ist
Was mich persönlich halt an der Idee so ein bißchen stört das man dem Benutzer sagen müßte wo sein Home-verzeichnis und das Document-Root-Verzeichnis liegt was für Leute die wenig bis gar nichts mit Linux zutun hatten halt nicht ganz trivial ist
I love deadlines. I like the whooshing sound they make as they fly by - Douglas Adams
Re: Strukturierung eines Servers mit mehreren Diensten
Nein, wie schon erwähnt hat ein FTP-Client einen "Pfad" zum eintragen, der wohl kein besonders großes Hindernis darstellen sollte.hawkeye78 hat geschrieben: Was mich persönlich halt an der Idee so ein bißchen stört das man dem Benutzer sagen müßte wo sein Home-verzeichnis und das Document-Root-Verzeichnis liegt was für Leute die wenig bis gar nichts mit Linux zutun hatten halt nicht ganz trivial ist
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
- McAldo
- Moderator
- Beiträge: 2069
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: Strukturierung eines Servers mit mehreren Diensten
Alle Dienste in ein chroot und den Rest des Systems nach Debian-Security-Richtlinie einrichten.
McAldo
McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
- AlterSack
- Beiträge: 47
- Registriert: 18.08.2007 09:16:38
- Lizenz eigener Beiträge: Artistic Lizenz
- Wohnort: vorhanden
Re: Strukturierung eines Servers mit mehreren Diensten
Ich nehme mal an, daß das sowas wie ein User-Web-/Mail-/FTP-/whatever-Space werden soll. Ich würd das auch so machen wie TBT geschrieben hat. Allerdings würde ich auch die Postfächer in des Users $HOME verfrachten (geht zB mit qmail problemlos, wahrscheinlich mit anderen Mailservern aber auch). Für jeden User wäre dann noch (falls Apache als Webserver) ein virtueller Server pro Domain vonnöten, um das schön auseinanderzuhalten.
Ich hab sowas vor ca. 10 Jahren genau so eingerichtet und verwaltet, und die Kundschaft war's zufrieden (ca. 100 zahlende Kunden mit Web, SMTP, POP3, FTP auf einer alten Sun Netra, bzw später auf HP-Servern).
Also erst die User, dann die Verzeichnisse für die Dienste in den Userverzeichnissen. Und wenn sie unbedingt mit ssh zugreifen müssen, dann schön drauf achten, daß sie eingesperrt bleiben in ihrem $HOME.
Ich hab sowas vor ca. 10 Jahren genau so eingerichtet und verwaltet, und die Kundschaft war's zufrieden (ca. 100 zahlende Kunden mit Web, SMTP, POP3, FTP auf einer alten Sun Netra, bzw später auf HP-Servern).
Also erst die User, dann die Verzeichnisse für die Dienste in den Userverzeichnissen. Und wenn sie unbedingt mit ssh zugreifen müssen, dann schön drauf achten, daß sie eingesperrt bleiben in ihrem $HOME.
Der Alte Sack.