[Eisfair] scp-Problem nach Base-Update auf 2.3.9

Olaf Jaehrling eisfair at ojaehrling.de
Mi Mär 4 19:11:04 CET 2015 

Hallo Jürgen,

Am 04.03.2015 um 14:33 schrieb Juergen Edner:
> Hallo Olaf,
> 

> 
> dies ist jetzt einmal ein klares Wort. Es geht also weniger um eine
> fehlende Funktionalität im Paket als um die Bequemlichkeit für Dich,
> der Du eine Anzahl 'n' von Servern zu pflegen hast.

Ja, und dazu stehe ich auch.

> 
> Da wir hier aber Fragen der Sicherheit diskutieren, möchte ich anmerken
> das ich eine direkte Anmeldung als root-User, vermutlich auch noch über
> das Internet, selbst bei Verwendung von Schlüsseln, für sehr bedenklich
> halte.
> Grundsätzlich sollte eine Anmeldung als nicht-root-User mit
> anschließendem su etc. erfolgen. Nur so kann man wirklich sicher
> stellen, dass ein Angreifer nicht direkt root-Zugriff erlangt wenn etwas
> schief läuft.
> Für nicht-root-User werden auch keine Dateien angepasst, sodass Du genau
> die gewünschte Funktionalität zur Verfügung stehen hast die Du
> benötigst.

Ja, grundsätzlich ........
Es gibt aber auch Fälle, wo man kein su eingeben kann. Sei es rsync oder z.B. scp.
Gerade wenn ich an rsync denke muss ich bei einem Backup userübergreifend arbeiten können.
Selbst der einfache 'plink' Befehl um einen Server herunter zu fahren, ohne sich einloggen zu müssen erfordert rootrechte. 

Der ssh-Zugang muss ja auch nicht immer vom Internet aus erreichbar sein. Wobei da eh wieder die Frage aufkommt, ob ein Fileserver ans Internet angebunden sein darf oder nicht.
Darf auf einem Fileserver auch ein webserver, ftpserver oder so was laufen?

Und genau da kommt der Admin/User ins Spiel. ER muss das für sich entscheiden. ER muss sich im klaren sein, was passieren kann. ER hat dafür die Verantwortung.
Der Paketentwickler darf den Admin/User nicht vorschreiben, war er mit seinem Server macht und was nicht.

Ansonsten schließe ich mich Marcus seiner Meinung an. Wenn du es so hart machen willst, dann musst die die key-file-Möglichkeit komplett aus dem setup herausnehmen. Dann, wäre das konsequent.
Allerdings darfst du dann auch keine vom User erstellten files ändern/anfassen/löschen.

Gruß

Olaf

> 
> Gruß Jürgen
>

Mehr Informationen über die Mailingliste Eisfair