[Eisfair] wwwrun kein ftp Login

[Nelson Matias]

Hallo Marcus,

Marcus Röckrath schrieb:
>>> Paketinstallationen sollen nicht interaktiv sein.
>>
>> Das muss so eine Funktionalität auch nicht.
> 
> Das war früher durchaus üblich, Dinge direkt bei der Installation abzufragen
> oder in die Konfiguration zu springen.
> 
> Das passt allerdings nicht zu dem schon eine Weile möglichen automatischem
> Update durch eisman, besonders bei einer Update/Installationskette.
> 
> Daher wurde das aus den Paketen entfernt.

Nicht aus allen! Ich sage mal kernel und ssh. Hier ist beim update immer
auch noch die Erinnerung da das System neu zu starten um den kernel zu
aktivieren bzw. eine neue ssh-Verbindung zu testen bevor ein Neustart
gemacht wird.
Andere Pakete melden Konfigurationsbedarf wenn neue Funktionen
hinzukommen oder alte wegfallen. Was hält euch davon ab auch beim
Apachen, wenn dieser selbst den systemuser nachzieht, eine Meldung über
die Notwendigkeit eines neuen Users um die alte Funktionalität
beizubehalten?

>> Baut diesen User in das 
>> nächste Apache-Paket ein. Der muss nach der Installation ja auch
>> konfiguriert werden. Dort kann dann auch ein Bereich für einen
>> wwwuploader gemacht werden. Hier kann der Administrator dann Usernamen
>> und Passwort vergeben. Der User wird angelegt und entsprechend dessen
>> home-Verzeichnis auf DOCROOT gesetzt.
> 
> Muss man schon drüber nachdenken, denn wenn der Name an dieser Stelle ffrei
> definierbar ist, würde eine Änderung des Usernamens dann zu einem neuen
> zusätzlichen User-Account führen, was auch nicht im Sinne des Anwenders
> wäre und die /etc/passwd mit aktiven aber nicht gewollten Zugängen zumüllt.

Er muss nicht frei wählbar sein. Bestimmt im Team einen Namen und legt
ihn somit fest. Er könnte theoretisch fest eingerichtet sein und hier
lediglich aktivierbar sein. So würde der Name von Anfang an reserviert.

Standard ist inaktiv, das bedeutet er hat kein Passwort und keine
login-shell.
Wenn er aktiv ist bekommt er eine shell und beim Schreiben der
Konfiguration wird das Passwort vom Administrator angefragt.
Einfache Lösung, die auch die Sicherheit nicht zu sehr kompromittieren
sollte.

> Ich habe über eine Kodierung nicht nachgedacht, aber es könnte sehr
> aufwändig sein, eine Prüfung einzubauen, die eine Namensänderung feststellt
> und dann den bisherigen User entfernt und den neuen anlegt.

Das wäre bei der eben beschriebenen Methode nicht notwendig.

> Im Prinzip wäre das manuell doch auch schnell erledigt:
> 
> Mittels useradd/add-user, genaue Syntax kann man ja hier mal posten, einen
> Benutzer anlegen.
> 
> Mit chmod die Rechte auf Docroot setzen.

Ja ist es. Aber es ist meiner Meinung nach nicht Eis-konform. Es gab
immer die Möglichkeit den Apachen mit dem user wwwrun zu bedienen. Wir
sehen die Problematik ein, die diesen user ungeeignet macht. Aber wenn
nun ein anderer Name verwendet wird kann diese Funktionalität
beibehalten werden. Es abschaltbar zu machen ist hier sogar ein
Sicherheitsgewinn.

>> Hinzu kann hier ja auch beim anlegen des DOCROOT die Methode von Thomas
>> angewendet werden (Rechte auf 2755).
> 
> Wobei mich das so nicht überzeugt, ich würde eher Docroot mit chown auf
> diesen User setzen.

Ja sehe ich eigentlich auch so. Und wie eben vorgeschlagen kann das bei
der Installation des Apachen schon passieren. Der user wird angelegt
ohne Passwort und ohne shell und das DOCROOT kann ihm gehören. Brauche
ich einen ftp-Zugang zum DOCROOT kann der user 'freigeschaltet' werden
und so in scripten etc. genutzt werden.

Und versierte Anwender nutzen sowieso einen eigenen Weg.

-- 

Gruß
Nelson