Gestern habe ich meine Webpräsenz (also nur *.hütter.biz) auf meinen vServer portiert. Bis auf einige kleine Fehler sollte vorerst alles optimal funktionieren.
Bei der Konfiguration des Servers hab und werde ich noch einiges ändern. Das PHP-Modul eAccelerator habe ich bereits installiert und es funktioniert ziemlich gut. Dieses Modul speichert die kompillierten PHP-Dateien in einen Cache, sodass die Programme nicht bei jedem ausführen wiederum kompilliert werden müssen. Erst wenn sich das letzte Änderungsdatum des PHP-Programmes ändert, erkennt eAccelerator dies automatisch und kompilliert es neu. Ein Geschwindigkeitszuwachs konnte ich durchaus sofort bemerken.
Die Tatsache, dass ich keinen FTP-Server installieren wollte hat sich zudem gestern geändert, als mein lieber Freund den MD5-Hash meines Passworts knackte (NUR mySQL DB-Zugang). Dies konnte er so einfach machen, da er als “User” mit Shellzugriff in meine Konfigurationen sehen konnte. Hier ist der Punkt der mir nicht gefällt. Also will ich jeden User chrooten, also in sein Homeverzeichnis einsperren. Das Problem ist nur, dass Varianten wie OpenSSH-CHROOT zwar den User in sein Homeverzeichnis einsperren, aber das dieser trotzdem noch Möglichkeiten hat daraus auszubrechen. (z.B. per PHP)
Ich habe im Internet gesucht und gesucht, aber es gibt wohl keinen wirklichen Schutz dagegen. Mir bleibt wohl also nichts anderes übrig, als einen proFTPd zu installieren und den Usern den Shellzugriff wegzunehmen. (Varianten wie “only”-SCP und “only”-sFTP sehe ich auch als kritisch an, da besteht der Shellaccount ja weiterhin…)
Vielleicht fragt sich einer, warum knackt mein Freund mein Passwort? —> Er hat mich gefragt ob er es versuchen darf, ich habe es erlaubt und er hat es erfolgreich geschafft. (Naja ist ja auch nicht schwer, es gibt ja genug MD5-Hash Datenbanken im Internet… ich sag nur John the Ripper…)
Vielleicht werde ich das ganze auch durch getrennte Gruppen & Rechte lösen…mal sehen.
Wer Tipps hat kann mir diese gerne als Kommentar hinterlassen! =)