Re: CVS absichern
Am Freitag, den 23.03.2007, 10:47 +0100 schrieb Klaus Zerwes:
> Andreas Pakulat wrote:
> > On 23.03.07 00:42:52, Martin Grandrath wrote:
> >> Hallo Harald,
> >>
> >> On Thu, Mar 22, 2007 at 09:44:24PM +0100, Harald Krammer wrote:
> >>> Auch dem lokalen Rechner kann auch via CVSROOT=/var/lib/cvs aufs CVS
> >>> zugreifen - nun kommt es aber. Es gibt bei uns nun Leute, die auf die
> >>> Idee gekommen sind, dass man die .v-Files im CVS editieren kann und
> >>> meine Alarmglocken fingen zum Leuten an.
> >> Also bei meiner lokalen CVS-Installation haben die Dateien unter
> >> $CVSROOT die Rechte 444, können also nicht von lokalen Benutzern
> >> direkt bearbeitet werden.
> >
> > Stimmt allerdings, jetzt wo du es sagst :) Damit sollte sich das Problem
> > des Op eigentlich erledigt haben, oder?
>
> chmod existiert :-(
Man kann den CVS-Server samt SSH-Server in eine minimale CHROOT-Umgebung
packen. Das geht mit cvsd und etwas Handarbeit sehr einfach. In dieser
Umgebung haben die Nutzer keinen direkten Shellzugriff auf die Dateien
(da außer evtl. rssh, die den Zugriff auf CVS beschränkt, sowieso keine
Shell existiert).
Gewährst man ihnen nun aber Zugriff auf das eigentliche System, bestünde
das eigentliche Problem natürlich weiter. IMO gibt es hier mehrere
Möglichkeiten, das Problem anzupacken.
- den Nutzern im CHROOT und außerhalb untershiedliche UID/GID geben
(keine Ahnung, was Fachleute davon halten)
- die Nutzer zum Arbeiten ebenfalls wieder in eine CHROOT-Umgebung
sperren (evtl. geht das sogar ganz einfach mit ssh/rssh außerhalb des
CVS-CHROOTs, so dass die Nutzer nur ihr Heimatverzeichnis sehen;
ansonsten minimales Debian als CHROOT-Umgebung zum Arbeiten anlegen -
bräuchte natürlich ebenfalls einen SSH-Server)
Das wäre so mein Vorschlag für eine Lösung ohne VM.
MfG Daniel
Reply to: