Folgende Herausforderung: ich möchte einen sicheren SVN Zugang (sprich: SSH verschlüsselt) zu einem Subversion Repository auf meiner Fritz!Box ermöglichen, ohne, dass der User root bekommt und etwas anrichten kann. Geht das überhaupt?
Folgendes möchte ich nämlich nicht: irgendeinen anderen Port außer SSH öffnen, denn Dropbear akzeptiert nur Public Key Authentication und das will ich auf keinen Fall ändern - so fühle ich mich sicher. Ich möchte also insbesondere nicht einen Port für Subversion öffnen, um dort dann die ganz normale SVN Authentication ablaufen zu lassen.
Was ich bisher mache ist, per SSH auf meine Fritzbox zu tunneln und dann im Subversionclient einfach svn://localhost/ anzugeben. Damit läuft die ganze Chose über SSH und ist somit sicher. Funktioniert auch wunderbar.
Nun will ich noch jemand anderes Zugriff auf das Repository geben, der aber eben keinen root-Zugriff haben soll. Ich dachte, ich lege einfach einen neuen Benutzeraccount an, der aber außer der Loginmöglichkeit keinerlei Rechte besitzt, und sperre den Account in ein chroot (geht das überhaupt? Kann man daraus nicht ausbrechen?).
Habe ich bis hierher einen Denkfehler begangen und irgendetwas falsch verstanden, oder könnte das klappen?
Jetzt habe ich mehrere Probleme: erstens tauchen beim SSH-Login mir schleierhafte Fehlermeldungen auf (Kuriosum am Rande: obwohl bei Dropbear "Login nur für root erlauben" ausgewählt ist, komme ich mit dem neuen User trotzdem auf die Box!):
Ich habe den Fehler verfolgt: beim Login wird /etc/profile aufgerufen, welche sofort /etc/init.d/rc.conf aufruft. Ist das nötig? Kann ich das irgendwie dahingehend abändern, dass alle Aufrufe, die bei einem Account ungleich root sinnlos sind, ausgelassen werden? Im Prinzip braucht ja gar nix geladen werden, keine Aliase oder sonst etwas, denn es geht ja nur um den SSH Tunnel.
Wie sperre ich einen User in einen chroot ein und wo müsste ich die entsprechenden Befehle unterbringen?
Ist das Ganze am Ende eine Schnappsidee und ich sollte lieber einfach OpenVPN bemühen?
Folgendes möchte ich nämlich nicht: irgendeinen anderen Port außer SSH öffnen, denn Dropbear akzeptiert nur Public Key Authentication und das will ich auf keinen Fall ändern - so fühle ich mich sicher. Ich möchte also insbesondere nicht einen Port für Subversion öffnen, um dort dann die ganz normale SVN Authentication ablaufen zu lassen.
Was ich bisher mache ist, per SSH auf meine Fritzbox zu tunneln und dann im Subversionclient einfach svn://localhost/ anzugeben. Damit läuft die ganze Chose über SSH und ist somit sicher. Funktioniert auch wunderbar.
Nun will ich noch jemand anderes Zugriff auf das Repository geben, der aber eben keinen root-Zugriff haben soll. Ich dachte, ich lege einfach einen neuen Benutzeraccount an, der aber außer der Loginmöglichkeit keinerlei Rechte besitzt, und sperre den Account in ein chroot (geht das überhaupt? Kann man daraus nicht ausbrechen?).
Habe ich bis hierher einen Denkfehler begangen und irgendetwas falsch verstanden, oder könnte das klappen?
Jetzt habe ich mehrere Probleme: erstens tauchen beim SSH-Login mir schleierhafte Fehlermeldungen auf (Kuriosum am Rande: obwohl bei Dropbear "Login nur für root erlauben" ausgewählt ist, komme ich mit dem neuen User trotzdem auf die Box!):
Code:
-sh: /etc/init.d/rc.conf: line 4: can't create /var/env: Permission denied
grep: /etc/default.language: Permission denied
rm: can't remove '/var/TZ': Permission denied
ln: /var/TZ: File exists
Wie sperre ich einen User in einen chroot ein und wo müsste ich die entsprechenden Befehle unterbringen?
Ist das Ganze am Ende eine Schnappsidee und ich sollte lieber einfach OpenVPN bemühen?