Re: cronjobs chroot

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Fri, 6 May 2011 19:45:18 +0200 (CEST)

Michelle Konzack <bsd4michelle(at)tamay-dogan.net> wrote:
> Hello rainer(at)ultra-secure.de,
>
> Am 2011-05-04 22:40:23, hacktest Du folgendes herunter:
> > Hallo,
> >
> > wir betreiben diverse Hosting-Umgebungung - und mit PHP-FPM kann man ja
> > mittlerweile PHP chroot'en und braucht das blödsinnige open_basedir nicht
> > mehr. SSH/SFTP chroot'en funzt auch (einigermassen) wunderbar.
> >
> > Dummeweise benötigen fast alle User cronjobs - und die sind nicht chroot'ed.
> >
> > Kann man irgendwie die cronjobs auch chrooten?
> >
> > Der ganze Aufwand erscheint irgendwie für die Katz, wenn ich den cronjobs
> > wieder alles erlaube....
> > ;-)
>
> Ehm:
>
> 0 * * * * root chroot /home/${USER} /pfad/zum/prodram/des/users.sh

Super, dann wird der cronjob des Users zwar im chroot, aber
mit root-Rechten ausgeführt. Einfacher kann man's den Leuten
nicht machen. :-)

Also besser dem chroot noch eine Option -u $USER spendieren.

Noch besser: Jails statt chroot verwenden.

Gruß
   Olli

PS: Alternativ könnte man im chroot (bzw. im Jail) einen
eigenen cron-Daemon laufen lassen. Ob das vorzuziehen ist,
hängt von den Umständen ab, z.B. die Anzahl der User, auf
welche Weise die cronjobs verwaltet werden usw.

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
 > Can the denizens of this group enlighten me about what the
 > advantages of Python are, versus Perl ?
"python" is more likely to pass unharmed through your spelling
checker than "perl".
        -- An unknown poster and Fredrik Lundh
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 06 May 2011 - 19:45:38 CEST

search this site