uberspace upload user?

[mclien]

Ich bekomme das gerade gedanklich nicht aufgelöst...
Also: Ich ahbe mich gerade entschlossen, ein webcomic zu sponsoren indem ich das auf uberspace hoste. Soweit auch alles easy, PLatz und traffic sollten reichen (bei dem 5-fachen der aktuellen unpdate-Intervalle reicht es für ~60 Jahre).
Die Hauptseite zeigt dann die Navigatin und das jeweilige Bild per php. Eingerichtet wird das ganze so, dass die Bilder und texte des Autors jeweils eine Nomenklatur haben anhand derer die Reihenfolge festgelegt ist. Somit kann der Künstler einfach das Bild und den Newspost dazu gleich bennen, auf den Server kopieren und der rest geht "von alleine".
Der knifflige Teil bei uberspace ist aber, dass ja systembedingt nur ein user zur Verfügung steht. Natürlich kann ich das auch mit ssh-keys lösen, bin mir aber an einem Punkt unsicher: Da ich mit dem Künstler (momentan) nicht verschlüsselt mailen kann, suche ich nach einer Alternative. Wenn ich nun den pub-ssh-key in einer Unverschlüsselten Mail bekomme und in die authorized_keys auf dem uberspace eintrage, habe ich doch an keiner Stelle eine Klartextpassage, oder übersehe ich gerade was?
Ein physisches Treffen scheident übrigens aus geographischen Günden aus.

[uname]

Natürlich macht es weit mehr Sinn wenn der Künstler die Dateien einfach per Webbrowser in den vorgegebenen Ordner hochlädt und evtl. die Textdateien nachträglich bearbeitet. Schau dir z.B. http://elfinder.org an. Sichern solltest du den Ordner dann mit Htaccess.

[justme2h]

Wenn ich nun den pub-ssh-key in einer Unverschlüsselten Mail bekomme und in die authorized_keys auf dem uberspace eintrage, habe ich doch an keiner Stelle eine Klartextpassage, oder übersehe ich gerade was?

Naja. Ich will jetzt keine Aussage machen wie wahrscheinlich das ist. Aber bei einer unverschlüsselten Mail könnte es passieren, dass die Mail manipuliert wurde. Vlt authorisiert du also einen pub-ssh-key, dessen priv-ssh-kry gar nicht dem Comiczeichner gehört. Der wahre Besitzer des priv-ssh-key hätte dann Zugang zu deinem Server. Wäre halt schon ein sehr auf dich zugeschnittener Angriff. Daher wie gesagt, wie wahrscheinlich das ist musste selbst entscheiden.

Wenn ich das richtig verstehe, überlässt du dem Comiczeichner damit auch vollen Zugriff auf deinen Server?! Würde vlt eher nach Möglichkeiten suchen, damit er wirklich nur das auf dem Server machen kann, was für seine Comics wichtig ist. uname hat schon schon einige Tipps genannt.

[uname]

Auch wenn ich SSH-Keys nicht nutzen würde kann man über die Option command="..." den Key sehr weit einschränken z.B. auf den Upload von Dateien in feste Verzeichnisse. Hat der Comiczeichner denn ein sftp/SCP-Programm wie WinSCP oder Filezilla?

[mclien]

Vom Zeichner her wird es wohl filezilla werden.
An die die Einschränkung per command im pub key hatte ich auch schon gedacht.
Jetzt komme ich also von filezilla mit dem sftp/scp Befehl und dem key, wird dann auf der empfangenden Seite überhaupt noch ein Befehl ausgeführt und nicht nur empfangen?
Ausserdem müsste ich ja noch wissen, was für einen befehl filezilla überhaupt sendet.

[mclien]

folgendes habe ich im Wiki von ThomasKrenn gefunden:
Kommandoeinschränkung inkl Analyse
Damit sollte man herausfinden können, welches Kommando man auf der Serverseite erlauben darf, damit das funktioniert.

Nächste Klemmer ist dann allerdings: Filezilla kann offenbar nur mit Putty keyfiles was anfangen (*.ppk). Wie bekomme ich jetzt aus meinem ssh-keyfile ein *.ppk gebaut? So ganz ohne Windows? Gibts Putty für Linux?
(EDIT: sorry erst suchen, dann Fragen. also Putty auf den Rechner ..)

[mclien]

So nächste Schritt. ssh-keys in putty keys umgewandelt.
Allerdings haben die Dinger Zeilenumbrüche und ich weiß nicht so recht, wie/ob ich da in die authorized_keys eintragen kann.

Code: Alles auswählen

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "imported-openssh-key"
command= "/home/pylea/logssh.sh"
A.....
---- END SSH2 PUBLIC KEY ----

So habe ich es jetzt mal versucht.

Nach der erwähnten Anleitung von thomasKrenn funktioniert von Linux zu Linux prima, damit habe ich halt herausgefunden, dass ich bei diesem commando auf der Senderseite:

Code: Alles auswählen

scp -i .ssh/webuser_key irgendeinfile  webuser@192.168.1.42:/home/webuser/upload

auf der emfangenden Seite folgendes in dem key der authorized_keys ergänzen muss:

Code: Alles auswählen

scp -t /home/webuser/upload

Problem ist: Filezilla will sich immer erst mit dem Ziel verbinden und dann senden. Ist der key jetzt aber auf das scp beschrängt, kommt erst gar kein connect zustande und damit auch kein scp..

Also finde ich gerade keinen Weg wie ich das ganze bewerkstelligen soll, wenn die sendende Seite ein Win Rechner ist... (Powershel-script evtl.?)

[inne]

.

[DeletedUserReAsG]

Nächste Klemmer ist dann allerdings: Filezilla kann offenbar nur mit Putty keyfiles was anfangen (*.ppk).

Das ist nicht korrekt, bei mir verbindet sich Filezilla sowohl von Linux, als auch von Windows aus mit dem normal via ssh-keygen erstellten Schlüssel. Ggf. eine neuere Version probieren? Möglicherweise muss in Windows-Filezillas Auswahldialog auch „Alle Dateien“ eingestellt werden, um den Schlüssel auswählen zu können. Das wäre dann der Fall, wenn dein Windows der vergebenen Dateiendung kein Schlüsselformat zuordnet.

In die authorized_keys auf dem Server gehört auf keinen Fall ein anderes Format – auch bei Verwendung von Putty nicht. Selbst wenn man Puttys Format benötigen würde, beträfe das nur den privaten Schlüssel auf der Clientseite.

[uname]

Ich verweise noch mal auf meinen oben angeführten Ansatz mit einem Webupload. Irgendwann hat mal Bill Gates erkannt, dass das Web relevant sein kann. So wurden dann mehr oder weniger brauchbare Browser entwickelt. Die besten Windows-Programme sind somit JavaScript-Programme. Das Kommunikationsprotokoll SSH spielt dagegen weiterhin keine Rolle unter Windows. Eine Administration von Linux per Windows ist nicht vorgesehen. Aber was solls ... Microsoft setzt sich ja auch nicht für IT-gestützte Office-Anwendungen ein. Da lieber WYSIWYG und Cut-and-Paste. Aber das sichert immerhin Arbeitsplätze da Automation nicht vorgesehen ist.

[inne]

Ich verweise noch mal auf meinen oben angeführten Ansatz mit einem Webupload.

Dann bring ich mein GCI script Ansatz doch noch mal ein!

https://wiki.uberspace.de/webserver:cgi

[uname]

Ich hatte gedacht CGI hätte man aus Sicherheitsgründen noch vor der Jahrtausendwende abgeschafft. Meinen Beitrag von oben habe ich auf das Wesentliche gekürzt. Natürlich gibt es auch alternative Programme, die einfach nur einen Dateiupload in einen Zielordner erlauben. Wer der Software nicht traut kann auch mit etwas JavaScript und PHP selbst was scripten. Bei Webmailern nutzt man doch auch einen Webupload und schickt die Attachments nicht per Filezille irgendwo hin.

[inne]

Ich hatte gedacht CGI hätte man aus Sicherheitsgründen noch vor der Jahrtausendwende abgeschafft.

Vlt. ist die Doku auch nur noch ein Überbleibsel. Ich habs nicht nachgeschaut...

[mclien]

Nächste Klemmer ist dann allerdings: Filezilla kann offenbar nur mit Putty keyfiles was anfangen (*.ppk).

Das ist nicht korrekt, bei mir verbindet sich Filezilla sowohl von Linux, als auch von Windows aus mit dem normal via ssh-keygen erstellten Schlüssel. ..... „Alle Dateien“ eingestellt werden, um den Schlüssel auswählen zu können. Das wäre dann der Fall, wenn dein Windows der vergebenen Dateiendung kein Schlüsselformat zuordnet.

In die authorized_keys auf dem Server gehört auf keinen Fall ein anderes Format – auch bei Verwendung von Putty nicht. Selbst wenn man Puttys Format benötigen würde, beträfe das nur den privaten Schlüssel auf der Clientseite.

Danke für die Hinweise. Allerdings habe ich mit filezilla inzwischen das problem, dass erst die ssh-Verbindung erfolgen muss (ohne Einschränkung) und dannd er uoload und somit auf diesem Weg der ssh Zugang nicht per command=" " im ssh-key eingeschränkt werden kann (und winscp hat meines Wissens das gleiche Problem).
Bleiben also:
- ein Tool auf windows Seite, das ggf. nur per cli funktioniert (und ich noch nicht gefunden habe)
- unames Vorschlag mit einem webupload
- oder filezilla per ssh-key, allerdings ohne 'command' Einschränkung des keys, also defacto voller Zugriff. (Das würde allerdings erst ein Problem bei einem kompromitierten private ssh-key auf der Windows Seite).

[DeletedUserReAsG]

- oder filezilla per ssh-key, allerdings ohne 'command' Einschränkung des keys, also defacto voller Zugriff. (Das würde allerdings erst ein Problem bei einem kompromitierten private ssh-key auf der Windows Seite).

chroote den User halt …