# Jailkit frage



## logifech (3. Nov. 2011)

Hallo Forum,

ich habe mal eine Frage die Jailkit betrifft und zwar was genau ist Jailkit wozu wird es gebraucht und was für vor oder auch Nachteile hat man durch den einsatz von Jailkit?

Gruß
Ich


----------



## nowayback (3. Nov. 2011)

Moinsen,

Quelle: Jailkit - chroot jail utilities

"Jailkit is a set of utilities to limit user accounts to specific files using chroot() and or specific commands. Setting up a chroot shell, a shell limited to some specific command, or a daemon inside a chroot jail is a lot easier and can be automated using these utilities.

Jailkit is known to be used in network security appliances from several leading IT security firms, internet servers from several large enterprise organizations, internet servers from internet service providers, as well as many smaller companies and private users that need to secure cvs, sftp, shell or daemon processes."

Richtige Vor oder Nachteile sind da schwer zu benennen. Ich würde mal sagen das ein Vorteil ist, dass der User nur in "seiner" Umgebung arbeiten kann und da nicht rauskommt.... Das kann jedoch auch ein Nachteil sein  Ein Nachteil ist z.B. das du alle Bibliotheken die der User für seine Programme braucht auch mit in das geschützte Verzeichnis kopieren musst/lassen musst. etc.

Wie gesagt, was für einige nen Vorteil ist, ist für andere nen Nachteil. Wenn du alleine am Server arbeitest macht jailkit meist weniger Sinn - is aber meine persönliche Meinung.

Grüße
nwb


----------



## logifech (3. Nov. 2011)

Ahhh, ok das klingt Super werd Ich mir mal genauer ansehen. Kann ich in ISPConfig3 auch fest legen, dass der Client z.B. nur shell script (.sh) ausführen kann oder so?


----------



## Rafael.K (3. Nov. 2011)

Zitat von logifech:


> Ahhh, ok das klingt Super werd Ich mir mal genauer ansehen. Kann ich in ISPConfig3 auch fest legen, dass der Client z.B. nur shell script (.sh) ausführen kann oder so?


Hallo, 

ja kannst Du.

Du gehst als admin in ISPCONFIG3 UI in "System" -> "Serverkonfiguration" -> "Jailkit" 

und passt dort die Direktiven wie gewünscht an.

du kannst noch mehr erreichen, wenn du in die Datei /etc/jailkit/jk_init.ini reinschaust, und diese wunschgemäß anpasst.

siehe http://www.howtoforge.de/forum/inst...-12/jailkit-und-php-cli-php-fatal-error-5020/

Gruß

Rafael.K


----------



## logifech (3. Nov. 2011)

Hey,
also das klingt Super vielen dank erstmal.
Aber eine kurze Verständnissfrage zu deinem Link und zwar da geht es ja um PHP-CLI das heißt wenn ich die .ini datei wie in dme link beschreiben einrichte und über ISPConfig einen SSH user anlege kann er in seiner SSH umgebung bspw. nur PHP-CLI Applicationen ausführen?

M.F.G
Ich


----------



## Rafael.K (3. Nov. 2011)

Jein,

in dem Thread wurde Jailchroot (Knastumgebung) um PHP-CLI(Kommandozeilen-PHP) erweitert.

Genau so wie erweitern geht natürlich einengen noch leichter, 
in dem man z.B. :

in ISPCONFIG3 UI in "System" -> "Serverkonfiguration" -> "Jailkit" 
- alle "*Jailkit chroot Anwendungsbereiche*"*-Direktiven* bis auf "*basicshell ssh*" 
- alle "*Jailkit chrooted Anwendungen*"-*Direktiven *
löscht. 
Und dann *neue* Webseiten mit Jail-Benutzern anlegt, weil ISPCONFIG3 die bestehende Jailkit-Umgebungen nicht ändern kann (also diese müssen zufuß angepasst werden).

Das macht natürlich wenig Sinn, so geizig ssh-zugang zu beschränken, aber es ist ja auch nur ein Beispiel.

*Zurück zu jk_init.ini *

du kannst dir z.B sowas basteln:
*jk_init.ini *

```
[meinPaket]
comment = meine eigene Zusammensetzung für ISPCONFIG3 Kunden
executables = /usr/bin/mySuperSoft, /usr/bin/mySuperEditor, /usr/share/myMegaProgi
regularfiles = /etc/mySuperSoft/conf.ini
directories = /usr/bin/mySuperSoft/abhaengigkeiten, /usr/schare/etwas
includesections = java, perl, c, meinAnderesPaket
```
und dann ISPCONFIG3 UI in *"System" -> "Serverkonfiguration" -> "Jailkit" -> "Jailkit chroot Anwendungsbereiche"* die Direktiven um *meinPaket *ergänzen*.*
Somit ist man eigentlich uneingeschränkt mit Möglichkeiten der ISPCONFIG3 und Jailkit.

Gruß
Rafael.K


----------



## logifech (3. Nov. 2011)

Ahh, alles klar das klingt Super, Danke  Werd emich damit in eienr Testumgebung mal genauer befassen


----------

