Ankündigung

Einklappen
Keine Ankündigung bisher.

SFTP root/home Ordner klappt nicht bei 64-bit ManagedHosting

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    SFTP root/home Ordner klappt nicht bei 64-bit ManagedHosting

    Kann es sein, dass die home Ordner nicht klappen?

    Wenn ich mich per SFTP einlogge, kann ich durchaus höher als / und komme zur root vom Rechner mit einem Kunden Ordner.

    Mein bisheriges SFTP Login für ein Programm hat direkt auf den Ordner gezeigt und dort mit "ordner/datei.txt" was abgelegt.
    Seit heute muss ich da den vollen Pfad angeben!

    /kunden/meineDomain.de/webseiten/domain/ordner/Datei.txt

    und das klappt dann.
    Kann jetzt jeder mit einem SFTP Login zum Upload/Download jetzt die ganze Webseite einsehen?

    #2
    Hallo Schmitti,

    Sie können natürlich nur das einsehen, was Ihnen gehört oder allgemein freigegeben wurde. FTP-Account können eigentlich nur bis in Ihren Webseitenbereich schauen und nicht auf höhere Verzeichnisse zeigen. Per SSH können Sie aber immer auch auf höhere Verzeichnisse zugreifen, sofern diese freigegeben sind. Beispielsweise für PHP-Versionen, die unter /usr/bin liegen. Das können Sie sich natürlich auch ansehen. Nicht sehen können Sie die Ordner unter beispielsweise /www. Dort kommt dann, wenn Sie die ORdner auflisten möchten:

    Code:
    ls: cannot open directory '.': Permission denied
    Mit freundlichen Grüßen

    Nils Dornblut
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

    Kommentar


      #3
      Das Problem wäre aber, wenn ich jemandem einen FTP Account einrichte und er per SFTP ein Directorylisting abfragt.
      Wenn er dann den Rest der Webseite sieht, ist das ein Problem.

      haben Sie das mal ausprobiert?

      Kommentar


        #4
        Hier die Anleitung:

        1. Im Kundenmenü auf FTP-Accounts
        2. Anlegen von einem test account mit Ordner /test im Kundenverzeichnis.
        3. Login per FTP CLient mit SFTP als Protokol.
        4. Man sieht den Inhalt vom Test Ordner.
        5. Ich kann aber einen Ordner hoch gehen, dann in meinen webseiten Ordner und alles sehen/downloaden.

        Mit einem FTP Account kann man die ganze Webseite über SFTP downloaden!
        Damit kommt man an all die Datenbankpasswörter, kann die PHP Skripte ändern und vieles mehr!


        Das ist eine massive Sicherheitslücke. Wir hatten Leuten FTP Accounts für Uploads angelegt und jeder von denen kann jetzt die ganze Webseite einsehen.
        Die meisten habe ich direkt mal gelöscht!

        Bei FTP oder FTPS geht das alles wie es soll.
        Zuletzt geändert von Schmitti; 22.02.2022, 15:10.

        Kommentar


          #5
          Zitat von Schmitti Beitrag anzeigen

          Das ist eine massive Sicherheitslücke. Wir hatten Leuten FTP Accounts für Uploads angelegt und jeder von denen kann jetzt die ganze Webseite einsehen.
          Die meisten habe ich direkt mal gelöscht!

          Bei FTP oder FTPS geht das alles wie es soll.
          Die "Lücke" hat schon immer existiert, war nur optisch nicht so offensichtlich. Auch bei FTP ist der Account nicht auf den Zielordner beschränkt, sondern kann sich mit etwas Know How im Filesystem bewegen wie bei SFTP. Das einzige was da Abhilfe schafft, sind harte Quotas zwischen den Verzeichnissen, alles andere ist Schlangenöl.

          Kommentar


            #6
            Zitat von [headcrash] Beitrag anzeigen

            Die "Lücke" hat schon immer existiert, war nur optisch nicht so offensichtlich. Auch bei FTP ist der Account nicht auf den Zielordner beschränkt, sondern kann sich mit etwas Know How im Filesystem bewegen wie bei SFTP. Das einzige was da Abhilfe schafft, sind harte Quotas zwischen den Verzeichnissen, alles andere ist Schlangenöl.
            Exakt! Um das zu verhindern ist eine Quota nötig:

            https://www.df.eu/de/support/df-faq/...ugriff/quotas/

            Umgedreht beschrieben ist das Verhalten auch in den FAQ im letzten Punkt.

            Mit freundlichen Grüßen

            Nils Dornblut
            Blog - Facebook - Twitter
            Communitybetreiber: domainfactory GmbH
            Impressum / Pflichtangaben

            Kommentar

            Lädt...
            X