[linux] Re: ssh over php

Paul Slootman paul+nospam op wurtel.net
Do Jul 14 14:38:51 CEST 2016 

On Thu 14 Jul 2016, Hans Paijmans wrote:
> On 14-07-16 12:54, Paul Slootman wrote:
> ...
> 
> > Ja, dat snapte ik. Als user 'paai' dus.
> >
> > Waar je tegenaan loopt is dat de webserver (vermoedelijk) als user
> > 'www-data' draait, niet als user 'paai' (mogelijk is het geen www-data,
> > kijk maar onder welke user httpd of apache draait).
> >
> > Die user heeft dus geen toegang tot de ssh keys van user paai, je moet
> > dus zorgen dat ook die 'www-data' (of wat dan ook) user ook zonder
> > password als user paai kan inloggen op het remote systeem.
> > Dat zei ik al ongeveer.
> >
> Toch snap ik het niet. Ook al worden php-scripts als www-data 
> uitgevoerd, het login commando gaat toch expliciet naar paai op huppelepup?

Als ik als user 'paul' een login heb op jouw systeem, dan kan ik toch
ook niet zomaar 'ssh paai op huppelepup' doen zonder wachtwoord?
Dat zou niet veel goeds voorspellen voor multi-user systemen als
iedereen zomaar iedereen's keys zou kunnen gebruiken.

ssh kijkt in de homedir/.ssh directory _van_de_user_die_ssh_uitvoert_.
De private keys daarin worden gebruikt om te proberen in te loggen op de
remote server. Als de remote server, in de homedir _daar_ van de
opgegeven user een public key vindt in de authorized_keys file, dan mag
de login met gebruik makend van die key doorgaan.


> Ennieweej, ik heb de stappen als onderaan deze link uitgevoerd op de 
> target machine huppelepup om als www-data in te kunnen loggen. Het lukt 
> me echter nog niet om vanaf de console met 'ssh www-data op huppelepup' in 
> te loggen.

Neeheee.....

het gaat er niet om als www-data REMOTE in te loggen, het gaat er om dat
de LOKALE user www-data REMOTE as paai kan inloggen. Je bent nu
omgekeerd bezig volgens mij.

> http://askubuntu.com/questions/702060/how-to-give-permissions-to-www-data-to-log-in-with-ssh

Dit is niet relevant.

Bot gezegd: je moet de inhoud van ~paai/.ssh in ~www-data/.ssh op de
LOKALE machine zetten, en ervoor zorgen dat alle permissions gelijk
zijn (dus van ~www-data moet gelijk zijn aan ~paai, ~www-data/.ssh moet
gelijk zijn aan ~paai/.ssh, ~www-data/.ssh/id* gelijk aan
~www-data/.ssh/id*), MAAR die files moeten wel van www-data zijn en niet
paai. DAN pas mag de locale www-data user als paai inloggen op het
remote systeem zonder ww.

Mooier is natuurlijk om een eigen private / public key pair te maken
voor www-data op de lokale machine en de public key daarvan in
~paai/.ssh/authorized_keys op het remote systeem. Maar bovenstaande is
misschien makkelijker te realiseren.


Paul

More information about the Linux mailing list