PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : CVS Server absichern



Elegua
17.11.02, 13:19
Hi! :)

Ich muß demnächst einen CVS-Server betreuen und habe wegen der Sicherheit bedenken,
da ich mich CVS-mäßig (garnicht) nicht auskenne.

Hat jemand Erfahrungen mit CVS und/oder pserver und der damit verbundenen Sicherheit?

Der Server steht im Internet mit einer festen IP und auf ihm läuft ein CVS-Server mit pserver Autorisierung.
olga:/etc # rpm -q cvs
cvs-1.11.1p1-88

Eingerichetet habe ich ihn nach:
http://cvsbook.red-bean.com/translations/Deutsch/Kap_04.html#pgfId-218174

Ich bin über jeden Ratschlag bezüglich Sicherheit äußerst dankbar!

Vielen Dank!
:)

xstevex22
17.11.02, 13:29
Hi,
verstehe deine Frage nicht so ganz. Du sicherst deinen Server doch ab. Wo liegt das Problem. Nur authentifizierte User haben dann Zugriff. Meinst du, ob der Dienst an sich sicher ist ?

Elegua
17.11.02, 13:46
Es gibt ja Leute die MySQL als Root laufen lassen, oder Ihren Samba oder FTP
offen wie ein Scheunentor machen.

Da der CVSServer mit Rootrechten läuft, sind meine Bedenken sicherlich berechtigt.

Ich habe den Server zwar nachdem HOWTO eingerichtet,
aber gibt es dennnoch irgendwelche anderen Sicherheitseinstellungen zubeachten?

Der "pserver" ist nicht unbedingt abhörsicher.
SSH hat sicherlich bessere Eigenschaften....

Ich habe halt grundsätzlich "nur Bedenken", das der Server gehackt wird.

Ich mache mir lieber vorher Gedanken, anstatt hinterher . . .
;)

Elegua
11.12.02, 18:14
Hat denn noch niemand einen CVS-Server eingerichetet?
:(

xstevex22
11.12.02, 18:18
Hi!
Habe einen CVS-Server eingerichtet, da kann ich dir weiterhelfen. Nur bei der Sicherheit kann ich dir nicht ganz so weiter helfen. Soll das CVS nur im LAN genutzt werden, mach den Port einfach zu. Ansonsten muss man ja das repository kennen und einen gülitgen Login haben.

slime
12.12.02, 15:31
also man kann cvs über ssh ansprechen, die bei sf machen das ja auch so. (developer access via ssh)

außerdem hatte ich bei freshmet auch mal einen warpper für den cvs-server gefunden. dann kann man den in einem jail laufen lassen.

Elegua
12.12.02, 19:35
@slime:
Hast Du einen Link für mich?
-> Vielen Dank.

Der Server steht im Internet und läuft bei mir "noch" als :pserver:.

Aber jetzt habe ich schon von einem anderen den Tipp bekommen im CVSROOT alle *,v Dateien zulöschen.
Damit "soll" verhindert werden, das das CVSROOT ausgecheckt werden kann.

-> Und tatsächlich kann ich immernoch als anonymous das CVSROOT mit auschecken.

Ich stecke wirklich in der CVS-Sache nicht tief drin,
habe aber das Vergnügen einen CVS-Server im Internet einrichten zudürfen. :(
Ich bin also über jede Hilfe dankbar.

Vielleicht hilft euch ja auch das evtl. weiter,
wenn ich euch einen login gebe?

Wem darf ich denn einmal einen login geben?

HangLoose
12.12.02, 19:53
hi

eventuell helfen dir folgende link's ja

http://developer.berlios.de/docman/display_doc.php?docid=52&group_id=2
http://cvsbook.red-bean.com/translations/german/Kap_02.html


Gruß HL

slime
12.12.02, 19:59
hab mal wieder kurz gesucht:
http://cvsauth.sourceforge.net/

evtl. hilft das ja.

felix_do
13.12.02, 02:28
hi. Die um zu deinem CVS-Server zu connecten gibt es mehrere möglichkeiten:

1. pserver. Diese Methode ist sicherlich unsicher. Passwörter und Daten werden im Cleartext übertragen

2. ssh. is sicher, hat aber zur folge, dass die leute die den server benutzen wollen einen account auf dem rechner haben müssen.

3. so habe ich unseren server aufgebaut. auf den clients läuft ein programm, welches sich "ccvssh" nennt. (google mal), ich hab das leider nur unter Linux zum laufen bekommen, d.H. wenns Windows clients gibt weiss ich auch nicht weiter. weiterhin muss natürlich cvs auf den clients sein. Auf dem Server wird der CVS-port für externe connects geschlossen. dann musst auf dem server noch stunnel installieren. die ports und alles andere wichtige findest du auf der ccvssh homepage bzw auf www.stunnel.org

damit bin ich echt sehr zufrieden, zumal ich eigentlich eher sicherheitsleie bin. und der server is noch nicht gehackt worden. ;)