Wie mache ich Webmin sicher? [geschlossen]

8

Ich möchte webmin installieren, um die Serververwaltung auf meinem Ubuntu 10.4-Server zu vereinfachen. Ich bin jedoch sehr nervös darüber, dass diese Art von Strom über das Internet zugänglich ist.

Daher möchte ich wissen, wie Webmin so gesichert wird, dass mein Server nicht komprimiert werden kann.

Bisher sind hier meine Ideen, aber ich fühle mich immer noch nicht wohl:

  1. Machen Sie Webmin nur vom lokalen Host aus zugänglich (wie?)
  2. Verwenden Sie SSH-Tunneling, um auf den Webmin-Server zuzugreifen, wann immer ich ihn verwalten muss

Kann mir jemand mit Anweisungen helfen, wie Webmin nur vom lokalen Host aus zugänglich gemacht werden kann?

Welche anderen Möglichkeiten kann ich Webmin sicher machen?

web-server ubuntu Josiah
quelle
Diese Frage scheint nicht zum Thema zu gehören, weil es darum geht working with a service provider's management interface, such as cPanel.
HopelessN00b
@ HopelessN00b Ihr Eindruck ist falsch - Webmin ist eine frei verfügbare Open-Source-Administrationsoberfläche, die jeder auf seinem eigenen Webserver installieren kann, solange er perlbasierte Dienste ausführen kann. Daher ist sie NICHT vom Thema abweichend. Haben Sie dies nicht einmal überprüft, bevor Sie dieses Off-Topic deklariert haben?
ThomasAtFault
1
Eine neue Möglichkeit, den Webmin-Zugriff zu sichern, besteht darin, die Zwei-Faktor-Authentifizierung zu verwenden oder ein clientseitiges SSL-Zertifikat zu installieren. Beide Techniken sind hier dokumentiert: doxfer.webmin.com/Webmin/Enhanced_Authentication
ThomasAtFault

Antworten:

8

Die Sicherung hängt wirklich davon ab, wie es serviert wird. Standardmäßig wird jedoch ein eigener Webserver mitgeliefert. /etc/webmin/miniserv.conf hat Direktiven zum Zulassen und Verweigern. Sie können dies also verwenden, um nur den Zugriff vom lokalen Host aus zuzulassen.

Dann, wie Sie sagen, verwenden Sie einfach Port-Tunneling, um darauf zuzugreifen. Zu diesem Zeitpunkt wäre es theoretisch genauso sicher wie Ihr SSH-Setup. Wenn jemand SSH-Zugriff auf Ihren Server erhält, haben Sie bereits Probleme.

3dinfluence
quelle
Sie haben erwähnt, dass "das Sichern wirklich davon abhängt, wie es bereitgestellt wird". Gibt es eine sicherere Möglichkeit, es bereitzustellen, als den eingebauten Webserver? Ich habe darüber nachgedacht, den eingebauten Server zu verwenden, damit er nicht von den Konfigurationen abhängt, die er verwalten wird.
Josiah
Ich denke, Sie sind auf dem richtigen Weg, um es jetzt zu sichern. Der einzige Vorteil, den Apache gegenüber dem eingebauten Server haben würde, wären wahrscheinlich mehr Optionen für die Authentifizierung und möglicherweise einige RAM-Einsparungen, wenn auf dem Server Apache auf irgendeine Weise ausgeführt werden muss. Aber dafür gibt es einen Kompromiss. Dies bedeutet auch, dass Sie nicht auf webmin zugreifen können, wenn Sie Ihre Apache-Konfiguration durcheinander bringen.
3dinfluence
1
Um SSH weiter zu verbessern, können Sie mit allowopen-Direktiven einschränken, welche IP-Adressen Ports weiterleiten können und an welche IPs / Ports sie weiterleiten können. Ich glaube, Sie können dies sogar pro Benutzer einschränken.
3dinfluence
Und hier fand ich einen hilfreichen Link zum Einrichten eines SSH-Tunnels mit Kitt. Ignorieren Sie einfach den Teil über MySQL (aber es ist keine Änderung erforderlich) und zeigen Sie mit Ihrem Browser auf localhost: 10000
Mojtaba Rezaeian
4

Wie ich meine gesichert habe:

  • Erstellen Sie einen Nur-Webmin-Benutzer mit einem eindeutigen Kennwort. Löschen Sie alle anderen Webmin-Benutzer
  • Ändern Sie den Standardport
  • Beschränken Sie den Zugriff über IP-Adressen sowohl an der Firewall als auch im Webmin-Bereich
David Rickman
quelle
Werden die Punkte 2 und 3 nicht korrigiert, indem nur der Localhost-Zugriff zugelassen wird? Gibt es einen zusätzlichen Sicherheitsvorteil beim Ändern des Standardports (neben der Verschleierung)? Wenn Sie sagen, dass der Zugriff auf die Firewall eingeschränkt wird, wird dies nicht auch den allgemeinen Zugriff auf den Server einschränken (Besucher meiner Website)?
Josiah
1
# 3: Firewalls können nur Regeln auf IP portieren. Angenommen, Webmin wird auf Port 9665 ausgeführt. Sie können festlegen, dass nur IP 1.2.3.4 über Port 9665 auf Ihren Server zugreifen kann. Wenn 2.2.3.4 versucht wird, werden diese abgelehnt.
David Rickman
1
# 2: Es ist eine Verschleierung, klar. Aber die Bots, die es scannen würden, oder jeder "Hacker", der danach sucht, wird es nicht sofort finden, sie werden einen viel breiteren Scan benötigen, um es zu finden. Was mehr Ressourcen für die Bots und mehr Zeit für den "Hacker" erfordert
David Rickman
Die Frage ist: Habe ich einen besseren Schutz, wenn ich einen Firewall-Port zur IP-Regel verwende, als wenn ich nur den lokalen Zugriff zulassen und einen SSH-Tunnel verwenden würde?
Josiah
1
SSH ermöglicht nur die schlüsselbasierte Authentifizierung. Das ist immer sicherer als die Verwendung von Benutzernamen und Passwörtern. Wenn Sie jedoch die IP-Adressen einschränken, die auf webmin zugreifen dürfen, macht dies möglicherweise keinen großen Unterschied.
3dinfluence