Security & Firewalls

ID #1095 Webmin absichern

Webmin absichern

Warum?
Webmin ist neben der ssh-Shell eine hoch berechtigte Schnittstelle zum System. Um möglichst wenig Angriffspunkte zu haben sollte man mit ein paar kleinen Schritten das System sicherer machen.

Aktionen:

Alles spielt sich im Webmin in der <code>Webmin Konfigurationcode> ab.
Der größte Teil bezieht sich darauf einen Bruteforce-Angriff zu verhindern bzw. zu unterbinden. (Port umlenken, User <code>rootcode> sperren, Fehlversuche eindämmen, etc.)

  1. Webmin SSL aktivieren:
    In der Konfiguration auf <code>SSL-Verschlüsselungcode> und dort <code>SSL aktivieren, wenn verfügbarcode> aktivieren.
    (Danach nicht verzweifeln, es kann ein paar Versuche dauern bis der SSL-Handshake zum erstenmal richtig funktioniert.)
  2. Evtl. unter <code>IP-Zugriffskontrollecode> z.B. <code>*.dip.t-dialin.netcode> eintragen.
    (Nur falls Du immer von einem T-DSL-Anschluß da rein willst.)
  3. Port ändern:
    In <code>Anschluss und Adressecode> den Port auf (z.B.) 999 legen.
  4. Zusätzlich: <code>mitloggen der Aktionencode> aktivieren
  5. Unter <code>Authentisierungcode> die Einstellungen überprüfen und z.B. nur drei <code>falsche Loginscode> erlauben und die <code>Sperrzeit<code> höher setzen.code>code>
  6. Einen eigenen Webmin-User anlegen mit dem man dann alles macht. Den Zugang für den User <code>rootcode> sperren.

Evtl. gibt es bei der SSL-Aktivierung Probleme. Dann muss für Perl das Packet Net::SSLeay nach installiert werden. (Entweder als Packet des Distributors oder per CPAN:) 

perl -MCPAN -e install Net::SSLeay

Falls dabei der installer meckert fehlt wahrscheinlich das devel-Packet von openssl.

SSL-Tunnel:

Eine einfache Alternative zu den oben genannten Schritten ist es, Webmin immer nur über einen SSL-Tunnel abzurufen. Dabei braucht man im Webmin selbst lediglich die feste IP <code>127.0.0.1code> einstellen. Entweder in der <code>/etc/webmin/miniserv.confcode> den Parameter <code>bind=127.0.0.1code> setzten, oder im Webmin selbst: "Webmin Konfiguration" -> "Anschluss und Adresse" auf "nur diese Adresse" setzen.

Nun muß lediglich ein SSL-Tunnel im SSH-Client gesetzt werden. Z.B. anhand von Putty, wird unter "Connection" -> "SSH" -> "Tunnels" folgendes eingetragen:
Source port: 10000
Destination: 127.0.0.1:10000
Danach auf "Add" klicken, damit dieser Eintrag auch tatsächlich aufgenommen wird.

Nach einem erneutem Login per Putty auf dem Server sollte folgende URL im Browser funktionieren: http://localhost:10000

Achtung:
Hierbei sollte man auf eine zusätzlich SSL-Verschlüsselung von Webmin verzichtet werden. Da die SSH-Verbindung bereits verschlüsselt ist, wäre eine zweite Instanz eher Kontraproduktiv und verringert die Geschwindigkeit.

 

sozial Bookmarking
Bookmarken bei YIGG Bookmarken bei Mister-Wong Bookmarken bei Icio Bookmarken bei del.icio.us Bookmarken bei Technorati Bookmarken bei Furl Bookmarken bei Spurl Bookmarken bei Yahoo Bookmarken bei Google

vom 2006-01-05 12:52, zuletzt 2008-05-01 14:15     Artikel ausdrucken Artikel weiterempfehlen Als PDF-Datei anzeigen

Dieser Inhalt ist unter der Creative-Commons Lizenz lizensiert.

Probleme bitte im Server-Support-Forum diskutieren.

Rubriken zu diesem Artikel
überflüssig 1 2 3 4 5 wertvoll  
Durchschnittliche Bewertung:   4.83 von 5 (6 Bewertungen)

Artikel kommentieren