Security & Firewalls

ID #1095 Webmin absichern

Webmin absichern

Warum?
Webmin ist neben der ssh-Shell eine hoch berechtigte Schnittstelle zum System. Um möglichst wenig Angriffspunkte zu haben sollte man mit ein paar kleinen Schritten das System sicherer machen.

Aktionen:

Alles spielt sich im Webmin in der Webmin Konfiguration ab.
Der größte Teil bezieht sich darauf einen Bruteforce-Angriff zu verhindern bzw. zu unterbinden. (Port umlenken, User root sperren, Fehlversuche eindämmen, etc.)

  1. Webmin SSL aktivieren:
    In der Konfiguration auf SSL-Verschlüsselung und dort SSL aktivieren, wenn verfügbar aktivieren.
    (Danach nicht verzweifeln, es kann ein paar Versuche dauern bis der SSL-Handshake zum erstenmal richtig funktioniert.)
  2. Evtl. unter IP-Zugriffskontrolle z.B. *.dip.t-dialin.net eintragen.
    (Nur falls Du immer von einem T-DSL-Anschluß da rein willst.)
  3. Port ändern:
    In Anschluss und Adresse den Port auf (z.B.) 999 legen.
  4. Zusätzlich: mitloggen der Aktionen aktivieren
  5. Unter Authentisierung die Einstellungen überprüfen und z.B. nur drei falsche Logins erlauben und die Sperrzeit höher setzen.
  6. Einen eigenen Webmin-User anlegen mit dem man dann alles macht. Den Zugang für den User root sperren.

Evtl. gibt es bei der SSL-Aktivierung Probleme. Dann muss für Perl das Packet Net::SSLeay nach installiert werden. (Entweder als Packet des Distributors oder per CPAN:) 

perl -MCPAN -e install Net::SSLeay

Falls dabei der installer meckert fehlt wahrscheinlich das devel-Packet von openssl.

SSL-Tunnel:

Eine einfache Alternative zu den oben genannten Schritten ist es, Webmin immer nur über einen SSL-Tunnel abzurufen. Dabei braucht man im Webmin selbst lediglich die feste IP 127.0.0.1 einstellen. Entweder in der /etc/webmin/miniserv.conf den Parameter bind=127.0.0.1 setzten, oder im Webmin selbst: "Webmin Konfiguration" -> "Anschluss und Adresse" auf "nur diese Adresse" setzen.

Nun muß lediglich ein SSL-Tunnel im SSH-Client gesetzt werden. Z.B. anhand von Putty, wird unter "Connection" -> "SSH" -> "Tunnels" folgendes eingetragen:
Source port: 10000
Destination: 127.0.0.1:10000
Danach auf "Add" klicken, damit dieser Eintrag auch tatsächlich aufgenommen wird.

Nach einem erneutem Login per Putty auf dem Server sollte folgende URL im Browser funktionieren: http://localhost:10000

Achtung:
Hierbei sollte man auf eine zusätzlich SSL-Verschlüsselung von Webmin verzichtet werden. Da die SSH-Verbindung bereits verschlüsselt ist, wäre eine zweite Instanz eher Kontraproduktiv und verringert die Geschwindigkeit.

 

sozial Bookmarking
Bookmarken bei YIGG Bookmarken bei Mister-Wong Bookmarken bei Icio Bookmarken bei del.icio.us Bookmarken bei Technorati Bookmarken bei Furl Bookmarken bei Spurl Bookmarken bei Yahoo Bookmarken bei Google

vom 2006-01-05 12:52, zuletzt 2008-05-01 14:15     Artikel ausdrucken Artikel weiterempfehlen Als PDF-Datei anzeigen

Dieser Inhalt ist unter der Creative-Commons Lizenz lizensiert.

Probleme bitte im Server-Support-Forum diskutieren.

Rubriken zu diesem Artikel
überflüssig 1 2 3 4 5 wertvoll  
Durchschnittliche Bewertung:   3.42 von 5 (12 Bewertungen)

Artikel kommentieren