Webmin absichern
Warum?
Webmin ist neben der ssh-Shell eine hoch berechtigte Schnittstelle zum System. Um möglichst wenig Angriffspunkte zu haben sollte man mit ein paar kleinen Schritten das System sicherer machen.
Aktionen:
Alles spielt sich im Webmin in der Webmin Konfiguration
ab.
Der größte Teil bezieht sich darauf einen Bruteforce-Angriff zu verhindern bzw. zu unterbinden. (Port umlenken, User root
sperren, Fehlversuche eindämmen, etc.)
- Webmin SSL aktivieren:
In der Konfiguration aufSSL-Verschlüsselung
und dortSSL aktivieren, wenn verfügbar
aktivieren.
(Danach nicht verzweifeln, es kann ein paar Versuche dauern bis der SSL-Handshake zum erstenmal richtig funktioniert.) - Evtl. unter
IP-Zugriffskontrolle
z.B.*.dip.t-dialin.net
eintragen.
(Nur falls Du immer von einem T-DSL-Anschluß da rein willst.) - Port ändern:
InAnschluss und Adresse
den Port auf (z.B.) 999 legen. - Zusätzlich:
mitloggen der Aktionen
aktivieren - Unter
Authentisierung
die Einstellungen überprüfen und z.B. nur dreifalsche Logins
erlauben und dieSperrzeit
höher setzen.
- Einen eigenen Webmin-User anlegen mit dem man dann alles macht. Den Zugang für den User
root
sperren.
Evtl. gibt es bei der SSL-Aktivierung Probleme. Dann muss für Perl das Packet Net::SSLeay nach installiert werden. (Entweder als Packet des Distributors oder per CPAN:)
perl -MCPAN -e install Net::SSLeay
Falls dabei der installer meckert fehlt wahrscheinlich das devel-Packet von openssl.
SSL-Tunnel:
Eine einfache Alternative zu den oben genannten Schritten ist es, Webmin immer nur über einen SSL-Tunnel abzurufen. Dabei braucht man im Webmin selbst lediglich die feste IP 127.0.0.1
einstellen. Entweder in der /etc/webmin/miniserv.conf
den Parameter bind=127.0.0.1
setzten, oder im Webmin selbst: "Webmin Konfiguration" -> "Anschluss und Adresse" auf "nur diese Adresse" setzen.
Nun muß lediglich ein SSL-Tunnel im SSH-Client gesetzt werden. Z.B. anhand von Putty, wird unter "Connection" -> "SSH" -> "Tunnels" folgendes eingetragen:
Source port: 10000
Destination: 127.0.0.1:10000
Danach auf "Add" klicken, damit dieser Eintrag auch tatsächlich aufgenommen wird.
Nach einem erneutem Login per Putty auf dem Server sollte folgende URL im Browser funktionieren: http://localhost:10000
Achtung:
Hierbei sollte man auf eine zusätzlich SSL-Verschlüsselung von Webmin verzichtet werden. Da die SSH-Verbindung bereits verschlüsselt ist, wäre eine zweite Instanz eher Kontraproduktiv und verringert die Geschwindigkeit.
Kategorien:
Stichwörter:
webmin · admin · sicher · security · absichern · ssl · tunnel · putty ·