Webmin absichern

Warum?
Webmin ist neben der ssh-Shell eine hoch berechtigte Schnittstelle zum System. Um möglichst wenig Angriffspunkte zu haben sollte man mit ein paar kleinen Schritten das System sicherer machen.

Aktionen:

Alles spielt sich im Webmin in der Webmin Konfiguration ab.
Der größte Teil bezieht sich darauf einen Bruteforce-Angriff zu verhindern bzw. zu unterbinden. (Port umlenken, User root sperren, Fehlversuche eindämmen, etc.)

  1. Webmin SSL aktivieren:
    In der Konfiguration auf SSL-Verschlüsselung und dort SSL aktivieren, wenn verfügbar aktivieren.
    (Danach nicht verzweifeln, es kann ein paar Versuche dauern bis der SSL-Handshake zum erstenmal richtig funktioniert.)
  2. Evtl. unter IP-Zugriffskontrolle z.B. *.dip.t-dialin.net eintragen.
    (Nur falls Du immer von einem T-DSL-Anschluß da rein willst.)
  3. Port ändern:
    In Anschluss und Adresse den Port auf (z.B.) 999 legen.
  4. Zusätzlich: mitloggen der Aktionen aktivieren
  5. Unter Authentisierung die Einstellungen überprüfen und z.B. nur drei falsche Logins erlauben und die Sperrzeit höher setzen.
  6. Einen eigenen Webmin-User anlegen mit dem man dann alles macht. Den Zugang für den User root sperren.

Evtl. gibt es bei der SSL-Aktivierung Probleme. Dann muss für Perl das Packet Net::SSLeay nach installiert werden. (Entweder als Packet des Distributors oder per CPAN:)

perl -MCPAN -e install Net::SSLeay

Falls dabei der installer meckert fehlt wahrscheinlich das devel-Packet von openssl.

SSL-Tunnel:

Eine einfache Alternative zu den oben genannten Schritten ist es, Webmin immer nur über einen SSL-Tunnel abzurufen. Dabei braucht man im Webmin selbst lediglich die feste IP 127.0.0.1 einstellen. Entweder in der /etc/webmin/miniserv.conf den Parameter bind=127.0.0.1 setzten, oder im Webmin selbst: "Webmin Konfiguration" -> "Anschluss und Adresse" auf "nur diese Adresse" setzen.

Nun muß lediglich ein SSL-Tunnel im SSH-Client gesetzt werden. Z.B. anhand von Putty, wird unter "Connection" -> "SSH" -> "Tunnels" folgendes eingetragen:
Source port: 10000
Destination: 127.0.0.1:10000
Danach auf "Add" klicken, damit dieser Eintrag auch tatsächlich aufgenommen wird.

Nach einem erneutem Login per Putty auf dem Server sollte folgende URL im Browser funktionieren: http://localhost:10000

Achtung:
Hierbei sollte man auf eine zusätzlich SSL-Verschlüsselung von Webmin verzichtet werden. Da die SSH-Verbindung bereits verschlüsselt ist, wäre eine zweite Instanz eher Kontraproduktiv und verringert die Geschwindigkeit.

Kategorien:

Stichwörter:

webmin · admin · sicher · security · absichern · ssl · tunnel · putty ·