Hallo Allemaal,
ik heb 3 ubuntu servers die ik allemaal met ssh onderhoud, maar ook met webmin. Ssh is natuurlijk superstabiel, maar soms is het werken met de commandline en alleen configfiles met commentaren er in toch wat onhandig en dan is webmin heel handig. Dat wou ik toch even kwijt aan siegi en gandyman vooral.
Verder zag ik nogal wat opmerkingen over en weer gaan over veiligeheid, brute force attacks, root een password geven
en daar wil ik graag wat commentaar en toelichting op geven:
Geef root NOOIT een password en toegang, ook niet om webmin te gebruiken! Als je webmin installeert dan hebben automatisch alle gebruikers die sudo rechten hebben ook toegang tot webmin, is dat niet zo .... dan heb je webmin niet goed geïnstalleerd (mijn advies in dat geval: RTM)
Een aardige methode om brute force attacks tegen te gaan is het toepassen van een TCP-wrapper op de ssh-poort. Dat is echter alleen zinvol wanneer je jouw server vanaf een beperkt (en dus bij jou bekend) aantal ip-adressen/-adresreeksen gaat benaderen.
De grap zit hem in twee bestanden die je in /etc/ plaatst: hosts.deny en hosts.allow . Het principe is als volgt: er komt een aanvraag binnen voor een bepaalde service, bijv. ssh, dan kijkt die server eerst in hosts.deny en daarna in hosts.allow om te zien of specifieke hosts moeten worden geblokkeerd of juist toegelaten tot die service. Er staan genoeg voorbeelden op internet over hoe die bestanden eruit moeten zien, maar ik zal toch even een voorbeeld geven:
/etc/hosts.deny bevat bijv:
sshd: ALL #dit spreekt voor zich: niemand heeft toegang#
/etc/hosts.allow bevat bijv:
sshd : 192.168.1.0/255.255.255.0, 213.19.9.200, orange.nl #dit is de lijst met hosts, ranges en domeinen die wel toegang hebben tot de ssh-server#
Vooral de eerste entry: 192.168.1.0/255.255.255.0 is belangrijk omdat zonder deze entry je ook vanaf het lokale netwerk geen toegang meer zou hebben. Check even je eigen netwerkconfiguratie om de juiste entry uit te vinden.
Als er nu mensen zijn die proberen je server te hacken, dan krijgen die simpel een "connection refused" van de ssh-server en er wordt nooit op de gebruikersnaam/wachtwoordcombi gereageerd. Simpel maar behoorlijk effectief, de eerste server die ik op deze manier dicht heb getimmerd is van vele duizenden tries per week naar enkele tientallen per week gedaald.
Als je ssh goed hebt draaien en je hebt met hosts.deny en hosts.allow de bruteforce attack een beetj eonder controle dan kun je met webmin je server beheren zonder dat je daarvoor een poort naar buiten open zet
Dat doe je door in de terminal het volgende commando in te voeren:
ssh -L10000:<lokaal_ip_adres_server>:10000 <username>@<internet_adres_van_jouw_router>
Werk je op windows en dan gebruik je putty dan geef je het adres van je server op internet op de bekende manier op, maar daar voeg in /connection/SSH/tunnels nog het getal 10000 in het veld Source port aan toe én in het veld Destination vul je in: <lokaal_ip_adres_server>:10000
de <username> geef op zodra de prompt erom vraagt
Vervolgens start je je browser op en open je
https://localhost:10000
Nu kan je inloggen op webmin van je server zoals je dat in het lokale netwerk ook zou kunnen doen.
Oh ja ik zag ook nog dat je door webmin te gebruiken niets zou leren van hoe je server werkt, daar ben ik het niet mee eens. Als je webmin gebruikt zonder dat je weet wat je doet, dan is je server heel snel onbruikbaar. Webmin houdt je meestal niet tegen om onmogelijke configursaties te doen. Het is echter wel heel gemakkelijk om je systeemmail te lezen, je logs door te pluizen, even snel te zien hoeveel ruimte er op je schijven is, een schijf snel offline te zetten, enz. enz. Moeilijk doen is leuk, maar niet altijd zinvol, uiteindelijk moet je ook bij gebruik van webmin gewoon de manual induiken om alles goed te regelen
De installatie van webmin loopt in mijn optiek het beste wanneer je webmin aan je /etc/apt/sources.list toevoegt met de volgende entry:
deb http://download.webmin.com/download/repository sarge contrib
Als je dat het opgeslagen moet je zorgen dat de repository bij het update geen foutmeldingen geeft en dat doe je door de key te downloaden:
wget http://www.webmin.com/jcameron-key.asc
en deze vervolgens te installeren:
sudo apt-key add jcameron-key.asc
Hierna doe je apt updaten apt-get update en apt-get upgrade. Nu kan jee webmin installeren met:
sudo apt-get install webmin
Ik geef toe dat mijn uitleg wat rommelig is, maar ik hoop dat jij ( kjonker1 ) hier wat aan hebt en anders misschien iemand anders.
groeten, Menno
[edit]schrijffoutje weggehaald (foute bestandsnaam)[/edit]