De server op afstand beheren

[kjonker1]

Jongens geen ruzie maken daar schiet ik niets mee op.
Ik bv een boodschappen briefje kunnen maken op externe computers ,en dan naar mijn server kunnen sturen dat wil ik.
En als ik daar webmin moet gebruikenof putty en is mij om het even

[siegi]

Dit gaat niet over dit topic maarja.

Je zit wel onstabiele software aan te prijzen bij alle gebruikers, terwijl je drommels goed weet dat het vol met bugs zit.

Ik heb nergens onstabiele software aangeprezen hoor. 8.10 is een stabiele uitgave van ubuntu. Dit kan idd in tegenstelling zijn tot edgy, voor deze versie hadden ze 2 maand minder. En daarom was ook op voorrand aangegeven dat deze niet stabiel zou zijn. 8.10 is een volwaardige ubuntu uitgifte. (een geen testrelease zoals jij zit te denken).
Mij ging het erover dat de topic starter dit ook dacht toen. Hij had toen overigens al 8.10 erop staan.
Ik ben akkoord met het voordeel van een LTS versie tov een gewone, maar dit heeft het meeste te maken met de langere ondersteuning.  

Ik vind het overigens niet gepast dat je een discussie uit een ander topic hier verder probeert door te drammen.

over webmin.
Automatix werd ook gebruikt door de manager van dell, betekent het daarom dat het goede software was?
Er is genoeg kritiek te vinden op webmin om te twijfelen.
Hosting bedrijven willen meestal ook gewoon dat hun gebruikers alles simpel kunnen configureren. En misschien hebben ze zelf niet voldoende kennis om het fatsoenlijk zonder zo'n tool te doen. linux experts zijn schaars en duur.

[kjonker1]

en nu ? nu jullie het eens zijn ik ben nog stap verder

[Gandyman]

nogmaals tis zijn feest,
Dus hij kan je perfect verder helpen ermee...

[siegi]

Ik bv een boodschappen briefje kunnen maken op externe computers ,en dan naar mijn server kunnen sturen dat wil ik.

Dit gaat nu toch perfect met winscp?

[kjonker1]

Ik heb nu de poort aan gepast naar xxxx in putty
Dat moet ik ook in de router doen toch ?

[siegi]

Als het in putty lokaal werkt via die poort dan kan je idd deze in je router forwarden naar je server.
Zodat je ook met een computer vanaf internet aan je server kan.

[kjonker1]

Ik zal het binnekort het eens proberen,alvast bedank voor jullie hulp

[sniper_david]

Ik ben ook geen liefhebber van webmin.

Het is mooi gedaan werk, niet echt eenvoudig in het bedienen.
Je leert enorm weinig hoe je server werkt.

Via een SSH verbinding en de goede oude terminal leer je echt veel.
je leert snel waar je con-files liggen en hoe je ze moet aanpassen.
vergeet niet het zijn simpele text-files.

Met een beetje lezen en googelen ben je er snel mee weg

[Menno_]

Hallo Allemaal,

ik heb 3 ubuntu servers die ik allemaal met ssh onderhoud, maar ook met webmin. Ssh is natuurlijk superstabiel, maar soms is het werken met de commandline en alleen configfiles met commentaren er in toch wat onhandig en dan is webmin heel handig. Dat wou ik toch even kwijt aan siegi en gandyman vooral.

Verder zag ik nogal wat opmerkingen over en weer gaan over veiligeheid, brute force attacks, root een password geven    en daar wil ik graag wat commentaar en toelichting op geven:

Geef root NOOIT een password en toegang, ook niet om webmin te gebruiken! Als je webmin installeert dan hebben automatisch alle gebruikers die sudo rechten hebben ook toegang tot webmin, is dat niet zo .... dan heb je webmin niet goed geïnstalleerd (mijn advies in dat geval: RTM)

Een aardige methode om brute force attacks tegen te gaan is het toepassen van een TCP-wrapper op de ssh-poort. Dat is echter alleen zinvol wanneer je jouw server vanaf een beperkt (en dus bij jou bekend) aantal ip-adressen/-adresreeksen gaat benaderen.
De grap zit hem in twee bestanden die je in /etc/ plaatst: hosts.deny en hosts.allow . Het principe is als volgt: er komt een aanvraag binnen voor een bepaalde service, bijv. ssh, dan kijkt die server eerst in hosts.deny en daarna in hosts.allow om te zien of specifieke hosts moeten worden geblokkeerd of juist toegelaten tot die service. Er staan genoeg voorbeelden op internet over hoe die bestanden eruit moeten zien, maar ik zal toch even een voorbeeld geven:
/etc/hosts.deny bevat  bijv:

Code: [Selecteer]

sshd: ALL  #dit spreekt voor zich: niemand heeft toegang#/etc/hosts.allow bevat bijv:

Code: [Selecteer]

sshd : 192.168.1.0/255.255.255.0, 213.19.9.200, orange.nl #dit is de lijst met hosts, ranges en domeinen die wel toegang hebben tot de ssh-server#Vooral de eerste entry: 192.168.1.0/255.255.255.0 is belangrijk omdat zonder deze entry je ook vanaf het lokale netwerk geen toegang meer zou hebben. Check even je eigen netwerkconfiguratie om de juiste entry uit te vinden.
Als er nu mensen zijn die proberen je server te hacken, dan krijgen die simpel een "connection refused" van de ssh-server en er wordt nooit op de gebruikersnaam/wachtwoordcombi gereageerd. Simpel maar behoorlijk effectief, de eerste server die ik op deze manier dicht heb getimmerd is van vele duizenden tries per week naar enkele tientallen per week gedaald.

Als je ssh goed hebt draaien en je hebt met  hosts.deny en hosts.allow de bruteforce attack een beetj eonder controle dan kun  je met webmin je server beheren zonder dat je daarvoor een poort naar buiten open zet Dat doe je door in de terminal het volgende commando in te voeren:

Code: [Selecteer]

ssh -L10000:<lokaal_ip_adres_server>:10000 <username>@<internet_adres_van_jouw_router>Werk je op windows en dan gebruik je putty dan geef je het adres van je server op internet op de bekende manier op, maar daar voeg in /connection/SSH/tunnels nog het getal 10000 in het veld Source  port aan toe én in het veld Destination vul je in:  <lokaal_ip_adres_server>:10000
de <username> geef op zodra de prompt erom vraagt
Vervolgens start je je browser op  en open je

Code: [Selecteer]

https://localhost:10000
Nu kan je inloggen op webmin van je server zoals je dat in het lokale netwerk ook zou kunnen doen.

Oh ja ik zag ook nog dat je door webmin te gebruiken niets zou leren van hoe je server werkt, daar ben ik het niet mee eens. Als je webmin gebruikt zonder dat je weet wat je doet, dan is je server heel snel onbruikbaar. Webmin houdt je meestal niet tegen om onmogelijke configursaties te doen. Het is echter wel heel gemakkelijk om je systeemmail te lezen, je logs door te pluizen, even snel te zien hoeveel ruimte er op je schijven is, een schijf snel offline te zetten,  enz. enz. Moeilijk doen is leuk, maar niet altijd zinvol, uiteindelijk moet je ook bij gebruik van webmin gewoon de manual induiken om alles goed te regelen

De installatie van webmin loopt in mijn optiek het beste wanneer je webmin aan je /etc/apt/sources.list toevoegt met de volgende entry:

Code: [Selecteer]

deb http://download.webmin.com/download/repository sarge contribAls je dat het opgeslagen moet je zorgen dat de repository bij het update geen foutmeldingen geeft en dat doe je door de key te downloaden:

Code: [Selecteer]

wget http://www.webmin.com/jcameron-key.ascen deze vervolgens te installeren:

Code: [Selecteer]

sudo apt-key add jcameron-key.asc Hierna doe je apt updaten apt-get update en apt-get upgrade. Nu kan jee webmin installeren met:

Code: [Selecteer]

sudo apt-get install webmin
Ik geef toe dat mijn uitleg wat rommelig is, maar ik hoop dat jij ( kjonker1 ) hier wat aan hebt en anders misschien iemand anders.

groeten, Menno

[edit]schrijffoutje weggehaald (foute bestandsnaam)[/edit]

[Roel1963]

Verder zag ik nogal wat opmerkingen over en weer gaan over veiligeheid, brute force attacks, root een password geven    en daar wil ik graag wat commentaar en toelichting op geven:

Geef root NOOIT een password en toegang, ook niet om webmin te gebruiken! Als je webmin installeert dan hebben automatisch alle gebruikers die sudo rechten hebben ook toegang tot webmin, is dat niet zo .... dan heb je webmin niet goed geïnstalleerd (mijn advies in dat geval: RTM)

Dit is heel merkwaardig. Wat is het geven van een password aan root gevaarlijker dan gebruikers met sudo-rechten? Voorzover ik heb begrepen maakt dit voor de veiligheid niets uit, of het verhaal is verkeerd op me overgekomen.

Overigens kom ik in iedere howto met betrekking tot webmin het root password tegen, dus ik ben erg benieuwd naar de uitleg.

[kjonker1]

Een een feedback geven:

Ik doe het nu met putty,heb een poort open in gezet in mijn adsl modem.
Nu kan ik met putty op afstand dingen maken + aanpassen.

[Dennisgroot]

Bij geautomatiseerde aanvallen worden vaak bekende gebruikersnamen geprobeerd.
Als je root een wachtwoord geeft is de kans groter dat je gehacked wordt.
Daarnaast als je gehacked wordt op root heeft de aanvaller meteen een super account in handen.
En deze kan dan alles doen.

[Menno_]

Als je een account hebt dat kan inloggen dan wil dat nog niet zeggen dat je met dat account de server kan beheren. Kijk maar eens in de lijst met accounts, daarin staan een flink aantal accounts die specifiek voor één bepaalde taak aanwezig zijn. Zo is er ook het verhaal met sudoers een sudoer die is ingelogd, mag per definitie namelijk ook niks, wil hij iets systeembeheerderigs doen, dan moet hij zijn password nogmaals geven.

Hij krijgt dan 15 minuten beheerdersrechten, daarna moet hij weer zijn password geven. (als je trouwens voor de duur van je sessie beheersrechten wilt, dan kun je het commando sudo -i  geven). Dat is een hele handige controle voor jezelf dat je weet dat je in de configuratie aan het ingrijpen bent.

Kom je verder op het punt waarom je het beste geen poort naar webmin kunt openzetten. Als je weet dat sudo-accounts sowieso toegang krijgen tot webmin + de eventuele extra account(s) die je (specifieke) webmin-rechten geeft, dan snap je ook wel dat je een veiligheidslek hebt. Een tunnel voor de webminpoort via ssh aanleggen is eigenlijk een must!

Alle poorten die niet open moeten zijn voor de werkiing van je server, moet je ook gewoon dichtlaten. De draai je bijvoorbeeld een webserver, dan heb je alleen poort 80 (en als je ssl gebruikt 443) en eventueel poort 22 om van afstand te kunnen beheren en lieftst met een tcp-wrapper (zie mijn vorige reactie). Als jer toevallig een vpn-router hebt is dat overigens nog mooier, want dan hoef je niks extra te tunnelen en kan je op afstand werken met je server alsof je lokaal werkt, het enige verschil wat je merkt is dat je (waarschijnlijk)  iets minder bandbreedte hebt. Als je op je  webserver ook ftp draait (poort 21), dan moet je eraan denken dat een sudoer geen ftp rechten geeft  . Ftp is onversleuteld en ieder commando dat geeft wordt iedere keer weer voorzien van je naam en password, is nou iemand net bezig het verkeer van en naar jou server te sniffen, dan ziet hij jouw naam en wachtwoord iedere keer vooorbij komen... t is maar dat het weet.

Iemand sudoer maken is  heus iets anders dan root een account geven dat gebruik kan maken van services die van buitenaf bereikbaar zijn.  Zorgen dat root niet kan inloggen en dat een tool zoals webmin alleen via een tunnel bereikbaar en dat ssh en/of vpn alleen van bepaalde adressen en/of reeksen bereikbaar zijn niet de absolute remedie (dat is alleen heel onzinnig alle communicatie onmogelijk maken), maar ze geven je wel iets meer tijd, doordat je het de hackers moeilijker maakt én omdat je ze minder ingangen geeft is het dus makkelijk om eventuele problemen (lees hackpogingen) snel en gemakkelijk in je logs te herkennen (of bijvoorbeeld scripts te maken die het voor je in de gaten houden)

[karlhungus]

Hallo kjonker.

Heb dit verhaal een beetje doorgenomen. SSH login op afstand schitterend natuurlijk. En helemaal waar dat het de beste manier is van het beheren van je server wat mij betreft. Maar de grote vraag is wat wil je doen met die server? en daarbij vooral wat is je kennis van bash. en je ervaring met van de commandline werken. want grafisch gezien is het natuurlijk helmaal nul comma nul. zwarte achtergrond witte tekst. en commandos leren.

kan je niet beter beginnen met een normale ubuntu lts 8.04 editie Desktop editie.
Volgens mij prakken ze voor de desktop editie gewoon een gnome frontend op de  server editie en dan is het klaar. (heel kort door de bocht dat wel).

dan heb je in iedergeval het voordeel van de grafische interface. dat als je er echt niet uitkomt je altijd nog ff via rdp of vnc kan inloggen op je server. en kan beschikken over de grafische  package manager jadie jadie. er zijn ook tools te vinden voor nautilus dat hij de commandos die ji met je muis uitvoerd ook in de konsole uitvoert zodat je ziet wat er gebeurd. heb dat zelf een periode gebruikt met KDE en heb daar een hoop commandos van  geleerd.

webmin zou ik pas aan beginnen als je weet hoe de server werkt en waar wat te vinden is.  ook zodat je het knap kan beveiligen. Zit er nu zelf ook weer mee te rommelen. maar veel dependencies. rare script bugjes. leuk als het werkt maar raadt het niet aan.

[Johan van Dijk]

Webmin haalt (bij mij in ieder geval) de configuratiebestanden overhoop. De volgorde van veel instellingen verandert en zo staan de instellingen niet meer bij het commentaar wat ook in de configuratiebestanden staat.
Dat maakt het veel lastiger om handmatig dingen te veranderen.

Kijk bijvoorbeeld eens naar het configuratiebestand van samba: /etc/samba/smb.conf
Stel je voor dat alle configuratie-opties helemaal bovenaan het bestand komen te staan, dus niet meer bij alle uitleg die ook in het bestand staat...

[karlhungus]

helemaal mee eens Johan.

wat ik nog vergeten was. Er is ook nog een andere variant van webmin, ebox.
Maar als we het nu hebben over een app die je configs overhoop haalt, belachelijk veel dependencies installeert en (daarom) veel te veel resources neemt. wat een ellende was dat. mijn advies blijf ook daar verre van lol.