PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : macht webmin den rechner unsicher?



Bruce
27.09.04, 18:31
Hi!

Ich habe einen Rootserver und wollte fragen, wie gefährlich es ist, webmin zu installieren. Reiße ich da irgendwelche großen Sicherheitslöcher auf oder kann ich das bedenkenlos machen? Ich nutze Debian Woody und würde die letzte Stable Version verwenden.

Gruß
Bruce

Blade
27.09.04, 21:14
Installier den ssh-Server und installier danach Webmin. Sodann kannst Du Webmin per https:// aufrufen ... ich denke, das ist schon sicher genug.

chrigu
27.09.04, 21:16
Hi,
Ich würde Webmin installieren und dann immer nur starten, wenn du es benötigst! Natürlich per https..

Gruss
Chrigu

golem
28.09.04, 04:55
Hi, Bruce..
Chrigu hat recht, das ist die zweite Maßname. Die erste ist, sich Fragen zu beantworten.
1. Wie wichtig ist dein System
2. Wie lange dauert es dieses zu updaten (im Schadensfall, Backup etc...)
3. Wie hoch ist die Wahrscheinlichkeit das Schaden auftritt (Angriff, Dummheit, Fahrlässigkeit)
4. Hat potentieller Angreifer Möglichkeiten dies zu tun (Kompetenz, Dialup, Mehrbenutzer)
5. Wenn alles mit ja beantwortet, stellt sich die Frage, ob jemand der die Fähigkeiten und die Möglichkeiten hat Dir zu schaden auch die Intention hat dies zu tun (eher unwahrscheinlich).
So, nun zur Sache : Ich hab über einen Zeitraum von 4 Monaten drei Server mit offenem Webmin im Netz mit Dialup Verbindung ohne Firewall gehabt (Testzwecke) und keinen einzigem Zwichenfall erlebt, nicht mal einen Versuch. Webmin gibt einem Nutzer unter bestimmten Vorraussetzungen die volle Kontrolle, das ist klar (genau wie Telnet, Ftp, etc...), aber ob ich zum Beispiel (der selbst viele hundert Stunden mit Konfigurationsarbeit verbracht hat) Deinen offenen Webmin mißbrauchen würde ?. Ja, ich würd Dir ne Mail über die shell schicken, das wars.
Ich denke die meisten würden so reagieren. Und die anderen ?. Denen fehlt schon jede Chance, wenn Du nur ssh verwendest (haben nicht die Kompetenz).
Generell gilt immer, 1. was Du nicht brauchst wird nicht gestartet. 2. Was Du brauchst wird mit einem Packetfilter gesichert. 3. Was Du und viele brauchen (Webserver mit externen User Access z.B.) wird mit 1 und 2 und Schnellem Backup gefahren (recovery CD, Spiegelplatte et...).
Hochverfügbarkeitssysteme sind eine andere Kategorie, die stehen nie alleine da und haben auch Filter und Proxy's auf Ebene 4,5 und 6.
Noch zum Abschluss, Webmin ist genauso gefährlich wie ein Gewehr, nämlich gar nicht. Der Mann der diese Dinge benutzt ist gefährlich oder eben nicht..
Und am Ende noch'n Tip. Wenn Du nicht alles brauchst (aus Webmin), dann konfigurier Dir den Apache für Webmin und baue eine venünftige Nutzerauthentifizierung (Ldap, Dbd, etc...).
Dann kannst Du die Webmin Module ziemlich gut unter den Sicherheitsregimes Deines Webservers nutzen (brauchst also den Webmin Miniserver nicht mehr zu starten) und hast sicheren Zugriff von außen. Wenn Du deinen Webmin nicht von außen nutzen mußt, kannst Du Dir das alles sparen (ssh, ipaccesskontrolle reicht), ich kenne nur sehr wenige Leute die das dann noch knacken und die haben keine Zeit für Dich weil Sie meistens in der Sicherheitsbranche und als Administratoren arbeiten.
Merke, die meisten Geschichten über "das gefährliche Internet" werden von Leuten in Presse und Rundfunk kolportiert, die nicht einmal von den Grundlagen des IP Netzwerkes eine blasse Ahnung haben.
So, and now, happy change a running system, carefully :-)))
mfg
golem

Stormbringer
28.09.04, 06:48
Installier den ssh-Server und installier danach Webmin. Sodann kannst Du Webmin per https:// aufrufen ... ich denke, das ist schon sicher genug.
ssh?
Ich dachte immer, daß es via perl-Net-SSLeay geht ... ;)

Gruß

dauni
28.09.04, 07:08
@golem - 4 Monate sind dann aber schon nicht gerade viel. Und nur weil du sowas nicht machst .....

Ich habe gerade erlabet, wie eine Website zweimal hintereinander defaced wurde. Grund: Es läuft phpnuke ;) Falls jemand per Zufall draufkommt, dass da ein Webmin läuft und der dann auch noch offen/knackbar ist (oder bekannte Lücken hat), garantiere ich einen Schaden. Sowas kann dann aber auch mal das eine oder andere Jährchen dauern ....

Roger Wilco
28.09.04, 11:41
Webmin auf localhost binden und bei Bedarf einen SSH-Tunnel zum Server aufbauen, der den Port 10000 tunnelt...
Sollte sicher genug sein.

rancor
30.09.04, 21:35
hi, ich habe nun Suse 9.1 drauf und finde mich einfach nicht mehr zurecht.
Ich kann mich zwar per ssh anmelden, aber nicht als root, nun weis ich natürlich nicht wo ich das ändern kann. für hilfe wäre ich natürlich sehr dankbar :confused:

Roger Wilco
01.10.04, 00:50
Schau in der Datei /etc/ssh/sshd_config nach. Die Einstellung heißt "PermitRootLogin".