Login Sicher?

[pas]

Hallo hätte eine Frage bezüglich Webmin,
in SSH habe ich den direkten root login deaktiviert,
nur bei webmin kann man sich direkt als root einloggen, was bei solchen passwortknack Programmen nicht sicher ist....da diese dann die ganze zeit versuchen können sich einzuloggen, was für maßnahmen habt ihr getroffen,
haben welche zusätzlich zum normalen login eine htaccess eingefügt?
wenn ja, reicht es die in den ordner /usr/libexec/webmin zu legen?

Vielen Dank!

 

[V40]

Hallo pas,

ich für mein Teil habe Webmin einfach solange aus wie ich es nicht brauche und erst dann wenn es benötigt wird wird es gestartet.

Dann könntest du noch deinen Hostmask eingeben bei den IP´s die berechtigt sind Webmin aufzurufen.
Dann ist die Wahrscheinlichkeit schon sehr gering das es jemand schaft darüber dein System zu schädigen.

 

[pas]

Vielen Dank,
werde es so wie du machen

/etc/webmin/stop
=============
/etc/webmin/start

 

[Darkdream]

Ich habe mir meine IP in den erlaubten IPs freigeschlatet und fertig

Für leute die keine statische IP haben (wie mich) hier ein kleines Workaround:
Einfach einen dynamischen DNS registrieren (dyndns.org) und diesen Host dann einfach in Webmin eintragen, fertig

 

[Huschi]

Ich habe in Webmin vorallem die Anzahl der Fehlversuche auf 2 minimiert und die darauf folgende Sperrzeit gleich auf 60 Minuten gestellt. Damit haben Bruteforce-Programme keinen Spaß.
Ausserdem lasse ich mir täglich die Loginversuche anzeigen (logwatch machts möglich).
Und ähnlich wie Darkdream lasse ich für 'root' nur Zugriffe von "*.dip.t-dialin.net" zu.

Damit läuft das alles halbwegs sicher.

huschi.

 

[blob]

Ich benutze webmin/usermin auch für meinen e-mail-Service. Dazu wird anfangs jeder mail-user als 'unix-user' dh normaler Benutzer des Rechners eingetragen. Schwachsinnigerweise geht das bei webmin/usermin nur als root, also ich muss auf meiner home-page dick und breit schreiben dass man sich bei meinem Rechner als root ohne password einloggen kann; siehe dazu die 1-te homepage in meiner Signatur.

Hat jemand ein script, was ich in meine home-page einbauen kann und mit dem man von dieser aus auch ohne explizitem root-einloggen einen bestimmten system-/unix-user einrichten kann ? [meinetwegen ohne passwd was die Person dann innerhalb usermin einstellen kann](ein script was also gerade für das automtisch root-Berechtigung hat o.ä.) ???

 

[monotek]

Ich benutze webmin/usermin auch für meinen e-mail-Service. Dazu wird anfangs jeder mail-user als 'unix-user' dh normaler Benutzer des Rechners eingetragen. Schwachsinnigerweise geht das bei webmin/usermin nur als root, also ich muss auf meiner home-page dick und breit schreiben dass man sich bei meinem Rechner als root ohne password einloggen kann; siehe dazu die 1-te homepage in meiner Signatur.

BITTE?!
Ich seh da grad garkeinen Zusamenhang?!

 

[Huschi]

@blob:
a) Du hast echt eine komische Art.
b) "Schwachsinnigerweise" geht es auch ohne root-Zugang, solange man weiß, was man eigendlich macht und will. Aber das gehört definitiv in einen eigenen Thread!

huschi.