Webmin / SSH allow Hosts

M

mcandy007

New Member
Servus,

Könnte mir jemand erklären wie ich 1. mein Webmin nur Zugriff meiner IP-Erlaube jedoch das diese vorher über die den Dienst(No-Ip abgfragt wird)?

Habe zuerst die Domain unter IP-Zugriffskontrolle eingetragen und Löse Hostnamen bei jeder Anfrage auf? auf ja gestellt.

Meine IP wurde von no-ip auch richtig übernommen jedoch webmin hat mich ausgesperrt...

Das gleiche würde ich mir auch bei SSH(sshd) wünschen da es für mich das einfachste, schnellste und einer der sichersten wege wäre.

(Bei ssh habe ich mich schon mit der hosts.allow gespielt was jedoch nicht funktioniere(weder mit ip noch mit domain))

Gibt sicher nen Profi hier der mir hilfe geben kann.

Sollte jemand auch noch ne Lösung für proftpd beihand haben, bitte her damit.

Vielen dank im voraus.

MFG
 
Grundsätzlich halte ich derartige IP-Beschränkungen für eine schlechte, unflexible und z.T. auch unsichere Methode. Wenn denn unbedingt eine zusätzliche Schicht Sicherheit vor dem Webmin-Login eingezogen werden soll (ggf. auch nur für den User root o.ä.), dann über eine lokale VPN-Einwahl. Somit wäre eine eindeutige und klare Authentifizierung gegeben und die Beschränkung auf lokale private IP-Adressen möglich.

Das nächste Problem was Du hast, nennt sich Reverse DNS. No-IP stellt im Prinzip eine Verbindung zwischen einer Domain und Deiner IP her aka my-pc.no-ip.org -> A-Record: 1.2.3.4 (DSL-Anschluss)

Die IP-Sperre funktioniert jedoch umgekehrt. Du schlägst an Deinem Server mit 1.2.3.4 (Dein DSL-Anschluss) auf und der Server versucht Deiner IP-Adresse einen Namen zuzuordnen, dieser wird jedoch von Deinem ISP gesetzt z.B. xyzdyn.teledoof.net. Die Zuordnung von IP zu Name (Reverse DNS) ist eineindeutig und die kannst Du nicht direkt beeinflussen.

Das gleiche gilt für SSH und FTP. Zu SSH: schalte Passwort-Auth aus und erlaube Auth ausschließlich via public Key, wenn ganz bombensicher sein soll: direkten root-login verbieten und mit AllowUsers explizit festlegen, welche User überhaupt mit SSH verbinden dürfen. Dann brauchst Du auch keine Ports verlegen oder IP-Sperren sowie sonstiges Snake-Oil. Die Last durch die üblichen Wörterbuch-Attacken hält sich dann auch sehr in Grenzen, weil die Sessions praktisch sofort wieder geschlossen werden.

Zu FTP: am besten SSL-Verbindungen erzwingen, das lässt die meisten Bots außen vor, die suchen nämlich nur auf Standard-FTP-Verbindungen. Dazu Login/PW ausreichend sicher wählen. Dann passt das schon. Alternativ auf FTP verzichten und stattdessen auf SCP umsteigen (z.B. mit WinSCP) -> siehe SSH. Wenn Du nur allein via FTP auf den Server verbinden willst, scheint mir das sowieso wenig sinnvoll - sondern dann würde ich auf FTP ganz verzichten und direkt nur SSH/SCP nutzen.

Last but not least - frag' mich jetzt bitte nicht, wie Du das an Deinem Server zu konfigurieren hast. Das ist Grundlagen-Wissen sowie der Dokumentation der betreffenden Software leicht zu entnehmen. Entprechende Stichworte für ein schnelles Auffinden habe ich bereits genannt.
 
Last edited by a moderator:
Vielen Dank für die Anregungen, und keine Sorge ich weis mir in den meisten selbst zu helfen ;-) Und soviele Ahnung von Linux(Debian) habe ich auch das mir dies keine Vorkauen muss...

Also Danke nochmals für die Aufschlussreichen Tipps!

lg
 
You must log in or register to reply here.
Back
Top