Bloquer webmin sous un sous-domaine

Besoin d'aide pour faire le premier pas ? vous ne savez pas quelle dristrib choisir ? c'est ici !

Modérateur : jeannot61

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Bloquer webmin sous un sous-domaine

Message par Musyanon » jeu. 21 mars 2013 20:07

Salut, voila j'utilise webmin pour gérer plus facilement mes serveurs et j'aurai aimer savoir s'il est possible de bloquer webmin sous un sous-domaine ? Car ce que je voudrai c'est qu'il ne soit accessible seulement via webmin.mondomaine.com et non pas sur chaque domaine rattaché au serveur..

Voilà si quelqu'un a une idée :D
Image

Avatar du membre
laurent
Administrateur du site
Administrateur du site
Messages : 1088
Enregistré le : lun. 30 avr. 2012 11:30
Localisation : Molsheim
Contact :

Re: Bloquer webmin sous un sous-domaine

Message par laurent » ven. 22 mars 2013 10:09

Hum as tu un serveur dédié ?

Je ne comprend pas trop ce que tu veu faire au juste. Tu donne accès a webmin a tout le monde ?
ASUS SABERTOOTH 990FX R2.0
AMD FX-8350 Cadencé à 4 GHz
16 Go GSkill PC3-14900
Radeon HD 5970 DDR5
SSD Crucial 250Go
Boitier Cooler Master HAF-932

bogucool
Timide
Timide
Messages : 20
Enregistré le : ven. 22 mars 2013 09:57

Re: Bloquer webmin sous un sous-domaine

Message par bogucool » ven. 22 mars 2013 10:51

on peut changer le port et l'interface sur lesquel webmin écoute, webmin ne sais pas ce qu'est un domaine à priori.

Si tu parles de domaine je dirais que c'est sur une machine exposée sur le net.
Donc à priori cette machine héberge surement un serveur web qui lui sait gérer la notion de domaine.
Tu modifies la conf de ton webmin pour qu'il ne soit en écoute que sur l'interface localhost.
Tu ouvres le domaine spé pour webmin au niveau de ton serveur web avec un proxying vers le webmin en localhost.

En terme de sécurité il faut éviter toute interface d'admin exposée directement sur le net.
Perso je monte systématiquement un vpn sur mes serveurs et toutes les interfaces d'admin ne sont accessibles que via l'interface vpn.

Avatar du membre
laurent
Administrateur du site
Administrateur du site
Messages : 1088
Enregistré le : lun. 30 avr. 2012 11:30
Localisation : Molsheim
Contact :

Re: Bloquer webmin sous un sous-domaine

Message par laurent » ven. 22 mars 2013 11:12

Ok j'ai plus rien a dire mdr
ASUS SABERTOOTH 990FX R2.0
AMD FX-8350 Cadencé à 4 GHz
16 Go GSkill PC3-14900
Radeon HD 5970 DDR5
SSD Crucial 250Go
Boitier Cooler Master HAF-932

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Re: Bloquer webmin sous un sous-domaine

Message par Musyanon » ven. 22 mars 2013 15:58

Oui j'ai un serveur dédié sous ubuntu server.

J'ai bien appache2 dessus, enfaite, admettons que j'ai plusieurs domaine sur mon serveur, monsite1.fr et mosite2.fr. Si j'installe webmin, celui-ci sera accessible sur les deux domaine ainsi que via l'IP. Concernant le port je l'ai déjà changer. Ainsi que l'user root. Et moi ce que je voudrai c'est que webmin ne soit accessible qu'à partir d'un seul domaine et non pas tous...

Le mettre en local aurait était une bonne solution hors comme je n'ai accès au serveur qu'à distance et je n'ai pas d'interface graphique cela poserai problème donc obligé de passer par le net.
Image

bogucool
Timide
Timide
Messages : 20
Enregistré le : ven. 22 mars 2013 09:57

Re: Bloquer webmin sous un sous-domaine

Message par bogucool » ven. 22 mars 2013 20:29

Je me suis mal exprimé ou tu m'as mal compris.

Faire tourner webmin sur l'interface localhost ne veux pas dire le faire tourner dans une machine sur ton réseau local mais en écoute sur l'interface lo, l'interface de loopback du serveur dédié.
Regardes en console root sur ton dédié, tu fais un ifconfig, tu verras l'interface lo.
L'interface de loopback est une interface qui n'est accessible que par la machine elle-même.
Ton webmin sera donc accessible uniquement par le dedié sur l'ip 127.0.0.1 et le port que tu auras défini.

Ensuite tu installes le mod_proxy d'apache.
Tu crées ou modifies la conf apache pour repondre à l'host que souhaites en redirigeant vers 127.0.0.1:port_webmin.
Apache tournant sur ton dedié poura y accéder et le transmettre.

Ton webmin ne sera donc accessible que par le nom d'hote que tu souhaites.

Tout dépends de ce que tu veux exactement.
Souhaites-tu permettre l'accès à d'autres personne que toi ?
Souhaites-tu pouvoir y accéder à partir de n'importe quelle machine ?

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Re: Bloquer webmin sous un sous-domaine

Message par Musyanon » ven. 22 mars 2013 20:55

bogucool a écrit :Je me suis mal exprimé ou tu m'as mal compris.

Faire tourner webmin sur l'interface localhost ne veux pas dire le faire tourner dans une machine sur ton réseau local mais en écoute sur l'interface lo, l'interface de loopback du serveur dédié.
Regardes en console root sur ton dédié, tu fais un ifconfig, tu verras l'interface lo.
L'interface de loopback est une interface qui n'est accessible que par la machine elle-même.
Ton webmin sera donc accessible uniquement par le dedié sur l'ip 127.0.0.1 et le port que tu auras défini.

Ensuite tu installes le mod_proxy d'apache.
Tu crées ou modifies la conf apache pour repondre à l'host que souhaites en redirigeant vers 127.0.0.1:port_webmin.
Apache tournant sur ton dedié poura y accéder et le transmettre.

Ton webmin ne sera donc accessible que par le nom d'hote que tu souhaites.

Tout dépends de ce que tu veux exactement.
Souhaites-tu permettre l'accès à d'autres personne que toi ?
Souhaites-tu pouvoir y accéder à partir de n'importe quelle machine ?
Merci pour ces explications, je dois avouer que je ne suis pas un grand connaisseur sous Linux et que je me débrouille avec ce que je trouve sur le net...
Je comprend le principe de ce que tu m'as détailler mais je sais pas si j'arriverai à le mettre en place ^^

Donc je vais résumer pour voir si j'ai bien tout compris.

1. Je passe Webmin en local seulement.
3. J'active proxy :

Code : Tout sélectionner

a2enmod proxy
4. Je créer un virtualhost :

Code : Tout sélectionner

<VirtualHost 127.0.0.1:port_webmin>
        ProxyRequests Off
        ProxyPreservehost on
        ServerName webmin.mondomaine.com
        ProxyPass  / http://127.0.0.1:port_webmin/
        ProxyPassReverse / http://127.0.0.1:port_webmin/
        <Proxy>
            Order Allow,Deny
            Allow from all
        </Proxy>
</VirtualHost>
5. J'active le conf.
6. Je restart apache2.

Ai-je bon ?
Image

bogucool
Timide
Timide
Messages : 20
Enregistré le : ven. 22 mars 2013 09:57

Re: Bloquer webmin sous un sous-domaine

Message par bogucool » ven. 22 mars 2013 20:59

Non pas bon la conf apache.

Pas le temps de répondre tout de suite.
Je repasse après.

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Re: Bloquer webmin sous un sous-domaine

Message par Musyanon » ven. 22 mars 2013 21:01

bogucool a écrit :Non pas bon la conf apache.

Pas le temps de répondre tout de suite.
Je repasse après.
Je m'en douté que j'avais merdé la conf ^^

Je reste en attente si tu trouve un moment pour me faire une conf :)
Image

bogucool
Timide
Timide
Messages : 20
Enregistré le : ven. 22 mars 2013 09:57

Re: Bloquer webmin sous un sous-domaine

Message par bogucool » ven. 22 mars 2013 21:55

Je dirais plus
<VirtualHost IP_Internet_du_dedié:port_que_tu_veux>
ProxyRequests Off
ProxyPreservehost on
ServerName webmin.mondomaine.com
ProxyPass / http://127.0.0.1:port_webmin/
<Proxy>
Order Allow,Deny
Allow from all
</Proxy>
</VirtualHost>
Je n'ai pas testé, je n'utilise pas apache en proxy mais logiquement tu devrais pouvoir accéder à webmin en tapant dasn ton navigateur http://webmin.mondomaine.com:port_que_tu_veux_definit_dans_virtualhost
Bien sur pense à vérifier que le firewall du dédié autorise la connection sur le port choisit.

Je n'ai plus le temps ce soir, une petite partie d'ETQW m'attend.
Si cela ne fonctionne pas on regardera demain j'aurais un peu de temps.

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Re: Bloquer webmin sous un sous-domaine

Message par Musyanon » sam. 23 mars 2013 00:13

<VirtualHost IP_Internet_du_dedié:port_que_tu_veux>
J'ai mis 80 mais j'ai droit à une erreur 500 x)

Avec un autre port sa ne fonctionne pas j'atterri dans le dossier /var/www :/
Image

bogucool
Timide
Timide
Messages : 20
Enregistré le : ven. 22 mars 2013 09:57

Re: Bloquer webmin sous un sous-domaine

Message par bogucool » sam. 23 mars 2013 10:21

Bon j'ai fais quelques tests rapides ce matin et c'est bien sûr faisable mais cela va complexifié pas mal la conf apache.

Avant de passer du temps à te trouver la bonne conf je voudrais être sûr de plusieurs choses afin de déterminer la solution la plus simple et la plus facilement maintenable pour toi.
  • Souhaites-tu permettre l'accès à d'autres personne que toi ?
    Souhaites-tu pouvoir y accéder à partir de n'importe quelle machine ?
    Disposes-tu d'une connection ssh à ton dédié ?
Réponds déjà à ces questions stp.

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Re: Bloquer webmin sous un sous-domaine

Message par Musyanon » sam. 23 mars 2013 12:31

bogucool a écrit :Bon j'ai fais quelques tests rapides ce matin et c'est bien sûr faisable mais cela va complexifié pas mal la conf apache.

Avant de passer du temps à te trouver la bonne conf je voudrais être sûr de plusieurs choses afin de déterminer la solution la plus simple et la plus facilement maintenable pour toi.
  • Souhaites-tu permettre l'accès à d'autres personne que toi ?
    Souhaites-tu pouvoir y accéder à partir de n'importe quelle machine ?
    Disposes-tu d'une connection ssh à ton dédié ?
Réponds déjà à ces questions stp.
Avant tout merci pour le temps que tu passe la dessus :)

Alors non je ne souhaite permettre l'accès à personne d'autre que moi.
Oui je souhaite y accéder de n'importe quelle machine.
Oui, bien entendu que j'ai j'ai connexion ssh ^^

:okayd:
Image

Avatar du membre
jeannot61
Administrateur du site
Administrateur du site
Messages : 6204
Enregistré le : lun. 17 sept. 2012 07:13

Re: Bloquer webmin sous un sous-domaine

Message par jeannot61 » sam. 23 mars 2013 12:34

Je pense que Laurent sera aussi intéressé par ce débat ;)
AMD FX-8350@4.5GHz Vcore origine, be quiet! Dark Rock Pro 3, Asus Crosshair V Formula-Z, 16Go Kingston 1866MHz, SSD Samsung 840 Pro 256Go, 2 x 1,5Go Western Digital Black, Asus HD7970 DirectCU II Top Bios Presse, Dark Power Pro 850W, Boîtier Cooler Master HAF932.

ghost
Timide
Timide
Messages : 14
Enregistré le : lun. 18 mars 2013 00:16

Re: Bloquer webmin sous un sous-domaine

Message par ghost » sam. 23 mars 2013 12:36

Musyanon a écrit :Salut, voila j'utilise webmin pour gérer plus facilement mes serveurs et j'aurai aimer savoir s'il est possible de bloquer webmin sous un sous-domaine ? Car ce que je voudrai c'est qu'il ne soit accessible seulement via webmin.mondomaine.com et non pas sur chaque domaine rattaché au serveur..

Voilà si quelqu'un a une idée :D
Bonjour,

Quel est l’intérêt de bloquer Webmin sur un seul domaine ?

Ça n'apporte rien au niveau sécurité.

Ghost

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Re: Bloquer webmin sous un sous-domaine

Message par Musyanon » sam. 23 mars 2013 13:11

ghost a écrit :
Musyanon a écrit :Salut, voila j'utilise webmin pour gérer plus facilement mes serveurs et j'aurai aimer savoir s'il est possible de bloquer webmin sous un sous-domaine ? Car ce que je voudrai c'est qu'il ne soit accessible seulement via webmin.mondomaine.com et non pas sur chaque domaine rattaché au serveur..

Voilà si quelqu'un a une idée :D
Bonjour,

Quel est l’intérêt de bloquer Webmin sur un seul domaine ?

Ça n'apporte rien au niveau sécurité.

Ghost
L’intérêt est que si mon site est connu sous le domaine monsite.fr, les mecs ne pourront pas essayer d’accéder à webmin en essayant divers port monsite.fr:xxxx car celui-ci ne sera accessible seulement via un sous domaine :)
Image

ghost
Timide
Timide
Messages : 14
Enregistré le : lun. 18 mars 2013 00:16

Re: Bloquer webmin sous un sous-domaine

Message par ghost » sam. 23 mars 2013 13:52

Musyanon a écrit :
ghost a écrit :
Musyanon a écrit :Salut, voila j'utilise webmin pour gérer plus facilement mes serveurs et j'aurai aimer savoir s'il est possible de bloquer webmin sous un sous-domaine ? Car ce que je voudrai c'est qu'il ne soit accessible seulement via webmin.mondomaine.com et non pas sur chaque domaine rattaché au serveur..

Voilà si quelqu'un a une idée :D
Bonjour,

Quel est l’intérêt de bloquer Webmin sur un seul domaine ?

Ça n'apporte rien au niveau sécurité.

Ghost
L’intérêt est que si mon site est connu sous le domaine monsite.fr, les mecs ne pourront pas essayer d’accéder à webmin en essayant divers port monsite.fr:xxxx car celui-ci ne sera accessible seulement via un sous domaine :)
Quel est ton domaine si ce n'est pas indiscret ?

Ghost

Avatar du membre
Musyanon
Se débrouille pas mal !
Se débrouille pas mal !
Messages : 139
Enregistré le : lun. 17 sept. 2012 19:49

Re: Bloquer webmin sous un sous-domaine

Message par Musyanon » sam. 23 mars 2013 19:43

ghost a écrit :Quel est ton domaine si ce n'est pas indiscret ?

Ghost
musyanon.com par exemple :)
Image

bogucool
Timide
Timide
Messages : 20
Enregistré le : ven. 22 mars 2013 09:57

Re: Bloquer webmin sous un sous-domaine

Message par bogucool » dim. 24 mars 2013 08:50

Alors non je ne souhaite permettre l'accès à personne d'autre que moi.
Oui je souhaite y accéder de n'importe quelle machine.
Oui, bien entendu que j'ai j'ai connexion ssh ^^
Alors dans ce cas le plus simple.

Ton webmin est déjà normalement en écoute uniquement sur 127.0.0.1:port_webmin
En premier lieu vérifier que c'est bien le cas, en console root sur le dédié:

Code : Tout sélectionner

netstat -lataupen | grep ":port_webmin"
cela devrait te retourner au moins une ligne avec 127.0.0.1:port_webmin 0.0.0.0:* LISTEN ...........
si tu as 0.0.0.0:port_webmin c'est que ton webmin écoute toujours sur toutes les interfaces de dédié

ensuite tu utilises ssh pour une redirection de port

Code : Tout sélectionner

ssh -L 1234:127.0.0.1:port_webmin root@ip_du_dédié
laisses la session ssh ouverte et dans ton navigateur tapes comme url https://127.0.0.1:1234
et hop magie tu accèdes à ton webmin

bogucool
Timide
Timide
Messages : 20
Enregistré le : ven. 22 mars 2013 09:57

Re: Bloquer webmin sous un sous-domaine

Message par bogucool » dim. 24 mars 2013 09:26

Quel est l’intérêt de bloquer Webmin sur un seul domaine ?

Ça n'apporte rien au niveau sécurité.
En fait cela n'apporte rien si ce n'est une tentative de limitation de la portée d'accès.

Un service réseau est toujours en écoute sur une_interface:un_port.

Si tu as deux enregistrement dns, nomA.mondomaine.tld et nomB.domaine.tld qui pointent vers l'ip de ton dédié que tu accèdes par un des deux nom d'hôte ou par l'ip cela revient strictement au même, sauf que par les noms de domaine il y a une réolution dns avant mais au final tu y accèdes par l'ip.

Ensuite certains protocoles une fois la connection établie peuvent renvoyer au serveur un certain nombre de paramètre qui répond en fonction.

Donc par éxemple pour http, lorsque tu accèdes à un site par http://nomA.mon_domaine.tld ton navigateur effectue une résolution de nom pour obtenir l'ip correspondant au nom d'hôte. Ensuite il établie la connection au serveur en lui envoyant dans les entêtes le nom d'hôte souhaité, si le serveur le connait il sert les pages correspondantes, sinon il livre les pages du site par defaut.

La question était peut-on le faire ? J'ai répondu oui car c'est faisable.
Mais ce n'est pas parce c'est faisable que c'est ce qu'il faut faire !
La solution que j'ai proposé pour répondre à la question revient en terme de sécu en gros au même que de dire on ne peut pas me cambrioler je n'ai pas mis mon nom sur la boite au lettre.

Webmin (qui est normalement un démon autonome n'ayant rien à voir avec apache) par defaut écoute sur toutes les interfaces de la machine sur laquelle il tourne. Dans un réseau local cela peut encore aller mais sur une machine exposée en direct sur le net c'est un gros risque de sécurité. Cela rend webmin accéssible par toutes les ips du dédié en question ne laissant en terme de sécurité qu'une protection par mot de passe autant dire pas grand chose. Un vieux brute force trouverait un mdp assez rapidement.

Le principe le plus important en terme de sécurité est de réduire la surface d'attaque, donc de limiter au maximun les points d'entrée. Moins il y a de portes à un batiment moins il y a de chance d'effraction.

Répondre