Bloquer webmin sous un sous-domaine

[ghost]

Quel est l’intérêt de bloquer Webmin sur un seul domaine ?

Ça n'apporte rien au niveau sécurité.

En fait cela n'apporte rien si ce n'est une tentative de limitation de la portée d'accès.

Un service réseau est toujours en écoute sur une_interface:un_port.

Si tu as deux enregistrement dns, nomA.mondomaine.tld et nomB.domaine.tld qui pointent vers l'ip de ton dédié que tu accèdes par un des deux nom d'hôte ou par l'ip cela revient strictement au même, sauf que par les noms de domaine il y a une réolution dns avant mais au final tu y accèdes par l'ip.

Ensuite certains protocoles une fois la connection établie peuvent renvoyer au serveur un certain nombre de paramètre qui répond en fonction.

Donc par éxemple pour http, lorsque tu accèdes à un site par http://nomA.mon_domaine.tld ton navigateur effectue une résolution de nom pour obtenir l'ip correspondant au nom d'hôte. Ensuite il établie la connection au serveur en lui envoyant dans les entêtes le nom d'hôte souhaité, si le serveur le connait il sert les pages correspondantes, sinon il livre les pages du site par defaut.

La question était peut-on le faire ? J'ai répondu oui car c'est faisable.
Mais ce n'est pas parce c'est faisable que c'est ce qu'il faut faire !
La solution que j'ai proposé pour répondre à la question revient en terme de sécu en gros au même que de dire on ne peut pas me cambrioler je n'ai pas mis mon nom sur la boite au lettre.

Webmin (qui est normalement un démon autonome n'ayant rien à voir avec apache) par defaut écoute sur toutes les interfaces de la machine sur laquelle il tourne. Dans un réseau local cela peut encore aller mais sur une machine exposée en direct sur le net c'est un gros risque de sécurité. Cela rend webmin accéssible par toutes les ips du dédié en question ne laissant en terme de sécurité qu'une protection par mot de passe autant dire pas grand chose. Un vieux brute force trouverait un mdp assez rapidement.

Le principe le plus important en terme de sécurité est de réduire la surface d'attaque, donc de limiter au maximun les points d'entrée. Moins il y a de portes à un batiment moins il y a de chance d'effraction.

Je connais très bien Webmin.

Le seul problème dans cette histoire c'est qu'on veut cacher webmin pour éviter les scans de ports, hors il faut d'abord interdire les scans de ports, ça me semble la première chose à faire.
Là ce n'est pas le cas.
C'est très simple de détecter un scan de ports et de blacklister l'ip d'origine.

Pour reprendre l'exemple du cambriolage, il vaut mieux avoir une maison avec les portes fermées et une alarme plutôt qu'une maison ouverte avec les objets cachés à l'intérieur car si on rentre on a tout le temps de chercher sans alerter qui que ce soit.

Ghost

[bogucool]

Je connais très bien Webmin.

Le seul problème dans cette histoire c'est qu'on veut cacher webmin pour éviter les scans de ports, hors il faut d'abord interdire les scans de ports, ça me semble la première chose à faire.
Là ce n'est pas le cas.
C'est très simple de détecter un scan de ports et de blacklister l'ip d'origine.

Je suis nouveau sur ce forum, Musyanon demande si l'on peut rendre accèssible webmin uniquement via un seul nom d'hôte. Je lui réponds oui c'est faisable mais ne juge pas si c'est une bonne solution en terme de sécu. Au fil des posts je me rends compte qu'il ne maitrise pas forcement bien toutes les notions. Je lui ai donc fourni ce matin ce qui me semble une bonne solution, webmin en écoute uniquement sur lo et une redirection de port ssh.

Je pense que le plus simple pour éviter les scans de port c'est de ne pas les ouvrir si ce n'est pas nécessaire et de mettre en place du fail2ban si c'est ouvert.

[ghost]

Je suis nouveau sur ce forum, Musyanon demande si l'on peut rendre accèssible webmin uniquement via un seul nom d'hôte. Je lui réponds oui c'est faisable mais ne juge pas si c'est une bonne solution en terme de sécu. Au fil des posts je me rends compte qu'il ne maitrise pas forcement bien toutes les notions. Je lui ai donc fourni ce matin ce qui me semble une bonne solution, webmin en écoute uniquement sur lo et une redirection de port ssh.

Je ne remet pas du tout en question ta réponse, je voulais faire réfléchir Musyanon tout simplement.
Quand Musyanon met en place une mesure de sécurité pour une problématique bien précise il faut se demander si elle est bien adaptée et complète avant de valider.

Ghost

[Musyanon]

Je sais que mon serveur est loin d'être sécuriser, en effet je suis sur une installation toute récente dont je n'ai encore rien fait.

Pour la sécu, j'ai l'habitude d'utiliser ce tuto : http://www.thefanclub.co.za/how-to/how- ... t-1-basics

Je pense qu'il n'est pas mal du tout, qu'en pensez vous ?

[ghost]

Je pense qu'il n'est pas mal du tout, qu'en pensez vous ?

Oui c'est pas mal.

[Musyanon]

Alors non je ne souhaite permettre l'accès à personne d'autre que moi.
Oui je souhaite y accéder de n'importe quelle machine.
Oui, bien entendu que j'ai j'ai connexion ssh ^^

Alors dans ce cas le plus simple.

Ton webmin est déjà normalement en écoute uniquement sur 127.0.0.1:port_webmin
En premier lieu vérifier que c'est bien le cas, en console root sur le dédié:

Code : Tout sélectionner

netstat -lataupen | grep ":port_webmin"

cela devrait te retourner au moins une ligne avec 127.0.0.1:port_webmin 0.0.0.0:* LISTEN ...........
si tu as 0.0.0.0:port_webmin c'est que ton webmin écoute toujours sur toutes les interfaces de dédié

ensuite tu utilises ssh pour une redirection de port

Code : Tout sélectionner

ssh -L 1234:127.0.0.1:port_webmin root@ip_du_dédié

laisses la session ssh ouverte et dans ton navigateur tapes comme url https://127.0.0.1:1234
et hop magie tu accèdes à ton webmin

Alors avec cette méthode il faut que je lance à chaque fois ssh et la dernière commande ?
C'est pas plus mal, mais alors je souhaite autorisé seulement mon IP comme ça de chez moi je ne m'embêterai pas avec cette manip.

Donc je me suis rendu dans la configuration de webmin, puis dans le contrôle d'accès IP et autorisé seulement les IP listées. J'ai donc ajouté mon IP dans la liste + cocher la cache "Include local network in list".

Ta première commande ne me renvoie pas "127.0.0.1:port_webmin 0.0.0.0:* LISTEN" mais plutôt "0 0.0.0.0:port_webmin 0.0.0.0:* LISTEN" + deux ligne avec IP du serveur et mon IP en ESTABLISHED.

Quand je lance la deuxième commande il me demande de me loguer et j'ai l'impression d'établir une nouvelle connexion dans ssh.

Et https://127.0.0.1:1234 ne fonctionne pas

[bogucool]

Ta première commande ne me renvoie pas "127.0.0.1:port_webmin 0.0.0.0:* LISTEN" mais plutôt "0 0.0.0.0:port_webmin 0.0.0.0:* LISTEN" + deux ligne avec IP du serveur et mon IP en ESTABLISHED.

C'est que ton webmin écoute encore sur toutes tes interfaces !
As-tu ajouté une ligne bind 127.0.0.1 dans la conf de webmin ?
Si oui n'aurais tu pas oublié de relancer webmin ?

Si tu utilises la redirection de port il faut autoriser 127.0.0.1 dans les ips autorisées.

La commande ssh tu l'exécutes sur quelle machine ?

[ghost]

C'est pas plus mal, mais alors je souhaite autorisé seulement mon IP comme ça de chez moi je ne m'embêterai pas avec cette manip.

tu fais passer un flux https par un tunnel ssh, ça fait un peu double emploi. Ça te fait 2 chiffrements en cascade.

Cette règle iptables suffit amplement :
iptables -A INPUT ! -s <ton_ip_externe_perso> -p tcp --dport <port_webmin> -j DROP
(drop de tout ce qui rentre en tcp sur le port webmin et qui ne provient pas de ton ip externe perso)
Ça te permet d'accéder tout simplement à ton webmin de chez toi sans ssh en utilisant ton sous domaine ou l'ip du serveur.

Pour un agresseur un scan de port ne détectera pas le port ouvert et les tentatives de connexions via ton sous domaine ou l'ip de ton serveur ne fonctionneront pas.

Plus besoin de proxy ni de tunnel ssh.

Ghost.

[bogucool]

tu fais passer un flux https par un tunnel ssh, ça fait un peu double emploi. Ça te fait 2 chiffrements en cascade.

oui effectivement il y a un double chiffrement mais bon ... à moins d'utiliser un minitel la surcharge est insignifiante.

Cette règle iptables suffit amplement :
iptables -A INPUT ! -s <ton_ip_externe_perso> -p tcp --dport <port_webmin> -j DROP
(drop de tout ce qui rentre en tcp sur le port webmin et qui ne provient pas de ton ip externe perso)
Ça te permet d'accéder tout simplement à ton webmin de chez toi sans ssh en utilisant ton sous domaine ou l'ip du serveur.

Oui tout a fait cela suffit tout à fait si ne te connectes que de chez toi et que ta box est en IP fixe.

Bref utilises la solution que tu veux Musyanon tant que ton webmin n'est pas accessible au monde entier !

[jeannot61]

Code : Tout sélectionner

 ________
< bravo ! >
 --------
   \
    \
        .--.
       |o_o |
       |:_/ |
      //   \ \
     (|     | )
    /'\_   _/`\
    \___)=(___/