PDA

Visualizza la versione completa : Webmin è davvero così "pericoloso" ?


Darksky
07-06-2005, 21:10
Sto per acquistare un Virtual Private Server ( OS linux ) sul quale è installato webmin come utility per facilitare la gestione dello stesso.
Leggendo qua e la in rete ogni tanto spunta qualcuno che sostiene che installare e usare webmin significa minare sensibilmente la sicurezza del server ( virtuale, in questo caso ).

Qualcuno conosce e usa lo script in questione ? Pareri ?

alvinet
07-06-2005, 21:19
http://www.securityfocus.com/swsearch?query=webmin&sbm=bid&submit=Search%21&metaname=alldoc&sort=swishlastmodified

Qualche bug di webmin. Valuta tu il da farsi.
Sinceramente non mi sembra tanto critico quanto ti hanno detto. Prendendo le vaie misure penso possa essere un buon compromesso.
Capisco comunque che tu sia spaventato da uno strumento che può utilizzare quasi completamente la tua macchina.

pilovis
07-06-2005, 21:29
Se correttamente settato webmin e' sicuro e affidabile.

Regole per rendere webmin piu' sicuro:

- Cambiare la porta di default (esempio da 10000 a 10200)
- Cambiare il nome utente amministratore di default (da admin a quellochevuoi)
- Attivare la modalita' SSL (server sicuro https)
- Limitare l'accesso a webmin inserendo una lista di IP abilitati
- Abilitare il timeout per i login falliti (dopo 5 errori l'IP viene bannato per 200 secondi)

Io lo uso da anni e mi sono sempre trovato benissimo. :ciauz:

pilovis
07-06-2005, 21:32
Originariamente inviato da alvinet
http://www.securityfocus.com/swsearch?query=webmin&sbm=bid&submit=Search%21&metaname=alldoc&sort=swishlastmodified

Qualche bug di webmin. Valuta tu il da farsi.
Sinceramente non mi sembra tanto critico quanto ti hanno detto. Prendendo le vaie misure penso possa essere un buon compromesso.
Capisco comunque che tu sia spaventato da uno strumento che può utilizzare quasi completamente la tua macchina.

Quello e' un elenco vecchio, tutte quelle vulnerabilita' sono state risolte.

alvinet
07-06-2005, 21:39
Si lo so. Era solo per dargli un'idea delle vulnerabilità scoperte negli ultimi tempi.
Concordo con quello che hai detto. Con qualche accorgimento è affidabile

Darksky
07-06-2005, 21:54
Originariamente inviato da pilovis
Se correttamente settato webmin e' sicuro e affidabile.

Regole per rendere webmin piu' sicuro:

- Cambiare la porta di default (esempio da 10000 a 10200)
- Cambiare il nome utente amministratore di default (da admin a quellochevuoi)
- Attivare la modalita' SSL (server sicuro https)
- Limitare l'accesso a webmin inserendo una lista di IP abilitati
- Abilitare il timeout per i login falliti (dopo 5 errori l'IP viene bannato per 200 secondi)

Io lo uso da anni e mi sono sempre trovato benissimo. :ciauz:

Grazie mille per i consigli, era un po' quello che cercavo.
COnfesso di non essere un esperto di sistemi *nix....a dire il vero non sono esperto di alcun sistema operativo usato per server :bhò: ed era per questo che chiedevo sperando di non dover rinunciare a webmin.

Riguardo la lista degli IP, è possibile settare direttamente un range di IP...ovvero quello locale, relativo alla centralina del mio provider ( mi sono espresso male ma credo abbiate capito di cosa parlo ).

Tutte queste impostazioni si possono settare da webmin stesso o tramite shell di linux modificando alcuni files ?
Se le passo all'hosting provider come una specie di "lista della spesa" è un qualcosa che gli toglie via tempo o invece posso tranquillamente "pretendere" di trovare il mio webmin già settato secondo le mie indicazioni ?

grazie

pilovis
07-06-2005, 21:58
Originariamente inviato da Darksky
Grazie mille per i consigli, era un po' quello che cercavo.
COnfesso di non essere un esperto di sistemi *nix....a dire il vero non sono esperto di alcun sistema operativo usato per server :bhò: ed era per questo che chiedevo sperando di non dover rinunciare a webmin.

Riguardo la lista degli IP, è possibile settare direttamente un range di IP...ovvero quello locale, relativo alla centralina del mio provider ( mi sono espresso male ma credo abbiate capito di cosa parlo ).

Tutte queste impostazioni si possono settare da webmin stesso o tramite shell di linux modificando alcuni files ?
Se le passo all'hosting provider come una specie di "lista della spesa" è un qualcosa che gli toglie via tempo o invece posso tranquillamente "pretendere" di trovare il mio webmin già settato secondo le mie indicazioni ?

grazie

le opzioni che ti ho dato sono tutte settabili da Webmin tramite la sua interfaccia grafica.

Per il rage di IP basta usare il seguente metodo:

esempio: il mio IP varia dalla classe 81.200.xxx.xxx a quella 82.100.xxx.xxx

Nel pannello di controllo degli IP di webmin devo inserire

Accetta i seguenti indirizzi:
81.200.0.0
82.100.0.0

pilovis
07-06-2005, 22:03
Documentazione di webmin

http://www.webmin.it/index2.html


ATTENZIONE: se non si conosce bene il sistema operativo su cui si lavora, con webmin si possono fare dei disastri in quanto webmin ha accesso completo a tutto il sistema come root.
Webmin facilita solo l'interfaccia e automatizza molte funzioni.

Darksky
18-06-2005, 19:23
Pilovis mi hanno consigliato su un altro forum di attivarlo da shell solo quando mi serve e dopo aver fatto tutto "spegnerlo".

Se webmin è "spento" si azzerano i rischi o non cambia nulla ? Oppure il solo fatto che in una data cartella del sistema ci siano i file di webmin significa già porgere il :ciapet: a qualche male intenzionato ?

Linux2004
18-06-2005, 19:47
Originariamente inviato da Darksky
Pilovis mi hanno consigliato su un altro forum di attivarlo da shell solo quando mi serve e dopo aver fatto tutto "spegnerlo".

Se webmin è "spento" si azzerano i rischi o non cambia nulla ? Oppure il solo fatto che in una data cartella del sistema ci siano i file di webmin significa già porgere il :ciapet: a qualche male intenzionato ?
Se webmin è spento non ci sono i rischi dovuti all'uso di webmin

:ciauz:

Loading