On 20-Jul-2000 Erhard Schwenk wrote:
Am Don, 20 Jul 2000 schrieb Marco Dieckhoff:
Aber sicher doch. Ist standardmäßig dabei. Man muß nur 2 zus. Pakete installieren. Angreifer stört das aber wenig. Genau. Die brauchen dann halt einen https-Browser statt einem http-Browser. Auch kein grosser Unterschied.
Hm. Ich mach's mir immer etwas schwieriger, dafür IMHO sicherer. Ich starte den Webmin nur, wenn ich ihn brauche, per SSH. Und beende ihn, nachdem ich damit gearbeitet habe. So halte ich das Risiko IMHO gering.
Wer es wirklich sicher will wird wohl um das Aufbauen eines SSH-Tunnels zwischen den Maschinen kaum rumkommen. Dann muß man aber immer noch die firewall-Regeln so anpassen, daß webmin nur auf die gewünschten Hosts reagiert. https kann man sich sparen, da ssh ja schon verschlüsselt.
Ansonsten hat https zumindest den Vorteil, daß das Passwort nicht unverschlüsselt übertragen wird (was die Angriffsfläche schonmal gewaltig verkleinert). Dazu sollte man dann aber eine auch ansonsten ordentlich gesicherte Umgebung aufbauen und - ganz wichtig - ein gescheites root-Passwort setzen (mindestens 8 Zeichen, mindestens 2x Groß-/Kleinschreibung, mindestens 2 Ziffern oder Sonderzeichen und kein Wort, das in einem Wörterbuch stehen könnte und auch nicht irgendwelche Geburtsdaten, Namen oder ähnliche personenbezogene Begriffe) - und das wiederum sollte regelmäßig geändert werden (so alle 3-4 Wochen ist in HiSec-Umgebungen üblich).
Man muß bei webmin nicht das gleiche Passwort verwenden, wie für root. Außerdem sollte man nur die Module drinlassen, die man wirklich braucht. Bei Passwort hast du noch einen Punkt vergessen (sehr wichtig): man muß sich vor lauter Sonderzeichen, Zahlen und Groß/Kleinschreibung das Passwort auch noch merken können, sodaß man es sich nicht aufschreiben muß. Noch was: du setzt in HiSec-Umgebungen Webmin ein? (Sorry, sowas hab ich hier garnicht.) Hendrik Sattler -- PingoS - Linux-User helfen Schulen http://www.pingos.schulnetz.org --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com