Hi Mathias,

From: Matthias Strack Sent: Wednesday, July 19, 2000 3:22 PM

At 15:18 19.07.2000 +0200, Gruber Johannes wrote:

...

Hi Liste!

Vor ein paar Tagen gab es einen Threat über Webmin. Meine Bedenken gelten nun der Sicherheit. Wenn Webmin über einen Browser aufzurufen ist und es werden cgi-Scripe ausgeführt, so nützt das vielleicht so mancher Hacker aus?

klar kann das ausgenutzt werden. Deshalb kannst du bei Webmin auch die IPs bestimmen die drauf zugreiffen duerfen.

Und was ist mit IP-spoofing?

Und zur Not hilft dir immer noch ipchains ;).

Stimmt, nur leider nicht so trivial einzurichten. Je nach Sicherheitsbeduerfnis wuerde ich mal nachsehen ob es sowas wie Webmin mit https gibt. Ansonsten wuerde ich drauf verzichten. by Joerg --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

From: "Hendrik Sattler" Sent: Thursday, July 20, 2000 2:34 AM

On 19-Jul-2000 Joerg Zimmermann wrote:

...

Hi Mathias,

...

From: Matthias Strack Sent: Wednesday, July 19, 2000 3:22 PM

...

At 15:18 19.07.2000 +0200, Gruber Johannes wrote:

...

Hi Liste!

Vor ein paar Tagen gab es einen Threat über Webmin. Meine Bedenken gelten nun der Sicherheit. Wenn Webmin über einen Browser aufzurufen ist und es werden cgi-Scripe ausgeführt, so nützt das vielleicht so mancher Hacker aus?

klar kann das ausgenutzt werden. Deshalb kannst du bei Webmin auch die IPs bestimmen die drauf zugreiffen duerfen.

Und was ist mit IP-spoofing?

...

Und zur Not hilft dir immer noch ipchains ;).

Stimmt, nur leider nicht so trivial einzurichten. Je nach Sicherheitsbeduerfnis wuerde ich mal nachsehen ob es sowas wie Webmin mit https gibt. Ansonsten wuerde ich drauf verzichten.

Aber sicher doch. Ist standardmäßig dabei. Man muß nur 2 zus. Pakete installieren. Angreifer stört das aber wenig.

Genau. Die brauchen dann halt einen https-Browser statt einem http-Browser. Auch kein grosser Unterschied. Hm. Ich mach's mir immer etwas schwieriger, dafür IMHO sicherer. Ich starte den Webmin nur, wenn ich ihn brauche, per SSH. Und beende ihn, nachdem ich damit gearbeitet habe. So halte ich das Risiko IMHO gering. -- Marco Dieckhoff icq# 22243433 PGP Fingerprint: 9EFA D64F 5DAA D36B E0E7 CE1B 9E1B 4903 0C51 1632 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

On 20-Jul-2000 Erhard Schwenk wrote:

Am Don, 20 Jul 2000 schrieb Marco Dieckhoff:

...

...

Aber sicher doch. Ist standardmäßig dabei. Man muß nur 2 zus. Pakete installieren. Angreifer stört das aber wenig. Genau. Die brauchen dann halt einen https-Browser statt einem http-Browser. Auch kein grosser Unterschied.

Hm. Ich mach's mir immer etwas schwieriger, dafür IMHO sicherer. Ich starte den Webmin nur, wenn ich ihn brauche, per SSH. Und beende ihn, nachdem ich damit gearbeitet habe. So halte ich das Risiko IMHO gering.

Wer es wirklich sicher will wird wohl um das Aufbauen eines SSH-Tunnels zwischen den Maschinen kaum rumkommen. Dann muß man aber immer noch die firewall-Regeln so anpassen, daß webmin nur auf die gewünschten Hosts reagiert. https kann man sich sparen, da ssh ja schon verschlüsselt.

Ansonsten hat https zumindest den Vorteil, daß das Passwort nicht unverschlüsselt übertragen wird (was die Angriffsfläche schonmal gewaltig verkleinert). Dazu sollte man dann aber eine auch ansonsten ordentlich gesicherte Umgebung aufbauen und - ganz wichtig - ein gescheites root-Passwort setzen (mindestens 8 Zeichen, mindestens 2x Groß-/Kleinschreibung, mindestens 2 Ziffern oder Sonderzeichen und kein Wort, das in einem Wörterbuch stehen könnte und auch nicht irgendwelche Geburtsdaten, Namen oder ähnliche personenbezogene Begriffe) - und das wiederum sollte regelmäßig geändert werden (so alle 3-4 Wochen ist in HiSec-Umgebungen üblich).

Man muß bei webmin nicht das gleiche Passwort verwenden, wie für root. Außerdem sollte man nur die Module drinlassen, die man wirklich braucht. Bei Passwort hast du noch einen Punkt vergessen (sehr wichtig): man muß sich vor lauter Sonderzeichen, Zahlen und Groß/Kleinschreibung das Passwort auch noch merken können, sodaß man es sich nicht aufschreiben muß. Noch was: du setzt in HiSec-Umgebungen Webmin ein? (Sorry, sowas hab ich hier garnicht.) Hendrik Sattler -- PingoS - Linux-User helfen Schulen http://www.pingos.schulnetz.org --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com