Webmin - Ja/Nein?

classic Classic list List threaded Threaded
12 messages Options
Reply | Threaded
Open this post in threaded view
|

Webmin - Ja/Nein?

Holger Posny
Hallo,

nein, ich will hier keine Glaubensfrage stellen.
Eine Bekannte von mir will sich einen vServer mieten und hat dabei die
Auswahl - u. a. Debian mit oder ohne "Webmin".

Da ich Webmin nicht kenne, weiss ich auch nicht, in wie fern gesonderte
Ports dafuer geoffnet bzw. Zusatzdienste gestartet werden (muessen) und
somit ein evtl. weiteres Sicherheitsrisiko geschaffen wird.

Da ich den Server administriere und auch nur den Screenshot von Wikipedia
kenne, stellt sich also die Frage in fern es notwendig ist. Ist ein
brauches/nuetzliches Tool oder nur ein "Nive to have"?

Holger


signature.asc (918 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

MaxXim
Hallo Holger, Hallo alle anderen

Holger schrub am Thu, 01 Mar 2012 22:39:19 +0100:
> Eine Bekannte von mir will sich einen vServer mieten und hat dabei
> die Auswahl - u. a. Debian mit oder ohne "Webmin".
>
> Da ich Webmin nicht kenne, weiss ich auch nicht, in wie fern
> gesonderte Ports dafuer geoffnet bzw. Zusatzdienste gestartet
> werden (muessen) und somit ein evtl. weiteres Sicherheitsrisiko
> geschaffen wird.

Webmin lauscht auf einem eigenen Port, IMHO ist es standardmäßig Port
20000. Die Verbindung erfolgt via HTTPS.

> Da ich den Server administriere und auch nur den Screenshot von
> Wikipedia kenne, stellt sich also die Frage in fern es notwendig
> ist. Ist ein brauches/nuetzliches Tool oder nur ein "Nive to have"?

Webmin gehört nicht (mehr) zur Debian-Distri, und wenn man einen
ssh-Zugang hat und ein Debian an der Shell gut konfigurieren kann,
ist ein ssh-Zugang mit PSK sicherlich vorzuziehen - auch wegen der
Möglichkeiten.

Ich habe mich früher mal an Webmin versucht, weil es vom
Funktionsumfang her für diverse Nutzer anpassbar ist. Bin damit aber
nie so richtig warm geworden. Für "Hilfs-Admins", die bestimmte
Einstellungen an den Servern eingeschränkt selbst verwalten sollen,
ist das aber sicher keine schlechte Lösung (neben anderen).

--
LG Maxx


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/20120301225702.7ec15ba5@MaxX

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Lademann, Klaus-2
Am 01.03.2012 22:57, schrieb Maxx:

> Hallo Holger, Hallo alle anderen
>
> Holger schrub am Thu, 01 Mar 2012 22:39:19 +0100:
>> Eine Bekannte von mir will sich einen vServer mieten und hat dabei
>> die Auswahl - u. a. Debian mit oder ohne "Webmin".
>>
>> Da ich Webmin nicht kenne, weiss ich auch nicht, in wie fern
>> gesonderte Ports dafuer geoffnet bzw. Zusatzdienste gestartet
>> werden (muessen) und somit ein evtl. weiteres Sicherheitsrisiko
>> geschaffen wird.
>
> Webmin lauscht auf einem eigenen Port, IMHO ist es standardmäßig Port
> 20000. Die Verbindung erfolgt via HTTPS.

Port 10000 via https
>> Da ich den Server administriere und auch nur den Screenshot von
>> Wikipedia kenne, stellt sich also die Frage in fern es notwendig
>> ist. Ist ein brauches/nuetzliches Tool oder nur ein "Nive to have"?

Es ist auf alle Fälle gut, wenn du nicht soviel schreiben willst bei den
Konfigs. Ein Verständnis für Netzwerk solltest du aber schon mitbringen,
da auch Webmin die ein oder andere Option bemängelt.

Zum schnellen Aufsetzen eines Webservers oder Fileservers ist es aber
bestens geeignet. Partitionen und Paketmanagement sind inbegriffen,
erfordern aber einige Abhängigkeiten mit Perl-Bibliotheken.



My profiles:  Twitter <http://www.twitter.com/klaus_666> Google Plus
<http://plus.google.com/109883000565733917233>
My QR VCard


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/4F4FF823.2070105@...

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Juergen Kosel
In reply to this post by MaxXim
Hallo,

Am 01.03.2012 23:00, schrieb Maxx:

> Hallo Holger, Hallo alle anderen
>
> Webmin gehört nicht (mehr) zur Debian-Distri, und wenn man einen
> ssh-Zugang hat und ein Debian an der Shell gut konfigurieren kann,
> ist ein ssh-Zugang mit PSK sicherlich vorzuziehen - auch wegen der
> Möglichkeiten.
>
> Ich habe mich früher mal an Webmin versucht, weil es vom
> Funktionsumfang her für diverse Nutzer anpassbar ist. Bin damit aber
> nie so richtig warm geworden. Für "Hilfs-Admins", die bestimmte
> Einstellungen an den Servern eingeschränkt selbst verwalten sollen,
> ist das aber sicher keine schlechte Lösung (neben anderen).
>

seinerzeit wurde Webmin aus Debian entfernt, weil es Sicherheitslücken
auf riss. Dem damaligen Debian-Mantainer schien es ein Faß ohne Boden zu
werden.

Ob die Webmin Autoren die Sicherheitsprobleme beseitigt haben, weiß ich
nicht. - Ich kann es auch nicht beurteilen.
Und genau aus diesem Grund ist Webmin auf keinem meiner Rechner.


Gruß
        Jürgen


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/jitqg3$3n7$1@...

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

nielsjende
Hallo zusammen,


seinerzeit wurde Webmin aus Debian entfernt, weil es Sicherheitslücken
auf riss. Dem damaligen Debian-Mantainer schien es ein Faß ohne Boden zu
werden.


das Hauptproblem lag damals unter anderem an OpenSSH und daran, dass es anfällig für Cross-Site-Request-Forgery aka CSRF/XSRF war! 2006 hat jemand ein Pendant zu Webmin gecodet, siehe http://www.perlmonks.org/?node_id=766527
Zu jener Zeit wurde aber auch begonnen Webmin sicherer zu machen, was auch meines Wissens nach, sehr gut umgesetzt wurde!
Zu Fragen bezgl der Sicherheit von Webmin, bekommt man sehr offen und ehrliche Infos hier:http://www.webmin.com/security.html

Ob die Webmin Autoren die Sicherheitsprobleme beseitigt haben, weiß ich
nicht. - Ich kann es auch nicht beurteilen.
Und genau aus diesem Grund ist Webmin auf keinem meiner Rechner.
 
Bevor man aber sagt, das Webmin noch immer unsicher ist, dieses auch noch verbreitet, sollte man sich dann doch die Mühe machen und sich vorher informieren oder aus aktueller Erfahrung berichten!

LG
Niels

P.S.: @Jürgen Sorry für die PM, war nicht beabsichtigt!!!Nochmals Sorry!!!
Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Manfred Schmitt-24
Niels Jende schrieb:
>
> > seinerzeit wurde Webmin aus Debian entfernt, weil es Sicherheitslücken
> > auf riss. Dem damaligen Debian-Mantainer schien es ein Faß ohne Boden zu
> > werden.
> >
> das Hauptproblem lag damals unter anderem an OpenSSH und daran, dass es
> anfällig für Cross-Site-Request-Forgery aka CSRF/XSRF war! 2006 hat jemand

Wie kann OpenSSH fuer einen Angriffstypus der sich auf websites bezieht
anfaellig sein?
Und wieso wird dann Webmin entfernt wenn das Hauptproblem angeblich u.a.
an OpenSSH lag?

> Zu Fragen bezgl der Sicherheit von Webmin, bekommt man sehr offen und
> ehrliche Infos hier:http://www.webmin.com/security.html

Webmin hat also immer wieder u.a. Luecken der selben Machart (=XSS)
und die werden dann gefixed. Das klingt fuer mich nicht gerade einladend.
Ausserdem verstehe ich unter offen was anderes, wo sind die Details,
warum fehlen die Links zu den CVE's?
http://www.cvedetails.com/vulnerability-list/vendor_id-358/product_id-612/Webmin-Webmin.html

Der letzte Bug aus 5.2011 kann wohl z.B. zu einem gerootetem Rechner
fuehren: http://www.securityfocus.com/archive/1/517658

Unabhaengig davon halte ICH Webmin sowieso fuer ueberfluessig.

Und wech,
Manne


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/20120303224101.683de31c@...

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Juergen Kosel
In reply to this post by nielsjende
Hallo,

Am 03.03.2012 21:20, schrieb Niels Jende:
>  
> Bevor man aber sagt, das Webmin noch immer unsicher ist, dieses auch
> noch verbreitet, sollte man sich dann doch die Mühe machen und sich
> vorher informieren oder aus aktueller Erfahrung berichten!

Wenn die Probleme von Webmin beseitigt sind, was muss passieren damit es
wieder in Debian aufgenommen wird?
- Außer einen Maintainer zu finden?


Gruß
        Jürgen


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/jiu5b6$biq$1@...

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Paul Muster-12
On 03.03.2012 23:18, Juergen Kosel wrote:

> Wenn die Probleme von Webmin beseitigt sind, was muss passieren damit es
> wieder in Debian aufgenommen wird?
> - Außer einen Maintainer zu finden?

Nichts.


mfG Paul



--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/p0ib29-jjj.ln1@...

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Peter Funk
In reply to this post by Juergen Kosel
Juergen Kosel schrieb am Samstag, den 03.03.2012 um 23:18:
> Am 03.03.2012 21:20, schrieb Niels Jende:
> >  
> > Bevor man aber sagt, das Webmin noch immer unsicher ist, dieses auch
> > noch verbreitet, sollte man sich dann doch die Mühe machen und sich
> > vorher informieren oder aus aktueller Erfahrung berichten!
>
> Wenn die Probleme von Webmin beseitigt sind, was muss passieren damit es
> wieder in Debian aufgenommen wird?
> - Außer einen Maintainer zu finden?

Gleich "Wegschmeissen" und in Python von Grund auf neu schreiben? ;-)

Wenn ich mich recht erinnere war webmin zum großen Teil in Perl
(einer "Write-only-impossible-to-maintain-afterwards"-Programmiersprache)
;-) geschrieben und das hat schon vor einer Dekade etliche Leute
demotiviert:
http://grokbase.com/t/python/python-list/0155k94sjh/webmin-python

Uuuppps: jetzt schnell weg ducken: Nun habe ich in dieser Liste hier
auch mal den Troll abgeben und bin möglicherweise der Auslöser für
eine grässliche Perl-vs.-Python Advocacy-Diskussion.  Das kommt auch
so schnell nicht wieder vor.

Viele Grüße,
Peter Funk
--
Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany
DRUPA 3.5.-16.5.2012: Besuchen Sie uns in Halle 4 auf Stand B02


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/20120304104216.GA4630@...

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Jochen Spieker
In reply to this post by Paul Muster-12
Paul Muster:
> On 03.03.2012 23:18, Juergen Kosel wrote:
>
>> Wenn die Probleme von Webmin beseitigt sind, was muss passieren damit es
>> wieder in Debian aufgenommen wird?
>> - Außer einen Maintainer zu finden?
>
> Nichts.

Naja, eine Kleinigkeit doch: neue Paket müssen von den "FTP Masters"
akzeptiert werden. Vorher tauchen sie nicht in de offiziellen Archiven
auf. Bei juristischen oder erheblichen technischen Bedenken können
Pakete abgelehnt werden. Und bei Webmin gehe ich davon aus, dass sie
besonders genau hinschauen.

J.
--
If I could travel through time I would go back to yesterday and
apologise.
[Agree]   [Disagree]
                 <http://www.slowlydownward.com/NODATA/data_enter2.html>

signature.asc (205 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Martin Steigerwald
In reply to this post by nielsjende
Hi Niels,

Am Samstag, 3. März 2012 schrieb Niels Jende:
> > Ob die Webmin Autoren die Sicherheitsprobleme beseitigt haben, weiß
> > ich nicht. - Ich kann es auch nicht beurteilen.
> > Und genau aus diesem Grund ist Webmin auf keinem meiner Rechner.
>
> Bevor man aber sagt, das Webmin noch immer unsicher ist, dieses auch
> noch verbreitet, sollte man sich dann doch die Mühe machen und sich
> vorher informieren oder aus aktueller Erfahrung berichten!

Hat Juergen doch gar nicht:

"Ob die Webmin Autoren die Sicherheitsprobleme beseitigt haben, weiß
ich nicht."

Und ob die Webmin-Entwickler tatsächlich die Anfälligkeit für
gleichermaßen gelagerte XSS-Attacken beseitig haben, ist mir derzeit noch
nicht schlüssig bewiesen. Daher finde ich "weiß ich nicht" absolut treffend.

Eine Sache ist nachträglich Lücken stopfen. Die andere ist, sich vorher
Gedanken zu machen, wie sich das Auftreten von Lücken möglichst
unwahrscheinlich machen läßt.

Ciao,
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/201203081003.25333.Martin@...

Reply | Threaded
Open this post in threaded view
|

Re: Webmin - Ja/Nein?

Manfred Schmitt-24
In reply to this post by nielsjende
Daniel Schulz schrieb:

>
> Niels Jende <[hidden email]> schrieb:
> > das Hauptproblem lag damals unter anderem an OpenSSH und daran, dass
> > es anfällig für Cross-Site-Request-Forgery aka CSRF/XSRF war!
>
> Dazu mal eine generelle Frage. Wenn man eine .htaccess-Passwortabfrage
> vor Webmin schaltet ist das Sicherheitsproblem doch so gut wie vom
> Tisch, oder sehe ich das falsch (vorrausgesetzt natürlich das Passwort
> ist sicher + AuthType Digest)? Ich habe einige Web-Programme hinter
> einer htaccess-Datei und nahm bisher an, das sei ausreichend sicher um
> das auch auf einem Root-Server so laufen zu lassen.
>
Webmin implementiert den http-server selber, der laeuft ja auf Port
10000, wie willst Du da eine .htaccess vor haengen?
OK, z.B. ueber einen Apache Reverse-Proxy koennte das vielleicht sogar
klappen.
Bzw. man kann Webmin doch auch direkt in Apache laufen lassen sehe ich
gerade: http://www.webmin.com/apache.html

Und wech,
Manne


--
Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)
Archive: http://lists.debian.org/20120308182100.7405ce42@...