hokaido
Goto Top

Cockpit Zugang absichern

Hallo,

ich arbeite mich gerade in die Thematik Vserver etc ein. Diesen habe ich bereits nach den gängigen Tutorials abgesichert.

Jetzt habe ich Cockpit installiert was ja unter //domain:9090 läuft.

Ich möchte aber nicht, dass die Login Seite öffentlich zugänglich ist. Aktuell habe ich den Port 9090 in der ufw gesperrt, und mache ihn dort nur auf, wenn ich in Cockpit rein möchte. Ist aber nicht sonderlich benutzerfreundlich...

Gibt es eine Möglichkeit, das Webinterface irgendwie z.B. mit .htaccess oder sonstigem abzusichern?

Danke & viele Grüße

Christian

Content-Key: 665322

Url: https://administrator.de/contentid/665322

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: tikayevent
tikayevent 01.04.2021 um 11:29:49 Uhr
Goto Top
Eine Möglichkeit ist, einen SSH-Tunnel aufzubauen und darüber die Verbindung aufzubauen. Ist mit putty automatisierbar.

Gibt es eine Möglichkeit, das Webinterface irgendwie z.B. mit .htaccess oder sonstigem abzusichern?
Bringt genau gar nichts, weil dann hast du eine angreifbare Passwort-Auth vor einer angreifbaren Passwort-Auth. Und da der Mensch faul ist, nimmt er normalerweise die gleichen Zugangsdaten.
Wenn du eine statische IP-Adresse hast, könnte man per htaccess auf IP-Ebene filtern, dass kannst du aber auch über die Firewall.

Diesen habe ich bereits nach den gängigen Tutorials abgesichert.
Abtippen ist die eine Sache, aber wichtiger ist, zu verstehen, was man da macht. Weil es mag zwar jetzt für dich funktionieren, aber ob das Tutorial auch das passende für dein Szenario ist, musst du selbst bewerten, was Verständnis erfordert. Für den ersten Start in eine Technologie sind Tutorials hilfreich, aber für den Produktivbetrieb gefährlich.
Mitglied: hokaido
hokaido 01.04.2021 um 11:37:21 Uhr
Goto Top
Deshalb probiere ich ja auf einem Testserver.

Wie genau würde man zu Cockpit einen SSH Tunnel aufbauen? Dann hab ich aber doch kein Webinterface, oder?
Mitglied: it-fraggle
Lösung it-fraggle 01.04.2021 um 13:36:06 Uhr
Goto Top
Wie genau würde man zu Cockpit einen SSH Tunnel aufbauen? Dann hab ich aber doch kein Webinterface, oder?
Doch, hättest du. Du kannst mit SSH tunneln und dann bei dir im Browser die Adresse des Cockpits aufrufen.
Mitglied: tikayevent
tikayevent 01.04.2021 um 13:54:50 Uhr
Goto Top
Der SSH-Tunnel dient als eine Art VPN. Du baust auch nicht die Verbindung zu Cockpit auf, sondern zum OpenSSH-Server auf deinem Server und leitest darüber deine HTTPS-Anfrage.

Für näheres empfehle ich die von Suchmaschinen vorgeschlagene digitale Literatur zum Thema SSH Tunnel
Mitglied: 148121
148121 01.04.2021 aktualisiert um 14:27:20 Uhr
Goto Top
VPN Verbindung zum vServer aufbauen, und in der Firewall dann nur das intern genutzte VPN-Subnetz für den Port freigeben.
Bsp.
iptables -A INPUT -p tcp --dport 9090 -i tun0 -s 10.8.0.0/24 -j ACCEPT
Oder das Webinterface generell gleich nur an einem nicht öffentlichen Interface lauschen lassen, z.B. einem Wireguard-Tunnelinterface, dann hat man auch gleich das VPN mit abgefackelt face-wink.

Gruß w.
Mitglied: hokaido
hokaido 03.04.2021 um 14:43:03 Uhr
Goto Top
Danke, an alle. Hat super funktioniert.