6
Cockpit Zugang absichern
Hallo,
ich arbeite mich gerade in die Thematik Vserver etc ein. Diesen habe ich bereits nach den gängigen Tutorials abgesichert.
Jetzt habe ich Cockpit installiert was ja unter //domain:9090 läuft.
Ich möchte aber nicht, dass die Login Seite öffentlich zugänglich ist. Aktuell habe ich den Port 9090 in der ufw gesperrt, und mache ihn dort nur auf, wenn ich in Cockpit rein möchte. Ist aber nicht sonderlich benutzerfreundlich...
Gibt es eine Möglichkeit, das Webinterface irgendwie z.B. mit .htaccess oder sonstigem abzusichern?
Danke & viele Grüße
Christian
ich arbeite mich gerade in die Thematik Vserver etc ein. Diesen habe ich bereits nach den gängigen Tutorials abgesichert.
Jetzt habe ich Cockpit installiert was ja unter //domain:9090 läuft.
Ich möchte aber nicht, dass die Login Seite öffentlich zugänglich ist. Aktuell habe ich den Port 9090 in der ufw gesperrt, und mache ihn dort nur auf, wenn ich in Cockpit rein möchte. Ist aber nicht sonderlich benutzerfreundlich...
Gibt es eine Möglichkeit, das Webinterface irgendwie z.B. mit .htaccess oder sonstigem abzusichern?
Danke & viele Grüße
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665322
Url: https://administrator.de/forum/cockpit-zugang-absichern-665322.html
Ausgedruckt am: 05.02.2025 um 07:02 Uhr
6 Kommentare
Neuester Kommentar
Eine Möglichkeit ist, einen SSH-Tunnel aufzubauen und darüber die Verbindung aufzubauen. Ist mit putty automatisierbar.
Wenn du eine statische IP-Adresse hast, könnte man per htaccess auf IP-Ebene filtern, dass kannst du aber auch über die Firewall.
Gibt es eine Möglichkeit, das Webinterface irgendwie z.B. mit .htaccess oder sonstigem abzusichern?
Bringt genau gar nichts, weil dann hast du eine angreifbare Passwort-Auth vor einer angreifbaren Passwort-Auth. Und da der Mensch faul ist, nimmt er normalerweise die gleichen Zugangsdaten.Wenn du eine statische IP-Adresse hast, könnte man per htaccess auf IP-Ebene filtern, dass kannst du aber auch über die Firewall.
Diesen habe ich bereits nach den gängigen Tutorials abgesichert.
Abtippen ist die eine Sache, aber wichtiger ist, zu verstehen, was man da macht. Weil es mag zwar jetzt für dich funktionieren, aber ob das Tutorial auch das passende für dein Szenario ist, musst du selbst bewerten, was Verständnis erfordert. Für den ersten Start in eine Technologie sind Tutorials hilfreich, aber für den Produktivbetrieb gefährlich.
Deshalb probiere ich ja auf einem Testserver.
Wie genau würde man zu Cockpit einen SSH Tunnel aufbauen? Dann hab ich aber doch kein Webinterface, oder?
Wie genau würde man zu Cockpit einen SSH Tunnel aufbauen? Dann hab ich aber doch kein Webinterface, oder?
Wie genau würde man zu Cockpit einen SSH Tunnel aufbauen? Dann hab ich aber doch kein Webinterface, oder?
Doch, hättest du. Du kannst mit SSH tunneln und dann bei dir im Browser die Adresse des Cockpits aufrufen.
Der SSH-Tunnel dient als eine Art VPN. Du baust auch nicht die Verbindung zu Cockpit auf, sondern zum OpenSSH-Server auf deinem Server und leitest darüber deine HTTPS-Anfrage.
Für näheres empfehle ich die von Suchmaschinen vorgeschlagene digitale Literatur zum Thema SSH Tunnel
Für näheres empfehle ich die von Suchmaschinen vorgeschlagene digitale Literatur zum Thema SSH Tunnel
VPN Verbindung zum vServer aufbauen, und in der Firewall dann nur das intern genutzte VPN-Subnetz für den Port freigeben.
Bsp.
Oder das Webinterface generell gleich nur an einem nicht öffentlichen Interface lauschen lassen, z.B. einem Wireguard-Tunnelinterface, dann hat man auch gleich das VPN mit abgefackelt 
.
Gruß w.
Bsp.
iptables -A INPUT -p tcp --dport 9090 -i tun0 -s 10.8.0.0/24 -j ACCEPTGruß w.
Danke, an alle. Hat super funktioniert.
