hokaido
Goto Top

Cockpit Zugang absichern

Hallo,

ich arbeite mich gerade in die Thematik Vserver etc ein. Diesen habe ich bereits nach den gängigen Tutorials abgesichert.

Jetzt habe ich Cockpit installiert was ja unter //domain:9090 läuft.

Ich möchte aber nicht, dass die Login Seite öffentlich zugänglich ist. Aktuell habe ich den Port 9090 in der ufw gesperrt, und mache ihn dort nur auf, wenn ich in Cockpit rein möchte. Ist aber nicht sonderlich benutzerfreundlich...

Gibt es eine Möglichkeit, das Webinterface irgendwie z.B. mit .htaccess oder sonstigem abzusichern?

Danke & viele Grüße

Christian

Content-Key: 665322

Url: https://administrator.de/contentid/665322

Printed on: April 25, 2024 at 11:04 o'clock

Member: tikayevent
tikayevent Apr 01, 2021 at 09:29:49 (UTC)
Goto Top
Eine Möglichkeit ist, einen SSH-Tunnel aufzubauen und darüber die Verbindung aufzubauen. Ist mit putty automatisierbar.

Gibt es eine Möglichkeit, das Webinterface irgendwie z.B. mit .htaccess oder sonstigem abzusichern?
Bringt genau gar nichts, weil dann hast du eine angreifbare Passwort-Auth vor einer angreifbaren Passwort-Auth. Und da der Mensch faul ist, nimmt er normalerweise die gleichen Zugangsdaten.
Wenn du eine statische IP-Adresse hast, könnte man per htaccess auf IP-Ebene filtern, dass kannst du aber auch über die Firewall.

Diesen habe ich bereits nach den gängigen Tutorials abgesichert.
Abtippen ist die eine Sache, aber wichtiger ist, zu verstehen, was man da macht. Weil es mag zwar jetzt für dich funktionieren, aber ob das Tutorial auch das passende für dein Szenario ist, musst du selbst bewerten, was Verständnis erfordert. Für den ersten Start in eine Technologie sind Tutorials hilfreich, aber für den Produktivbetrieb gefährlich.
Member: hokaido
hokaido Apr 01, 2021 at 09:37:21 (UTC)
Goto Top
Deshalb probiere ich ja auf einem Testserver.

Wie genau würde man zu Cockpit einen SSH Tunnel aufbauen? Dann hab ich aber doch kein Webinterface, oder?
Member: it-fraggle
Solution it-fraggle Apr 01, 2021 at 11:36:06 (UTC)
Goto Top
Wie genau würde man zu Cockpit einen SSH Tunnel aufbauen? Dann hab ich aber doch kein Webinterface, oder?
Doch, hättest du. Du kannst mit SSH tunneln und dann bei dir im Browser die Adresse des Cockpits aufrufen.
Member: tikayevent
tikayevent Apr 01, 2021 at 11:54:50 (UTC)
Goto Top
Der SSH-Tunnel dient als eine Art VPN. Du baust auch nicht die Verbindung zu Cockpit auf, sondern zum OpenSSH-Server auf deinem Server und leitest darüber deine HTTPS-Anfrage.

Für näheres empfehle ich die von Suchmaschinen vorgeschlagene digitale Literatur zum Thema SSH Tunnel
Mitglied: 148121
148121 Apr 01, 2021 updated at 12:27:20 (UTC)
Goto Top
VPN Verbindung zum vServer aufbauen, und in der Firewall dann nur das intern genutzte VPN-Subnetz für den Port freigeben.
Bsp.
iptables -A INPUT -p tcp --dport 9090 -i tun0 -s 10.8.0.0/24 -j ACCEPT
Oder das Webinterface generell gleich nur an einem nicht öffentlichen Interface lauschen lassen, z.B. einem Wireguard-Tunnelinterface, dann hat man auch gleich das VPN mit abgefackelt face-wink.

Gruß w.
Member: hokaido
hokaido Apr 03, 2021 at 12:43:03 (UTC)
Goto Top
Danke, an alle. Hat super funktioniert.