Webmin
Les limites de Webmin
Les limites fonctionnelles
Nous
venons de le voir, les développeurs permettent d'ajouter
régulièrement des nouveaux modules dans Webmin.
Ces modules couvrent les fonctionnalités
générales de l'administration du
système et de ses principaux services. Cependant, comme il
existe une quantité innombrable de logiciel, il faudrait une
interface permettant de les prendre tous en compte. Mais,
étant donnée son architecture basée
sur des modules d'extension, Webmin ne peut pas le faire et ne pourra
sûrement jamais faire.
La solution se trouverait certainement dans la réalisation
non pas d'une interface pour quelque logiciel mais dans la
réalisation d'un environnement graphique
dédié accessible par le web afin d'interagir avec
l'ensemble des fonctionnalités liées au
système.
Pour terminer sur cette programmation par module, on voit justement que
l'avenir de Webmin dépend de l'engouement pour le
développement de ces modules. A l'heure actuelle, le
logiciel est utilisé par exemple par des
sociétés qui fournissent des serveurs
dédiés (OVH) mais la popularité de
Webmin ne semble grandir que calmement.
Une sécurité relative
D'un
point de vue technique, Webmin peut apparaître comme une
faille béante dans la sécurité du
système géré et ce, pour les raisons
suivantes :
- Le compte par défaut est root.
- L'accès https n'est pas une garantie suffisante
de sécurité.
Compte root:
C'est le compte qui a tous les droits sur l'OS, il est donc possible de détruire le système par une mauvaise manipulation.Amélioration:
- Créer un autre compte dans Webmin avec les droits suffisants, le reste devra se faire en ligne de commandes et supprimer le compte root de Webmin « root ».
- Bloquer temporairement les machines qui échouent à l'authentification.
- Consigner les hôtes bloqués, les noms de connexion et les échecs d'authentification dans Syslog.
- Plus radicale: désactiver Webmin et ne l’activer qu’en cas de nécessité.
Accès https :
Le protocole https est réputé comme fiable mais sur un réseau à risque comme Internet, il est fortement exposé. Ainsi face à des attaques de haut niveau (càd. développées, partagées et testées par des communautés de hackers), l'https ne peut pas être considéré comme une protection pour Webmin.Améliorations :
- Toujours activer SSL, pas d'accès à Webmin en HTTP non sécurisé !
- Changer le port de connexion par défaut (10000).
- Filtrer les adresses IP pour l'accès à Webmin, idéalement, juste 127.0.0.1
Pour hacker Webmin
Il existe sur Internet des méthodes pour hacker Webmin. La plupart sont des scripts PERL qui utilisent LWP pour récupérer le contenu des fichiers sur la machine distante (exemple : /etc/passwd). Ces exploits s'attaquent généralement aux versions antérieurs de Webmin, il est donc recommandé de mettre à jour Webmin le plus souvent possible. Malheureusement, l'utilisation de ces exploits lors de mes tests n'a pas été fructueuse.