Webmin

Les limites de Webmin

Les limites fonctionnelles

Nous venons de le voir, les développeurs permettent d'ajouter régulièrement des nouveaux modules dans Webmin. Ces modules couvrent les fonctionnalités générales de l'administration du système et de ses principaux services. Cependant, comme il existe une quantité innombrable de logiciel, il faudrait une interface permettant de les prendre tous en compte. Mais, étant donnée son architecture basée sur des modules d'extension, Webmin ne peut pas le faire et ne pourra sûrement jamais faire.
La solution se trouverait certainement dans la réalisation non pas d'une interface pour quelque logiciel mais dans la réalisation d'un environnement graphique dédié accessible par le web afin d'interagir avec l'ensemble des fonctionnalités liées au système.
Pour terminer sur cette programmation par module, on voit justement que l'avenir de Webmin dépend de l'engouement pour le développement de ces modules. A l'heure actuelle, le logiciel est utilisé par exemple par des sociétés qui fournissent des serveurs dédiés (OVH) mais la popularité de Webmin ne semble grandir que calmement.

Une sécurité relative

D'un point de vue technique, Webmin peut apparaître comme une faille béante dans la sécurité du système géré et ce, pour les raisons suivantes :

• Le compte par défaut est root.
• L'accès https n'est pas une garantie suffisante de sécurité.
  

Compte root:

C'est le compte qui a tous les droits sur l'OS, il est donc possible de détruire le système par une mauvaise manipulation.

Amélioration:

• Créer un autre compte dans Webmin avec les droits suffisants, le reste devra se faire en ligne de commandes et supprimer le compte root de Webmin « root ».
• Bloquer temporairement les machines qui échouent à l'authentification.
• Consigner les hôtes bloqués, les noms de connexion et les échecs d'authentification dans Syslog.
• Plus radicale: désactiver Webmin et ne l’activer qu’en cas de nécessité.

Accès https :

Le protocole https est réputé comme fiable mais sur un réseau à risque comme Internet, il est fortement exposé. Ainsi face à des attaques de haut niveau (càd. développées, partagées et testées par des communautés de hackers), l'https ne peut pas être considéré comme une protection pour Webmin.

Améliorations :

• Toujours activer SSL, pas d'accès à Webmin en HTTP non sécurisé !
• Changer le port de connexion par défaut (10000).
• Filtrer les adresses IP pour l'accès à Webmin, idéalement, juste 127.0.0.1

Pour hacker Webmin

Il existe sur Internet des méthodes pour hacker Webmin. La plupart sont des scripts PERL qui utilisent LWP pour récupérer le contenu des fichiers sur la machine distante (exemple : /etc/passwd). Ces exploits s'attaquent généralement aux versions antérieurs de Webmin, il est donc recommandé de mettre à jour Webmin le plus souvent possible. Malheureusement, l'utilisation de ces exploits lors de mes tests n'a pas été fructueuse.

Introduction

• Cadre/Objectifs/Auteur

Présentation

• Qu’est ce que Webmin ?
• Les fonctionnalités
• A qui s'adresse Webmin ?
• Une interface pour Linux

Intérêts pour l'entreprise

• Administration simplifiée
• La délégation des taches
• L'open source
• Admin multi système

Cas pratiques

• Configurations
• Maintenance du système
• Les modules

Limites

• Les limites fonctionnelles
• Une sécurité relative

Conclusion

• Démarche/Bilan/Limites