staging.inyokaproject.org

via DuckDuckGo

Monit Web-Interface mit Firewall Freigabe

Status: Gelöst | Ubuntu-Version: Ubuntu 16.04 (Xenial Xerus)
Antworten |

tskv

Anmeldungsdatum:
5. Oktober 2011

Beiträge: 149
Zitieren
15. November 2016 18:28

Ich bereite (noch lokal) einen Server vor, den ich per Monit überwachen will. Bislang nutze ich den Monit-eigenen Webserver nur lokal, also per ssh Login gefolgt von "lynx localhost:2812". Klappt wunderbar.

Zum testen habe ich Monit mal für Zugriffe von außen geöffnet: https://management.mydomain.tld:2812. Dies zusammen mit einer Firewallregel, die Zugriffe auf den Monit Port ausschließlich von meiner statischen IP erlaubt. Klappt ebenfalls, und wirkt natürlich deutlich ansprechender.

Jetzt stecken hochgradig destruktive Fähigkeiten im Web Interface von Monit. Ich kann jeden Dienst abschalten, inklusive ssh. Ist hier eine Firewall Regel (zusammen mit SSL und Monit Basic Auth) ein ausreichender Schutz, oder wäre es eher "grober Unfug", über so etwas nachzudenken?

tskv

(Themenstarter)

Anmeldungsdatum:
5. Oktober 2011

Beiträge: 149
Zitieren
30. November 2016 09:24

Möchte mir selbst antworten, damit hier nicht Unfug stehen bleibt: Ein deutlich besseres Konzept:

Alle administrativen Dienste laufen auf dem localhost, und sind auch nur von diesem aus erreichbar. Auf der Konsole z.B. mittels Lynx. Da dies zu unkomfortabel (und unbunt) ist, lege ich einen ssh Tunnel zum Server, und ziehe mir so den localhost auf meinen entfernten Desktop. Der Monit Port kann dabei nach außen geschlossen bleiben, wenn man ihn per Proxy, z.B. über eine Location, auf den localhost mappt.

# ssh Tunnel erstellen
ssh -L 1234:localhost:80 username@hostname.example.com

# im Client Browser:

http://localhost:1234/phpmyadmin/
http://localhost:1234/monit/
http://localhost:1234/postfixadmin/

Das einzige (minimale) Problem sind zusätzliche ssl Verbindungen. Da kein Zertifikat für den localhost gilt, gibt es immer eine Browserwarnung. M.E. bringt aber hier die ssl Verbindung keine höhere Sicherheit, da sowieso alles über ssh läuft. Ich habe ssl dafür derzeit deaktiviert. Dazu würden mich Meinungen interessieren.

Wenn diese Methode nicht geht, weil z.B. viele auf die administrativen Dienste zugreifen müssen, so sollte man die Verbindung ausschließlich für Clients mit eigenem Zertifikat öffnen, zusätzlich zu Basic_Auth und restriktiven FW-Regeln für den dann offenen Monit Port. Der ssh Tunnel ist deutlich die bessere Variante.

Antworten |