Admin Panel absichern

    hey Leute,
    denke das wird vorerst mein letzter Post. Bei ISPCP war es schon so, hier auch. Man kann schon allein per ip vom Server, und somit auch per nicht existierenden subdomains von mit dem Server verknüpften Domains auf den Admin panel von i-mscp zugreifen.
    Ich finde es ziemlich ein Sicherheitsrisiko, da jedermann sofort zum Loginpanel kommt und sich da austoben kann, bzw. auch weiß, auf welchem System das Teil läuft^^


    Bei ispcp habe ich nach längerem durchstöbern der configfiles endlich die Stelle ausfindig gemacht und dieses Problem behoben. Kann mir eventuell jemand sagen, wo diese Datei/Stelle zu finden ist?
    Man sollte es eventuell standardmäßig deaktivieren.


    Außerdem ein Sicherheitstipp, wenn man dies deaktiviert, kann man von fortan ohne Probleme über diese nicht existierenden subdomains auf die backupfiles etc von den einzelnen domains zugreifen (sofern man es nicht über htaccess und co sichert). Denn man wird dann auf var/www/ umgeleitet^^


    Danke euch,
    Ninos

    Hallo Ninos...
    ich denke Kritik muss auch sein... Und die nehmen wir auch gerne an!
    Und wenn Du das als ein Sicherheitsrisiko ansiehst, dann eröffne doch bitte ein Ticket.


    Dann werden wir da besprechen und gegebenfalls anders umsetzen.


    Alles ander finde ich hier unangebracht.

    Edited once, last by TheCry ().

    To resume, it's not really a big issue and frankly your way to talk do not feel really good for all men that work on their free time to try to provide a good panel. A ticket is already opened for that kind of issue (as mentioned by Thecry).

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

    SSH key for online support

    Hallo,


    jo das was Ninos sagt finde ich auch nicht so gut.


    Ich bekomme auch ca. 70 Mails am Tag das Bots usw. auf das Panel zugreifen wollen weil es eine Subdomain nicht gibt.:(


    Da müsste so schnell als eben Möglich abgestellt werden.


    Danke
    Viktor;)

    - Distribution: Debian | Release: 8.10 | Codename: jessie

    - i-MSCP Version: i-MSCP 1.5.3 | Build: 20180516 | Codename: Ennio Morricone

    - Plugins installed: ClamAV (v. 1.3.0), Mailgraph (v 1.1.1), OpenDKIM (v 2.0.0), PanelRedirect (v 1.2.0) & SpamAssassin (v 2.0.1)

    - LetsEncrypt (v 3.6.0), PhpSwitcher (v 5.0.5), RoundcubePlugins (v 2.0.2)

    Quote from gOOvER


    Naja, wart mal bis die Bots den Port rausgefunden haben. Dann geht das wieder los. :)


    haha, da hast nicht ganz Unrecht, sind dann aber zum Glück Wenigere :) Bei mir sinds leider so Viele, weil ich zuvor ne subdomain für ne site hatte, auf der ein phpbb-Forum lief, und da gabs haufenweise spam. Hab den Forum entfernt, aber die loginfelder sind immer noch da, daher ist die Zahl bei mir wesentlich hoch *gg*


    Nuxwin
    I think thats a mistake. I love this panel very much and I'm grateful for your job. It was only a question, how I can change this kind of problem. I wrote "it will be my last post", because I spamed this forum with questions, so it was a sorry on my part..


    TheCry
    wie bei Nuxwin, war ein Missverständnis, meinte die ersten Zeilen anders. Und zwar, dass ich euch wohl mit dem post zum letzten mal mit dummen Fragen nerve^^ Hätte mich anders ausdrücken müssen, sry. War eine Frage, keine wirkliche Kritik, weil mans so und so sehen kann :D

    Edited once, last by mafioso ().

    Verstehe ich es richtig - es geht drum, dass das Login zum Panel zu leicht zu finden ist?


    Dh. die ganze Sicherheit lastet dann auch den Passwörtern. Früher gabs ja mal in den Apache Templates den Eintrag *.domain.tld - das hat zumindest die nicht eingerichteten Subdomains "gesammelt". Aber mit der IP kommt man immernoch auf das Panel-Login.
    Zusätzlich sollte man dann wohl wohl die Fehlermeldungen ersetzen, die helo-Zeile im Postfix, wie erwähnt, einen anderen default-virtualhost (nicht direkt in /var/www) einrichten und ggf. noch anderes.


    Ich bin der Meinung, dass diese Schritte von jedem guten Admin gemacht werden können.


    Einen anderen Port finde ich nicht sinnvoll - eher nur einen bestimmten Hostnamen, das ist schwieriger zu scannen. Schlussendlich muss aber doch sichergestellt werden, dass die Passworte gut genug sind und dass ein "austoben" auf dem Login keinen Erfolg bringt.



    Gruss Joximu


    jup, siehst richtig. Denke aber, dass vorerst den admin panel nur über eine url aufrufbar zu machen, reichen würde.. eventuell überm adminbereich ein uns abschaltbar. Genauso die Weiterleitungen bei domain.tld/pma und co^^ Dass der admin, oder die Kunden das entscheiden können :)