« LINUX:Webmin » : différence entre les versions

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
 
(6 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
----
''→ [[LINUX:Gestion distante|retour à la gestion distante]]''
----
=But=
=But=
Webmin est un autre interface WEB qui permet de nombreuses opérations de gestion du système. Notons que ce logiciel reprend de très nombreuses options et il faut bien connaitre la partie concernée.  
Webmin est un autre interface WEB qui permet de nombreuses opérations de gestion du système. Notons que ce logiciel reprend de très nombreuses options et il faut bien connaitre la partie concernée.  
Ligne 13 : Ligne 16 :
  [Webmin]
  [Webmin]
  name=Webmin Distribution Neutral
  name=Webmin Distribution Neutral
  baseurl=http://download.webmin.com/download/yum
  baseurl=<nowiki>http://download.webmin.com/download/yum</nowiki>
  enabled=1
  enabled=1
----
----


La seconde étape consiste à récupérer et installer la clé de validation en ligne de commande:
La seconde étape consiste à récupérer et installer la clé de validation en ligne de commande:
  wget https://download.webmin.com/jcameron-key.asc
  wget <nowiki>https://download.webmin.com/jcameron-key.asc</nowiki>
  rpm --import jcameron-key.asc
  rpm --import jcameron-key.asc


Ligne 33 : Ligne 36 :
=Activer et lancer le service=
=Activer et lancer le service=
Le service à lancer est webmin.  
Le service à lancer est webmin.  
Il est à noter que l'installation active et lance ce service. Il n'utilise pas le système "SYSTEMD" mais l'ancien système "SysV init". On le trouve donc dans "/etc/rc.d/init.d". Mais les commandes de SYSTEMD peuvent être utilisées après redémarrage de la machine ou après avoir tué le processus WEBMIN:
Il est à noter que l'installation active et lance ce service. Pour le relancer:
  systemctl restart webmin
  systemctl restart webmin


Ligne 41 : Ligne 44 :
Le port TCP à ajouter est 10000. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:
Le port TCP à ajouter est 10000. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:
----
----
  -A INPUT -p tcp -m tcp --dport 10000 -s 192.168.1.0/24 -j ACCEPT
  -A INPUT -p tcp -m tcp --dport 10000 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
----
----
Recommandation: Je conseille de ne pas l'installer et encore moins de l'activer sur un serveur visible d'Internet. Un serveur, surtout visible d'Internet, doit avoir une surface d'attaque minimale, c'est-à-dire, avec un minimum de logiciels installés et un minimum de services, strictement nécessaires.  
Recommandation: Je conseille de ne pas l'installer et encore moins de l'activer sur un serveur visible d'Internet. Un serveur, surtout visible d'Internet, doit avoir une surface d'attaque minimale, c'est-à-dire, avec un minimum de logiciels installés et un minimum de services, strictement nécessaires.  
=Certificat personnel=
Cet interface WUI utilise HTTPS et donc un certificat auto-signé. Quand on lance un browser, ce type de certificat pose souvent problème. Pour contourner ce problème, on utilisera un certificat dont le certificat parent est un d'une autorité de certification (CA) connu de votre browser.
Soit vous avez obtenu un certificat officiel pour votre machine et dans ce cas, le nom de machine doit être connu d'Internet, ce qui n'est pas souhaitable.
Il est préférable de créer votre propre autorité de certification (CA) que vous ferez reconnaitre par votre browser. L'article [[LINUX:Certificats|Sécurité via les certificats]] vous y aidera, aussi bien pour sa création, la création d'un certificat pour votre serveur ([[LINUX:Création d'une CA privée (V1)|Création d'une CA privée (V1)]] ou [[LINUX:Extension de la CA privée (V3)|Extension de la CA privée (V3)]]) que pour son implémentation dans votre browser.
A ce stade, il faut spécifier au logiciel Webmin quel certificat utiliser.
Dans le fichier '''"/etc/webmin/miniserv.pem"''', on y retrouve les clé privée et certificat publique auto-signé. On y remplace ceux-ci par:
* la clé privée de votre machine, pas celle de votre autorité de certification
* le certificat publique de votre machine
* le certificat publique de votre autorité de certification
,les uns en dessous des autres.
Il suffit ensuite de redémarrer le service "webmin.service".




Ligne 50 : Ligne 74 :
  <nowiki>https://serverdb.home.dom:10000/</nowiki>
  <nowiki>https://serverdb.home.dom:10000/</nowiki>
Vous accédez à un menu de login; l'utilisateur est "root" et le login Linux de ce système.
Vous accédez à un menu de login; l'utilisateur est "root" et le login Linux de ce système.


[[FILE:LINUX:Webmin.login.png|500px|center]]
[[FILE:LINUX:Webmin.login.png|500px|center]]




Après login, vous accédez à l'interface. En cliquant sur "Tableau de bord", vous aurez accès à différents onglets généraux:




[[FILE:LINUX:Webmin.png|800px|center]]




Le menu de gauche présente de nombreuses options, notamment la partie serveurs.


Par exemple, en cliquant à gauche sur le menu Webmin et ensuite sur "Configuration de Webmin", on obtient l'écran suivant:




[[FILE:LINUX:Webmin.configuration.png|800px|center]]
En cliquant sur la seconde icône "Ports et adresses", on a l'écran suivant:
[[FILE:LINUX:Webmin.configuration.adresse.port.png|800px|center]]
On remarque ici que le port d'écoute est 10000 (défaut) et que l'IPV6 a été désactivé.
----
''&rarr; [[LINUX:Gestion distante|retour à la gestion distante]]''
----
----
''->[[LINUX:Gestion distante|retour à la gestion distante]]''
__NOEDITSECTION__
__NOEDITSECTION__
[[Category:LINUX]]

Dernière version du 5 décembre 2022 à 18:48


retour à la gestion distante


But

Webmin est un autre interface WEB qui permet de nombreuses opérations de gestion du système. Notons que ce logiciel reprend de très nombreuses options et il faut bien connaitre la partie concernée.


Installation

Le module d'installation n'est inclus dans la distribution de Fedora. Il faut donc passer par quelques étapes préalables.

La première étape consiste à créer une entrée dans le "YUM repository".

Dans le répertoire "/etc/yum.repos.d", on crée le fichier "webmin.repo" dont voici le contenu:


[Webmin]
name=Webmin Distribution Neutral
baseurl=http://download.webmin.com/download/yum
enabled=1

La seconde étape consiste à récupérer et installer la clé de validation en ligne de commande:

wget https://download.webmin.com/jcameron-key.asc
rpm --import jcameron-key.asc


Par sécurité, rafraichissez les bases de données des différents dépôts, soit par la commande:

dnf clean all

ou

dnf upgrade --refresh

Enfin on peut installer le module:

dnf install webmin


Activer et lancer le service

Le service à lancer est webmin. Il est à noter que l'installation active et lance ce service. Pour le relancer:

systemctl restart webmin


Configurer le mur de feu ou FireWall

Vous avez sûrement activé le FireWall du serveur. Comme c'est un service proposé, il faut ouvrir une porte. Le port TCP à ajouter est 10000. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:


-A INPUT -p tcp -m tcp --dport 10000 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT

Recommandation: Je conseille de ne pas l'installer et encore moins de l'activer sur un serveur visible d'Internet. Un serveur, surtout visible d'Internet, doit avoir une surface d'attaque minimale, c'est-à-dire, avec un minimum de logiciels installés et un minimum de services, strictement nécessaires.


Certificat personnel

Cet interface WUI utilise HTTPS et donc un certificat auto-signé. Quand on lance un browser, ce type de certificat pose souvent problème. Pour contourner ce problème, on utilisera un certificat dont le certificat parent est un d'une autorité de certification (CA) connu de votre browser.


Soit vous avez obtenu un certificat officiel pour votre machine et dans ce cas, le nom de machine doit être connu d'Internet, ce qui n'est pas souhaitable.


Il est préférable de créer votre propre autorité de certification (CA) que vous ferez reconnaitre par votre browser. L'article Sécurité via les certificats vous y aidera, aussi bien pour sa création, la création d'un certificat pour votre serveur (Création d'une CA privée (V1) ou Extension de la CA privée (V3)) que pour son implémentation dans votre browser.


A ce stade, il faut spécifier au logiciel Webmin quel certificat utiliser. Dans le fichier "/etc/webmin/miniserv.pem", on y retrouve les clé privée et certificat publique auto-signé. On y remplace ceux-ci par:

  • la clé privée de votre machine, pas celle de votre autorité de certification
  • le certificat publique de votre machine
  • le certificat publique de votre autorité de certification

,les uns en dessous des autres.


Il suffit ensuite de redémarrer le service "webmin.service".


Lancer l'interface WEB

Enfin, nous allons l'utiliser. A partir d'un navigateur WEB (firefox, chrome,...), on lance la commande suivante pour une machine nommée dans notre exemple "serverdb.home.dom":

https://serverdb.home.dom:10000/

Vous accédez à un menu de login; l'utilisateur est "root" et le login Linux de ce système.


LINUX:Webmin.login.png


Après login, vous accédez à l'interface. En cliquant sur "Tableau de bord", vous aurez accès à différents onglets généraux:


LINUX:Webmin.png


Le menu de gauche présente de nombreuses options, notamment la partie serveurs.

Par exemple, en cliquant à gauche sur le menu Webmin et ensuite sur "Configuration de Webmin", on obtient l'écran suivant:


LINUX:Webmin.configuration.png


En cliquant sur la seconde icône "Ports et adresses", on a l'écran suivant:


LINUX:Webmin.configuration.adresse.port.png


On remarque ici que le port d'écoute est 10000 (défaut) et que l'IPV6 a été désactivé.




retour à la gestion distante