LINUX:Webmin

Révision datée du 5 décembre 2022 à 18:48 par Adebast (discussion | contributions)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

retour à la gestion distante


But

Webmin est un autre interface WEB qui permet de nombreuses opérations de gestion du système. Notons que ce logiciel reprend de très nombreuses options et il faut bien connaitre la partie concernée.


Installation

Le module d'installation n'est inclus dans la distribution de Fedora. Il faut donc passer par quelques étapes préalables.

La première étape consiste à créer une entrée dans le "YUM repository".

Dans le répertoire "/etc/yum.repos.d", on crée le fichier "webmin.repo" dont voici le contenu:


[Webmin]
name=Webmin Distribution Neutral
baseurl=http://download.webmin.com/download/yum
enabled=1

La seconde étape consiste à récupérer et installer la clé de validation en ligne de commande:

wget https://download.webmin.com/jcameron-key.asc
rpm --import jcameron-key.asc


Par sécurité, rafraichissez les bases de données des différents dépôts, soit par la commande:

dnf clean all

ou

dnf upgrade --refresh

Enfin on peut installer le module:

dnf install webmin


Activer et lancer le service

Le service à lancer est webmin. Il est à noter que l'installation active et lance ce service. Pour le relancer:

systemctl restart webmin


Configurer le mur de feu ou FireWall

Vous avez sûrement activé le FireWall du serveur. Comme c'est un service proposé, il faut ouvrir une porte. Le port TCP à ajouter est 10000. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:


-A INPUT -p tcp -m tcp --dport 10000 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT

Recommandation: Je conseille de ne pas l'installer et encore moins de l'activer sur un serveur visible d'Internet. Un serveur, surtout visible d'Internet, doit avoir une surface d'attaque minimale, c'est-à-dire, avec un minimum de logiciels installés et un minimum de services, strictement nécessaires.


Certificat personnel

Cet interface WUI utilise HTTPS et donc un certificat auto-signé. Quand on lance un browser, ce type de certificat pose souvent problème. Pour contourner ce problème, on utilisera un certificat dont le certificat parent est un d'une autorité de certification (CA) connu de votre browser.


Soit vous avez obtenu un certificat officiel pour votre machine et dans ce cas, le nom de machine doit être connu d'Internet, ce qui n'est pas souhaitable.


Il est préférable de créer votre propre autorité de certification (CA) que vous ferez reconnaitre par votre browser. L'article Sécurité via les certificats vous y aidera, aussi bien pour sa création, la création d'un certificat pour votre serveur (Création d'une CA privée (V1) ou Extension de la CA privée (V3)) que pour son implémentation dans votre browser.


A ce stade, il faut spécifier au logiciel Webmin quel certificat utiliser. Dans le fichier "/etc/webmin/miniserv.pem", on y retrouve les clé privée et certificat publique auto-signé. On y remplace ceux-ci par:

  • la clé privée de votre machine, pas celle de votre autorité de certification
  • le certificat publique de votre machine
  • le certificat publique de votre autorité de certification

,les uns en dessous des autres.


Il suffit ensuite de redémarrer le service "webmin.service".


Lancer l'interface WEB

Enfin, nous allons l'utiliser. A partir d'un navigateur WEB (firefox, chrome,...), on lance la commande suivante pour une machine nommée dans notre exemple "serverdb.home.dom":

https://serverdb.home.dom:10000/

Vous accédez à un menu de login; l'utilisateur est "root" et le login Linux de ce système.



Après login, vous accédez à l'interface. En cliquant sur "Tableau de bord", vous aurez accès à différents onglets généraux:



Le menu de gauche présente de nombreuses options, notamment la partie serveurs.

Par exemple, en cliquant à gauche sur le menu Webmin et ensuite sur "Configuration de Webmin", on obtient l'écran suivant:



En cliquant sur la seconde icône "Ports et adresses", on a l'écran suivant:



On remarque ici que le port d'écoute est 10000 (défaut) et que l'IPV6 a été désactivé.




retour à la gestion distante