V-Server absichern fragen zu fail2ban,webmin und phpmyadmin

[overclocker]

Hallo,
Ich bin dabei meinen Server möglichst sicher einzurichten.
Ich bin über Tipps sehr dankbar.
Ich habe einige fragen und würde ich freuen wenn mir jemand diese beantworten kann.


System: Debian-8.4-jessie-64-LAMP + webmin + fail2ban.

Was wurde bisher geändert:
SSH Port weg vom Standard 22 zu 3XXXX
phpmyadmin ist nicht mehr unter IP/phpmyadmin zu erreichen sondern unter IP/zurdatenbank
webmin Port ist nichtmehr :10000 sondern 3XXXX
webmin user root gelöscht und einen anderen angelegt.
Fail2ban ist installiert und sichert den SSH Zugriff

Ich möchte nun im Idealfall phpmyadmin und webmin mit fail2ban absichern, dies funktionierte allerdings mit den Anleitungen die ich im web gefunden habe nicht.
Alternativ habe ich versucht phpmyadmin mit recaptcha abzusichern das bekomme ich allerdings auch nicht hin.

Könnt Ihr mir helfen die recaptcha Funktion in phpmyadmin einzurichten ? oder alternativ fail2ban zur Absicherung von phpmyadmin ?
Danke schonmal

[uname]

Webmin deinstallieren oder nur auf Localhost und per SSH tunneln. Geht auch für phpadmin. Einsatz von SSH-Key und/oder OTP. htaccess überall wo geht. Minimierung von Software wo möglich. IT-Wissen aufbauen. Wissen ist wichtiger als jede Schutzsoftware.

[overclocker]

Webmin deinstallieren oder nur auf Localhost und per SSH tunneln. Geht auch für phpadmin. Einsatz von SSH-Key und/oder OTP. htaccess überall wo geht. Minimierung von Software wo möglich. IT-Wissen aufbauen. Wissen ist wichtiger als jede Schutzsoftware.

Danke erst mal für deine Antwort.
Auch wenn dabei recht wenig an brauchbarem herübergekommen ist.
Ich finde insbesondere die Aussage "IT Wissen aufbauen" echt daneben für ein Forum.
Wenn du mir jetzt ein Buch empfohlen hättest, dann wäre es weiterführend.
Aber diese Aussage bringt doch keinen weiter.

Aber zurück zu eigentlichen Thema.

SSH Zugang ist wie schon erwähnt durch fail2ban ausreichend geschützt.

Zum Thema Webmin und PHPmyadmin per SSH Tunneln:
Wie funktioniert das im Detail?

[uname]

Ich hatte extra in meinen paar Sätzen einiges an Wörtern geschrieben, die du mit etwas Interesse im Internet detailliert nachlesen könntest. Vor allem solltest du nicht Bücher lesen, sondern kurze passende Passagen im Internet und diese Konfigurationsbeispiele (die natürlich teilweise auch falsch sind) auf einem eigenen Testsystem ausprobieren. Natürlich solltest du vor allem auf deinen Desktop auch Debian installieren. Dann hast du im Alltag das gleiche Betriebssystem am laufen wie auf deinem Server ... nur in bunt.

Aber wenn es ein Buch sein soll:

http://www.debiananwenderhandbuch.de
(ich glaube in Papierform gibt es das Buch nur in einer extrem veralteten Version, da sind andere Bücher besser, kaufe keine Version älter als ein paar Jahre)

SSH Zugang ist wie schon erwähnt durch fail2ban ausreichend geschützt.

Blödsinn. Weil du es vielleicht als eine Standardanwendung irgendwo geklaut hast? SSH-Keys und OTP sind weit sicherer.

Zum Thema Webmin und PHPmyadmin per SSH Tunneln:
Wie funktioniert das im Detail?

Das Internet ist dein Freund. Aber etwa so. Webmin horcht nicht mehr auf 0.0.0.0:10000, sondern nur 127.0.0.1:10000 (ich nutze diese unsichere Anwendung nicht, keine Ahnung wo man das konfiguriert). Wenn nicht möglich per Firewall von außen den Zugriff auf Webmin sperren.

Dann von außen:

Code: Alles auswählen

ssh -L 10000:localhost:10000 user@vserver
oder
plink.exe -L 10000:localhost:10000 user@vserver

plink.exe gehört zu putty.exe. Evtl. kannst du den Tunnel auch direkt in Puttty konfigurieren. Kann ich aber nichts zu sagen, da ich kein Windows nutze.

Und dann im Browser (also auf dem Client Debian bzw. Windows):
http://localhost:10000

Die Sicherheit von Webmin hängt nun nicht mehr von Webmin/Webserver selbst, sondern nur noch von SSH hab. Und das hast du ja gesichert. Wobei natürlich Fehler in Webmin dir das ganze System zerlegen können. Aber das ist natürlich eine andere Sache. Die paar Konfigurationen kannst du besser gleich ohne Webmin durchführen. Dann sparst du diesen Aufwand. Webmin ist aus der Debian-Paketverwaltung rausgeflogen, da es als unsicher eingestuft wurde. Interessant dass sich Einsteiger immer noch darauf stürzen. Ist wohl ähnlich wie mit FTP, was für Datentransport eigentlich viel zu schwer sicher zu konfigurieren ist und kein Mensch mehr braucht. sftp benötigt im Gegensatz dazu nur eine Konfigurationszeile und nutzt den existierenden Dienst SSHD.

[DeletedUserReAsG]

Ist wohl ähnlich wie mit FTP, was für Datentransport eigentlich viel zu schwer sicher zu konfigurieren ist und kein Mensch mehr braucht.

Warum möchtest du mir meinen Status als Mensch absprechen?

On-Topic: Ja, Wissen draufschaffen ist der wesentliche Punkt. Dann braucht man sich auch nicht auf die Scheinsicherheit von fail2ban stützen, oder gar Captchas von Drittfirmen als Sicherheitsplus verklären. Dann reichen z.B. keybasierte Authentifizierung und HTTPs Auth-Mechanismen für diese Parts. Auch kann man dann auf z.B. Webmin verzichten, und sich in der so gesparten Zeit um seinen Server kümmern, etwas spazierengehen, oder so […].

[uname]

Ok. Einige Menschen benötigen FTP und dann ist es in Ordnung. Wer jedoch keine Ahnung hat braucht bestimmt heutzutage kein FTP mehr.