Pro systémové administrátory je Webmin požehnáním. Jedná se o webový ovládací panel, který umožňuje vzdálenou správu linuxového stroje pomocí moderního webového rozhraní. Webmin dokáže měnit různé systémové konfigurace za běhu, včetně webových serverů a databází. Může také spravovat uživatele, skupiny a softwarové balíčky.
V této příručce vás provedeme kroky instalace a konfigurace Webminu na Ubuntu 18.04.
Webmin na Ubuntu
Ačkoli je Webmin oblíbeným nástrojem pro systémové administrátory, není k dispozici v oficiálních Ubuntu repozitářích. Naštěstí má Webmin pro Ubuntu vyhrazené PPA. To se stará o udržování softwaru v aktuálním stavu. Zde jsou předpoklady, které budete před začátkem potřebovat:
- Budete potřebovat server Ubuntu s uživatelem sudo bez oprávnění root a firewallem. Podívejte se, jak nainstalovat server Ubuntu zde, a jak nastavit uživatele sudo zde.
- Vzhledem k povaze Webminu je důležité chránit přístup před nežádoucími osobami. Ve výchozím nastavení je Webmin vybaven několika bezpečnostními funkcemi. V této příručce však bude Webmin zabezpečen pomocí Let’s Encrypt a Apache. Podle tohoto návodu nainstalujte svůj server Apache.
- Pro následující návod musíte mít také FQDN s DNS záznamem ukazujícím na IP adresu serveru.
- Budete také potřebovat Certbot, jehož instalaci můžete provést podle kroku 1 v našem návodu na zabezpečení Apache pomocí Let’s Encrypt na Ubuntu 18.04. Certbot využijete k vytvoření TLS/SSL certifikátu pro Webmin.
Nyní začněme!
Instalace Webminu na Ubuntu
Chcete-li nainstalovat Webmin, musíme přidat Webmin PPA. Nejprve se ujistěte, že systém obsahuje všechny potřebné závislosti:
|
1 |
sudo apt update && sudo apt install software-properties-common apt-transport-https wget |
Dále importujte PGP klíč Webminu:
|
1 |
wget -q http://www.webmin.com/jcameron-key.asc -O- | sudo apt-key add - |
Nakonec přidejte repozitář Webminu:
|
1 |
sudo add-apt-repository "deb [arch=amd64] http://download.webmin.com/download/repository sarge contrib" |
APT can now recognize the Webmin PPA. Update the APT cache:
|
1 |
sudo apt update |
Nakonec nainstalujte Webmin:
|
1 |
sudo apt install webmin |
Po dokončení instalace se zobrazí něco podobného, což znamená, že k Webminu lze přistupovat přímo prostřednictvím následujícího odkazu. V tomto příkladu se používá název hostitele mého systému:
|
1 |
https://localhost:10000 |
Uvádí se zde, že pro plnou kontrolu nad systémem pomocí Webminu musí uživatel znát heslo uživatele root. To však k zabezpečení něčeho tak citlivého, jako je Webmin, nestačí. Jak jsme již zmínili dříve, umístíme jej za webový server Apache s platným TLS/SSL certifikátem.
Zabezpečení Webminu
Pro přístup k Webminu je výchozí metodou mít otevřený port 10000 open. V našem případě to není optimální. Chcete-li tento problém vyřešit, nakonfigurujeme Apache virtual host jako proxy k serveru Webmin běžícímu na portu 10000. Poté bude virtuální hostitel zabezpečen pomocí TLS/SSL certifikátu získaného od Let’s Encrypt. Tento postup vyžaduje, abyste měli nainstalovaný a správně nakonfigurovaný webový server Apache a Certbot.
- Vytvoření nového virtuálního hostitele Apache
Nový virtuální hostitel bude definován svým konfiguračním souborem. Otevřete konfigurační soubor ve svém oblíbeném textovém editoru:
|
1 |
sudo vim /etc/apache2/sites-available/my_domain.conf |
Do souboru přidejte následující řádky:
|
1 2 3 4 5 6 |
<VirtualHost *:80> ServerAdmin <email> ServerName <domain> ProxyPass / http://localhost:10000/ ProxyPassReverse / http://localhost:10000/ </VirtualHost> |
Říká Apache, aby předával požadavky přicházející na virtuálního hostitele na server Webmin na následující umístění. Zajišťuje také, že interní odkazy generované Webminem projdou přes Apache.
- Zakázání Webmin TLS/SSL
Protože budeme konfigurovat Apache s TLS/SSL, není nutné, aby měl Webmin své vlastní TLS/SSL. Doporučuje se tuto funkci ve Webminu zakázat. Dále otevřete konfigurační soubor Webminu ve svém oblíbeném textovém editoru:
|
1 |
sudo vim /etc/webmin/miniserv.conf |
Poté vyhledejte následující řádek:
|
1 |
ssl=1 |
Zde hodnota „1“ označuje, že Webmin má povolené SSL. Dále nastavte hodnotu na „0“, abyste SSL Webminu zakázali.
- Přidání domény do Webminu
Ve výchozím nastavení by Webmin naší doméně přístup nepovolil. Je to proto, že takový přístup může být součástí škodlivého útoku, například útoku Cross-Site Scripting (XSS).
Aby bylo zajištěno, že Webmin naši doménu povolí, musí být deklarována v konfiguraci Webminu. Otevřete konfigurační soubor ve svém oblíbeném textovém editoru:
|
1 |
sudo vim /etc/webmin/config |
Na konec textu přidejte následující řádek:
|
1 |
referers=<domain> |
Poté text uložte, ukončete editor a restartujte službu Webmin, aby se projevily všechny změny:
|
1 |
sudo systemctl restart webmin |
- Konfigurace Apache
Potřebujeme proxy_http modul pro Apache. Následující příkaz jej povolí:
|
1 |
sudo a2enmod proxy_http |
Doporučuje se restartovat Apache. Nejprve však musíte povolit nového virtuálního hostitele:
|
1 |
sudo a2ensite <domain> |
Nakonec restartujte Apache. Tím se povolí modul i virtuální hostitel:
|
1 |
sudo systemctl restart apache2 |
Následující příkaz nakonfiguruje firewall tak, aby povolil příchozí provoz na portech 80 a 443 (výchozí porty Apache pro provoz HTTP/HTTPS):
|
1 |
sudo ufw allow in "Apache Full" |
Chcete-li ověřit, že konfigurace proběhla úspěšně, přejděte na svou doménu. Měla by se zobrazit přihlašovací stránka Webminu. Do Webminu se však NEPŘIHLAŠUJTE. Vzhledem k tomu, že TLS/SSL ještě nebylo implementováno, bude komunikovat přes HTTP a odesílat všechna data v nešifrovaném textovém formátu:
|
1 |
http://<domain> |
- Konfigurace TLS/SSL
Potřebujeme certifikát pro naši doménu, aby bylo připojení šifrované. K tomu použijeme Let’s Encrypt. Jedná se o bezplatnou, automatizovanou a otevřenou certifikační autoritu (CA). Funguje ve prospěch veřejnosti a poskytuje ji Internet Security Research Group (ISRG).
K vygenerování certifikátu slouží v shellu nástroj certbot. Spuštěním následujícího příkazu certbot vygenerujte certifikát TLS/SSL pro svou doménu a nakonfigurujte Apache tak, aby přesměrovával provoz na zabezpečený web:
|
1 |
sudo certbot --apache --email <email> -d <domain> --agree-tos --redirect --noninteractive |
Výstup bude vypadat takto:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
Ukládání ladicího protokolu do /var/log/letsencrypt/letsencrypt.log Pluginy vybrané: Authenticator apache, Installer apache Získávání jednoho nového certifikátu Provádění těchto následujících výzev: http-01 výzva pro <domain> Povolen Apache rewrite modul Čekání na ověření... Čištění up výzev Vytvořen jeden SSL vhost v /etc/apache2/sites-available/<domain>-le-ssl.conf Povolen Apache socache_shmcb modul Povolen Apache ssl modul Nasazování certifikátu do VirtualHost /etc/apache2/sites-available/<domain>-le-ssl.conf Povolování dostupného webu: /etc/apache2/sites-available/<domain>-le-ssl.conf Povolen Apache rewrite modul Přesměrování vhost v /etc/apache2/sites-enabled/<domain>.conf na ssl vhost v /etc/apache2/sites-available/<domain>-le-ssl.conf ------------------------------------------------------------------------------- Gratulujeme! Úspěšně jste úspěšně povolili https://<domain> Měli byste otestovat svou konfiguraci na: https://www.ssllabs.com/ssltest/analyze.html?d=<domain> ------------------------------------------------------------------------------- |
To znamená, že instalace certifikátu byla úspěšná a Apache byl úspěšně nakonfigurován pro přesměrování požadavků z http://<domain> na https://<domain>.
Použití Webminu
Konečně jsme připraveni spravovat systém pomocí Webminu. Otevřete doménu Webminu ve webovém prohlížeči a přihlaste se jako uživatel root (nebo jakýkoli jiný uživatel s oprávněními sudo).
- Správa uživatelů a skupin
Nejprve se podívejme, jak spravovat uživatele a skupiny pomocí Webminu. V levém panelu přejděte na Systém >> Uživatelé a skupiny:
Chcete-li vytvořit nového uživatele, klikněte na Vytvořit nového uživatele:
Poté vyplňte požadované informace pro nového uživatele. Klikněte na Vytvořit pro dokončení postupu:
- Aktualizace balíčků
Webmin může také zkontrolovat dostupné aktualizace balíčků. V levém panelu klikněte na ikonu Nástěnka :
Na Nástěnce se zobrazí rychlý přehled statistik systému. V sekci Informace o systému vyhledejte položku Aktualizace balíčků . Ta bude informovat, zda je k dispozici nějaká aktualizace pro jakýkoli balíček.
Případně v levém panelu přejděte na Systém >> Aktualizace softwarových balíčků. Na kartě Aktualizace balíčků Webmin zobrazí všechny balíčky, pro které jsou k dispozici aktualizace:
Na kartě Plánované aktualizace nabízí Webmin možnost automatizovat instalaci aktualizací balíčků:
Dále pod kartou Repozitáře balíčků nabízí Webmin snadný způsob správy všech repozitářů balíčků nakonfigurovaných v systému:
- Spouštění vlastních příkazů
Ačkoli Webmin nabízí spoustu možností a přizpůsobení, stále existují věci, které je třeba provést ručně. Webmin může spustit jakýkoli příkaz shellu. Chcete-li spustit příkaz, v levém panelu přejděte na Nástroje >> Příkazový řádek:
Poté zadejte požadovaný příkaz a kliknutím na Spustit příkaz jej spusťte:
Spouštíte některé příkazy pravidelně? Zvažte jejich uložení ve Webminu. V levém panelu přejděte na Nástroje >> Vlastní příkazy. Tyto příkazy již nebudete muset zadávat ručně:
- Správa Apache
Kromě toho, pokud je nainstalován jakýkoli serverový engine, Webmin jej dokáže spravovat. V tomto příkladu jsme použili Apache. Chcete-li spravovat Apache přes Webmin, přejděte na Servery >> Apache:
Závěrečné myšlenky
Webmin je velmi užitečný nástroj pro správu celého vašeho systému. Nabízí pohodlný způsob provádění činností, které by normálně vyžadovaly nudnou interakci s obrazovkou konzole. Navíc vám pomůže systém precizně zorganizovat. Tato příručka představuje nejužitečnější aplikace Webminu. Neváhejte prozkoumat oficiální wiki Webminu a dozvědět se více o tom, jak tento nástroj co nejlépe využít.
Příjemnou práci s počítačem!
Komentáře
Zatím žádné komentáře. Buďte první.