15. Jelszómódosítás: Webmin, Usermin

15. Jelszómódosítás: Webmin, Usermin

Nagyszámú felhasználó esetén előbb-utóbb felmerül az igény a jelszómódosításra. Csak akkor követelhetjük meg a felhasználóktól, hogy tartsák titokban saját jelszavukat, ha megteremtjük a lehetőségét a jelszómódosításnak. Ezt a Usermin és a Webmin programokkal valósítjuk meg. Segitségével a felhasználóink önállóan is jelszót módosíthatnak bármelyik munkaállomásról.

A Webmin egy olyan segédeszköz, amivel rendszer-adminisztrációs feladatokat végezhetünk el böngészőből. Szinte az összes eddig tárgyalt szolgáltatás beállításait módosíthatjuk: felhasználókat hozhatunk létre és törölhetünk, konfigurálhatjuk a hálózati eszközöket, szolgáltatásokat menedzselhetünk, a Samba, a Squid működését is módosíthatjuk grafikus felületen. Aki nagyon idegenkedik a karakteres felülettől, szöveges állományok szerkesztésétől, annak elnyeri tetszését a Webmin egyszerű kezelhetősége. De ne feledjük, hogy ugyanilyen könnyen el is ronthatjuk a kiszolgáló beállításait.

Csak abban az esetben módosítsunk valamilyen rendszerbeállítást a kiszolgálón a Webmin segítségével, ha biztosak vagyunk a következményeiben. Például, ha felhasználók létrehozását a webmin-el végezzük, ezek a felhasználók nem fognak az Internethez hozzáférni, nem lesz quota-beállításuk, hiszen ezt az uj_felhasznalo.scp szkript végzi.
A Usermin a Webminhez hasonló, segítségével a felhasználók saját beállításaikat módosíthatják.
Ebben a fejezetben a Webmin-t csak arra használjuk, hogy a Usermin számunkra szükségtelen és biztonsági kockázatot jelentő moduljait kikapcsoljuk. Valójában nagyon sokrétű és nagy tudású eszköz. Épp ezért, ha rendszer-adminisztációs célokta is használnánk, legyünk körültekintőek.

15.1. A programok telepítése

A telepítés történhet tárolóból vagy a letöltött csomagok telepítésével. Mind a két módszert bemutatom, de mivel a tárolóból történő telepítés egyszerűbb, a másik módszert csak akkor alkalmazzuk, ha valamiért az első nem működne. A tároló beállításához hozzuk létre az /etc/yum.repos.d/webmin.repo állományt a következő tartalommal:

[Webmin]
name=Webmin Distribution Neutral
baseurl=http://download.webmin.com/download/yum
enabled=1

(root-ként a Terminál ablakában: gedit /etc/yum.repos.d/webmin.repo és beillesztjük a fenti tartalmat)
A telpítéshez az alábbi parancsokat kell kiadni:

[root@centos5 ~]# rpm --import http://www.webmin.com/jcameron-key.asc
[root@centos5 ~]# yum install webmin
[root@centos5 ~]# yum install usermin

RPM csomagból történő telepítés esetén töltsük le a http://www.webmin.com/download.html oldalról az aktuális legfrissebb verzióit a programoknak. A könyv írásakor ezek a következők voltak: webmin-1.510-1.noarch.rpm és a usermin-1.440-1.noarch.rpm.
Az alábbi parancsokkal telepítjük a csomagokat:

[root@centos5 Desktop]# rpm -ivh webmin-1.510-1.noarch.rpm
warning: webmin-1.510-1.noarch.rpm: Header V3 DSA signature: NOKEY, key ID 11f63c51
Preparing...                ########################################### [100%]
Operating system is CentOS Linux
   1:webmin                 ########################################### [100%]
Webmin install complete. You can now login to https://centos5.suli.uz.ua:10000/
as root with your root password.

[root@centos5 Desktop]# rpm -Uvh usermin-1.440-1.noarch.rpm
warning: usermin-1.440-1.noarch.rpm: Header V3 DSA signature: NOKEY, key ID 11f63c51
Preparing...                ########################################### [100%]
Operating system is CentOS Linux
   1:usermin                ########################################### [100%]
Usermin install complete. You can now login to https://centos5.suli.uz.ua:20000/
as any user on your system.

15.2. A Webmin néhány beállítása

A /root/tuzfal.scp állományba az INPUT rész Samba portjait engedélyező sorai után írjuk a következő sorokat:

# Webmin, usermin
$IPTABLES -A INPUT -p tcp -s $NET_INT --destination-port 10000 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $NET_INT --destination-port 20000 -m state --state NEW -j ACCEPT

Indítsuk el a szkriptet start paraméterrel és mentsük a beállításokat:

[root@centos5 ~]# /root/tuzfal.scp start
[root@centos5 ~]# service iptables save

A munkaállomásunk böngészőprogramjába írjuk a következő címet: https://192.168.55.1:10000/Mivel a kapcsolat https protokollt használ, figyelmeztetést kapunk, hogy a webhely nem azonosította magát külső hitelesítővel. Ez esetünkben természetes. A Mozilla Firefox 3.6 böngészőben a következő lépésekkel engedélyezzük a kapcsolódást: Megértettem a kockázatot / Kivétel hozzáadása / Biztonsági kivétel megerősítése. Ezek után bejelentkezhetünk root-ként a Webmin programba (15.1. ábra).

15.1. ábra

root-ként bejelentkezve egy információs oldalt látunk, azon a kiszolgáló nevét, lemez- és memóriahasználtságát. Részletes rendszerinformációt is kérhetünk a System Information -ra kattintva (15.2. ábra)

15.2. ábra

Először állítsuk be, hogy csak saját munkaállomásunk IP címéről lehessen hozzáférni a webminhez. A baloldalon válasszuk a Webmin, majd a Webmin Configuration parancsot. Az IP Access Control ablakba írjuk be a munkaállomásunk IP címét és válasszuk az Only allow from listed addresses kapcsolót. (15.3. ábra)

15.3. ábra

(amennyiben hibaüzenetet kapnánk, akkor valószínűleg nem az adott gép IP címét adtuk meg, vagy nem adtuk a kiszolgáló IP címét a "Nincs proxy a következőkhöz:" listához a böngészőprogram beállításainál)
Mentsük a beállítást a Save kapcsolóval.
A Webmin / Usermin Configuration / IP Access Control ablakban állítsuk be, hogy a Usermin szolgáltatás belső hálózatunk bármelyik gépéről elérhető legyen: 192.168.55.0/255.255.255.0 (15.4. ábra) Mentsük a beállítást.

15.4. ábra

A Webmin / Usermin Configuration / Available Modules-nél a csak 15.5. ábrán látható modulok legyenek engedélyezve:

15.5. ábra

Mentsük a beállítást. A felhasználóknak ezzel csak a jelszómódosítást és a quota ellenőrzését engedélyezzük.
A 15.6. ábrán látjuk azt a beállítást a Usermin Configuration / User Interface ablakban, amivel bejelentkezés után a jelszómódosítás lesz az alapértelmezett: After loogin, always go to module / Change Password.

15.6. ábra

Fontos, hogy a jelszómódosítás ablaka ne ajánlja fel a bejelentkezési jelszó mentését. A Webmin / Usermin Configuration / Authentication ablakban kapcsoljuk ki az Offer to remember login permanently? kapcsolót. (107. ábra)

15.7. ábra

15.3. Jelszómódosítás böngészőből

Ellenőrizzük, hogy működik-e a jelszómódosítás. Jelentkezzünk ki a Webmin-ből a Logout gombbal és írjuk a böngészőbe a https://192.168.55.1:20000/ címet. A megjelenő ablakba írjuk saját felhasználói nevünket és jelszavunkat. Engedélyezzük a kapcsolódást, mint a Webmin esetén. Ezután a Jelszómódosítás ablak fogad, ahol megváltoztathatjuk a jelszavunkat a jelenlegi, az új, és az új jelszó ismételt beírásával. (15.8. ábra) Mind a Linux (bejelentkezés, Internet-hozzáférés), mind a Samba (HOME könyvtár) jelszavunk megváltozik.

15.8. ábra

Hozzunk létre egy új sort a /var/www/html/index.html állományban a „Linkgyűjtemény” sor után. Ez létrehozza a „Jelszómódosítás” sort a weboldalunkon:

<p><img src="g1.gif"><b> <a href="https://192.168.55.1:20000/"> Jelszómódosítás</a></b></p>

Erre kattintva megjelenik a usermin bejelentkezőablaka, ahol a felhasználók megváltoztathatják jelszavaikat.
A webmin és a usermin szolgáltatásként fut. Ha csak a jelszómódosítást szeretnénk használni, leállíthatjuk a webmin-t és kikapcsolhatjuk automatikus indítását:

[root@centos5 ~]# service webmin stop
Stopping Webmin server in /usr/libexec/webmin
[root@centos5 ~]# chkconfig webmin off