Topic: Server Manager e sicurezza

[Lord Quicksilver]

Salve a tutti.
E' da un po' di giorni che sto dando un'occhiata all'aspetto sicurezza del mio server SME, perché ho deciso di rendere il server manager accessibile dal mio indirizzo ip casalingo.
Dell'https e dell'ip spoofing per ora non mi voglio occupare, mentre invece la prima cosa che ho notato è la seguente: il server manager è accessibile all'indirizzo https://www.dominio.com/server-manager per ogni dominio hostato dal mio server, e anche per ogni sottodominio del tipo https://sottodominio.dominio.com/server-manager.
La cosa non mi quadra, dal momento che (se non erro) il pannello di controllo è sempre lo stesso, e quindi non capisco perché non sia solo accessibile dal dominio principale.

Quindi mi chiedo innanzitutto se sia possibile ridurre l'accesso al server manager al solo dominio principale del mio SME.
Any hints?

Federico

[Stefano]

ciao

per chiarirti le idee ed eventualmente trovare la soluzione dovresti guardare il file httpd.conf e vedere come è configurato apache per il server-manager..

ev. crei un custom template per modificarne il comportamento.

detto questo, io non lo farei.. se hai accesso ssh, un tunnel ssh e via.. o, al limite, usi elinks da dentro la shell ssh.. hai tutto quello che ti serve senza esporre server-manager pubblicamente

my 2c
Stefano

[Lord Quicksilver]

Ok per il tunnel, sono d'accordo.
Ma in ogni caso continuo a non capire l'accessibilità del server-manager da tutti i domini del mio SME, invece che dal solo principale... Tra l'altro ho creato una template di httpd.conf in cui ho modificato (manualmente!) i vari virtual domains, inserendo una regola che vieta espressamente a chiunque di accedere ai vari https://%HTTP_HOST/server-manager, ma apache se ne sbatte bellamente, e continua a garantirmi l'accesso. Sicuramente non ne so abbastanza per avere successo, e il rischio di provocare Immani Casini è troppo alto.
Lasciamo stare: mi accontenterò di chiudere la porta a chicchessia e di usare putty.

Ciao
Federico

[Mat78]

Hai provato a riavviare il servizio?

Comunque potresti risolvere semplicemente aprendo una VPN, in modo da poterti collegare in remoto senza esporre pubblicamente il server manager, ed eviti di dover creare template personalizzati.

[Lord Quicksilver]

Sì, era la soluzione che avevo in mente.
Riguardo riavviare il apache, l'avevo fatto. Anche "con grazia"
Il problema che ho posto comunque non mi sembra banale: anche in rete locale, non vedo perché il server-manager debba essere disponibile sotto più di un indirizzo, quando il pannello è sempre lo stesso.
Lo stesso discorso si può tra l'altro applicare anche a allo user panel, a horde ed agli altri servizi in https: dal momento che in SME un utente (e la sua posta) è lo stesso per ogni dominio, che senso ha dargli una pagina di accesso su ogni dominio?

Vabbè comunque non è niente di grave, il bello di linux è anche divertirsi a trovare la soluzione a queste situazioni.

Ciao
Federico

[Stefano]

Il problema che ho posto comunque non mi sembra banale: anche in rete locale, non vedo perché il server-manager debba essere disponibile sotto più di un indirizzo, quando il pannello è sempre lo stesso.
Lo stesso discorso si può tra l'altro applicare anche a allo user panel, a horde ed agli altri servizi in https: dal momento che in SME un utente (e la sua posta) è lo stesso per ogni dominio, che senso ha dargli una pagina di accesso su ogni dominio?

perchè potresti avere l'utente pippo che è afferente al dominio1 e l'utente topolino afferente al dominio2

in ogni caso, se la cosa non ti sconfinfera, puoi sempre postare la domanda in "general discussion" e vedere se qualcuno ha delle idee.. eventualmente puoi creare un NFR in bugzilla per cambiare questa cosa.

Ciao

Stefano