Webinterface schützen

[H3llGhost]

Hallo zusammen,

ich habe nun endlich geschafft, dass der VMWare Server nun so läuft, wie ich es mir vorstelle.
Nur ist für mich jetzt noch die Sicherheit so ne Sache.
Um generell die Gefahr zu minimieren wollte ich gerne das Webinterface nur für einen gewissen IP-Bereich zugänglich machen.
Ich habe mir dazu mal die server.xml angeschaut, aber die Ports die dort angegeben sind stimmen nicht ganz mit denen über ein, die ich nutze.

Wo kann ich Einstellungen bezüglich der IPs und ähnliches vornehmen?

Vielen Dank im Vorraus.

[Dayworker]

Bei der Inst. Allerdings brauchst du bei VMware für den Gastzugriff weder Web-Interface noch den Vi-/vSphere-Client. Nutze einfach die OS-Mittel des Gastes über RDP, SSH oder VNC und schon brauchst du dir keine weiteren Gedanken machen, außer vielleicht das Runterfahren sperren...

[H3llGhost]

Ich brauche ja den Webaccess-Zugriff für das Erstellen von VMs und ähnliches.
Dennoch möchte ich dies halt nicht öffentlich für die Welt machen.

Deswegen die Frage nach der Konfiguration des Webservers, denn das Netz ist dies bezüglich sehr nüchtern.

[PeterDA]

Hi,
warum machst du das dann nicht per Firewall auf dem Hostsystem. Damit kannst du ja nicht nur Port 80 sichern.

Gruß Peter

[Dayworker]

Erstmal kannst du ja verschiedene Permissions innerhalb des Web-Accesses setzen und könntest somit ganz differenzielle Rechte für die VMware-Administration vergeben. Zum anderen kommt es drauf an, welchen Benutzer du bei der Inst für die VMware-Admin angegeben hast. Standardmäßig unter Windows sind das ja alle Mitglieder der Administratorengruppe, bei Linux kommt es halt auf deine Angabe an.

Wie man Berechtugungen/Permissions setzt, habe ich schon mal an anderer Stelle beschrieben:

Permissions/Berechtigungen setzen
Die Sache mit den Permissions/Berechtigungen für den Zugriff auf den VMserver2 ist anscheinend doch nicht so einfach, wie das Handbuch meint. Falls jemand in die Verlegenheit kommen sollte, hier mal eine kleine Anleitung.

Es gibt die 3 Voreinstellungen "No Access", "Read-Only" und "Admin". Diese lassen sich auch abändern oder klonen. Ich würde zur eigenen Sicherheit immer eine Voreinstellung klonen und dann entsprechend abändern, wer weiß wofür man das Original mal braucht. Dabei achtet der Server2 auch strikt darauf, mindestens einen Benutzer zu haben, der alle Berechtigungen hat. In Voreinstellung haben bei Windows nur Benutzer der Host-Gruppe "Admin/Administratoren" und bei Linux der bei der Inst angegeben Benutzer (kann auch jemand anders als der SU "root" sein) die Berechtigung für alle Einstellungen und VMs.
Ansonsten benötigt man 2 Schritte und wenn man das Anlegen von Host-Benutzern/-Gruppen mitrechnet sogar 3.

1. Benutzer/Gruppe im Host-System anlegen
2. "Administration" -> "Manage Roles": Berechtigungen für den/die Host-Benutzer/-Gruppen festlegen
3. VMs auswählen -> Reiter "Permission" -> "Commands" -> "New Permission" -> Benutzer/Gruppe auswählen und unter "Role" das gewünschte Privileg zuweisen.

Achtung Falle Die einzelnen VMs laufen aber dennoch nicht mit diesen möglicherweise eingeschränkten Rechten, sondern immer noch als:

• User that powers on the virtual maschine
• Local system account
• This user

Lediglich der Zugriff auf die VMs und deren Anzeige/Konfig ist für diese(n) Benutzer(gruppe) beeinträchtigt. Falls also jemand die VMware-Dienste/Damons aus Sicherheitsgründen mit anderen Rechten gestartet sehen will, muß er dies schon selbst umstellen und dabei dann hoffentlich auch sicherstellen, daß die VMs noch HW-Zugriff auf angeschlossene Gerätschaften (Sticks, Scanner etc) haben. Wer die VMserver2-Dienste/Damons nur mit Gast-Rechten/Account startet, braucht sich über den nicht verfügbaren USB-Stick auch nicht zu wundern. Allerdings habe ich auch nicht ausprobiert, in wie weit man diese Start-Rechten beschneiden kann, damit der Server überhaupt noch problemlos hochfährt...

[H3llGhost]

Hi,
warum machst du das dann nicht per Firewall auf dem Hostsystem. Damit kannst du ja nicht nur Port 80 sichern.

Gruß Peter

Warum soll ich eine Firewall nehmen, wenn das Apache selber kann?
Aber generell die Idee ist schon gut.

Erstmal kannst du ja verschiedene Permissions innerhalb des Web-Accesses setzen und könntest somit ganz differenzielle Rechte für die VMware-Administration vergeben. Zum anderen kommt es drauf an, welchen Benutzer du bei der Inst für die VMware-Admin angegeben hast. Standardmäßig unter Windows sind das ja alle Mitglieder der Administratorengruppe, bei Linux kommt es halt auf deine Angabe an.

Permissions/Berechtigungen
Die Sache mit den Permissions/Berechtigungen für den Zugriff auf den VMserver2 ist anscheinend doch nicht so einfach, wie das Handbuch meint. Falls jemand in die Verlegenheit kommen sollte, hier mal eine kleine Anleitung.

Es gibt die 3 Voreinstellungen "No Access", "Read-Only" und "Admin". Diese lassen sich auch abändern oder klonen. Ich würde zur eigenen Sicherheit immer eine Voreinstellung klonen und dann entsprechend abändern, wer weiß wofür man das Original mal braucht. Dabei achtet der Server2 auch strikt darauf, mindestens einen Benutzer zu haben, der alle Berechtigungen hat. In Voreinstellung haben bei Windows nur Benutzer der Host-Gruppe "Admin/Administratoren" und bei Linux der bei der Inst angegeben Benutzer (kann auch jemand anders als der SU "root" sein) die Berechtigung für alle Einstellungen und VMs.
Ansonsten benötigt man 2 Schritte und wenn man das Anlegen von Host-Benutzern/-Gruppen mitrechnet sogar 3.

1. Benutzer/Gruppe im Host-System anlegen
2. "Administration" -> "Manage Roles": Berechtigungen für den/die Host-Benutzer/-Gruppen festlegen
3. VMs auswählen -> Reiter "Permission" -> "Commands" -> "New Permission" -> Benutzer/Gruppe auswählen und unter "Role" das gewünschte Privileg zuweisen.

Achtung Falle Die einzelnen VMs laufen aber dennoch nicht mit diesen möglicherweise eingeschränkten Rechten, sondern immer noch als:

• User that powers on the virtual maschine
• Local system account
• This user

Lediglich der Zugriff auf die VMs und deren Anzeige/Konfig ist für diese(n) Benutzer(gruppe) beeinträchtigt. Falls also jemand die VMware-Dienste/Damons aus Sicherheitsgründen mit anderen Rechten gestartet sehen will, muß er dies schon selbst umstellen und dabei dann hoffentlich auch sicherstellen, daß die VMs noch HW-Zugriff auf angeschlossene Gerätschaften (Sticks, Scanner etc) haben. Wer die VMserver2-Dienste/Damons nur mit Gast-Rechten/Account startet, braucht sich über den nicht verfügbaren USB-Stick auch nicht zu wundern. Allerdings habe ich auch nicht ausprobiert, in wie weit man diese Start-Rechten beschneiden kann, damit der Server überhaupt noch problemlos hochfährt...

Ich werde es mir zu Gemüte führen. Danke.
Dennoch die Hoffnung stirbt zu letzt. :p

EDIT:
Wofür wird eigentlich der Port 902 genutzt?
Und der Port 8009?

[PeterDA]

Warum soll ich eine Firewall nehmen, wenn das Apache selber kann?

Der Apache hat alle Funktionnen einer Firewall? Das wäre mir aber neu! Klar kannst du auf dem Apache die Einstellungen vornehmen. Aber dadurch bekommst du die anderen Angriffstüren deines OS nicht geschützt. Aber wenn du der Meinung bist es reicht nur den Apache dicht zu machen .....


Gruß Peter

[H3llGhost]

Ich werde wohl die Firewall nehmen.
Ist halt nur noch die Frage wofür die Ports sind.

[Dayworker]

8009 kenn ich nicht, welche Ports hattest du denn bei der Inst angegeben? 902 ist jedenfalls der VMware-Port über den sämtliche VM-Kommunikation abläuft. Wenn du das Webinterface nicht brauchst, kannst du es auch deaktivieren und verwaltest danach deine Gäste per Vi- oder vSphere-Client unter einem Win-OS. Allerdings sei dir dann auch gleich der Nachteil genannt, du kannst auch per vSphere-Client keine Gäste in der v.HW-Version "7" vollständig administrieren. Starten, Stoppen geht, HW-Veränderungen gehen nicht mehr. Das ist insofern blöd, weil der vSphere-Client der ESX(i)4-Reihe mit der v.HW-Version "7" umgehen könnte, wurde mit dem 4er eingeführt. Allerdings hat VMware entweder eine Begrenzung im VMserver2 vorgenommen oder einfach nur die nötigen Angaben für neuere Clienten vergessen.

Lies dir dazu mal den Thread VI-Client oder neuer mit Server 2.0x durch.

[H3llGhost]

Also ich habe die Standardports genommen nichts verändert.
Der Port 8009 ist nur offen wenn VMWare gestartet wird, deswegen frage ich.

Also 902 ist für den Client wichtig?

[irix]

Eine übersicht aller Ports gibts als KB Artikel unter:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1012382