vdradmin per https absichern (ohne apache)

Negge · 13. April 2007

Hallo

ich würde gerne die Verbindung zum vdradmin per https absichern. Die Anleitung mit dem Apache-proxy hab ich gelesen, allerdings wollte ich eigentlich keinen kompletten apache auf meinem VDR installieren, nur um den VDR-Admin abzusichern. Der zieht ja bestimmt einiges an Resourcen ab.
Daher wäre es schönen, wenn man den Webserver vom vdr-admin auf https umstellen könnte?!?

(BTW.: ein Webmin ist auch installiert, und der nutzt auch schon https. Vielleicht kann man das ja ansonsten alternativ nutzen?)

Bolly_05 · 13. April 2007

Hi,
was meinst Du mit absichern ?
Also "HTTPS" bedeutet nur dass die Daten während der Übertragung verschlüsselt werden !
Es wird keine Benutzer Authentifizierung ( Anmeldung usw. ) durch geführt , falls Du evtl. auch noch streamen meinst !

Soviel ich weiß geht das verschlüsseln nicht.
Außerdem müste man zu erst sich ein Server Certifikat erstellen und dies im VDRADMIN einbinden . Und genau hier meine ich daß dies nicht geht

Negge · 13. April 2007

Mit absichern meinte ich halt, die Kommunikation verschlüsseln. Da ansonsten ja jeder Plain das Passwort bei der Übertragung sniffen könnte...

Wieviel Resourcen zieht denn so der Apache? Hat da jemand Erfahrung (und evtl. ne Resourcenschonendere Variante)?

schmirl · 13. April 2007

Pack Dir Pound als Reverse-Proxy vor den vdradmin. Erledigt das SSL-Offloading und ist im Gegensatz zu Apache ein kleines Stückchen Software das genau für diesen Zweck gemacht wurde.

Bolly_05 · 13. April 2007

Also Apache ist abhänig von den Modulen die Du verwendest / lädst .
Am besten testen ....

9000H · 13. April 2007

Hi,

und da waere noch stunnel.

CU
9000h

Negge · 14. April 2007

Also stunnel hab ich auf dem System schon installiert. Insofern würde sich das anbieten. Allerdings habe ich im Web keine Doku gefunden, wie man das mit stunnel einrichtet. Wenn da jemand mal nen HowTo zur Hand hätte.

Ansonsten hört sich pound auch nicht so schlecht an, allerdings steht auf der Webseite von Pound selbst ein vergleich mit stunnel:

Zitat

# stunnel: probably comes closest to my understanding of software design (does one job only and does it very well). However, it lacks the load balancing and HTTP filtering features that I considered necessary. Using stunnel in front of Pound (for HTTPS) would have made sense, except that integrating HTTPS into Pound proved to be so simple that it was not worth the trouble.

Und da ich kein LoadBalancing brauche, wäre daher wohl stunnel die geschicktere Wahl (wenn ich nur wüsste wie ich das einrichten kann).

slime · 14. April 2007

es gibt auch noch sslwrap. macht genau das, was der name hergibt.

schmirl · 16. April 2007

Zitat

Ansonsten hört sich pound auch nicht so schlecht an, (...) Und da ich kein LoadBalancing brauche, wäre daher wohl stunnel die geschicktere Wahl

Ein einfacher SSL-Wrapper mag für Deine Zwecke reichen. Pound wird aber spätestens dann interessant, wenn Du nicht nur auf vdradmin sondern z.B. auch noch Webmailer, Konfigurationsoberflächen o.ä. erreichen willst. Dann brauchst Du die auf der Pound-Webseite angesprochenen "HTTP filtering features", wie z.B.

- Verteilung von Zugriffen auf mehrere interne Web-Server(-Ports) anhand vom URL-Pfad oder Host-Header.
- Korrektur von Redirects: Wenn Du auf https://server/verzeichnis zugreifst schickt der Server ein Redirect nach http://server/verzeichnis/ zurück (mit "/" am Schluss aber nur noch http).
- Solltest Du den https-Standardport (443) verwenden, sind auch die diversen Filtermethoden interessant, mit denen sich Zugriffe von Skript-Kiddies & Co. effektiv abfangen lassen.

Negge · 18. April 2007

So, mit stunnel hab ich es nicht hinbekommen. Ich hatte zwar zeitweise einen stunnel-Dienst, der auf 443 gelauscht hat und auch an Port 80 weitergereicht hat. Allerdings kam da im Webbrowser nichts brauchbares an?

Nun hab ich Pound installiert und das geht eigentlich sehr gut. Ein paar Anmerkungen sind mir dabei noch aufgefallen.

1. Ich nutze Pound 2.x aus Etch. Die Standard-Konfig-Datei, die bei Etch dabei war, hatte nen Fehler, so das Pound nicht startete (dieses HTTP 1 -value in ListenHTTP). Stand im syslog, nachdem ich den Loglevel hochgesetzt hatte und den Pound neu startete.

2. Und nun das zweite wichtigere Problem (was bei mir etwas gedauert hatte bis ich es rausgefunden hatte). "/etc/init.d/pound restart" geht nicht (um die Konfigurationsdatei neu einzulesen). Da muss irgendwo nen Fehler in dem Skript sein. Um die config neu einzulesen muss man pound erst stoppen und dann neu starten!

3.So, hier mal der wichtige Auschnist aus der "/etc/pound/pound.cfg" (hab ich selbst auf ner andere Help-Seite zu Pound gefunden, funktioniert aber soweit gut):

Code

ListenHTTPS
  Address 0.0.0.0
  Port    443
  Cert    "/etc/pound/server.pem"
  # pass along https hint
  AddHeader "X-Forwarded-Proto: https"
  HeadRemove "X-Forwarded-Proto"


  Service
    BackEnd
      Address 127.0.0.1
      Port    8080
    End
  End


End

Alles anzeigen

joe0815 · 7. Juni 2007

Hallo,

das klingt super. Nur woher bekomme ich pound für linvdr?

Grüße
Jo

Egalus · 7. Juni 2007

Eine andere Lösung wäre das ganze per SSH-Tunnel zu erledigen.
Gut, dann musst du auf dem Client erst SSH starten bevor du an den Server kommst. Dafür kannst Du aber ohne Probleme so ziemlich alles druchtunnel was du willst.
Mein Server tunnelt vnc, samba, vdradmin und vdr-live.

novice the 2nd · 10. Oktober 2009

Zitat

Original von Negge
3.So, hier mal der wichtige Auschnist aus der "/etc/pound/pound.cfg" (hab ich selbst auf ner andere Help-Seite zu Pound gefunden, funktioniert aber soweit gut):

Hallo,
könntest du die ganze config Datei posten?
Ich bekomme es nicht hin. Muss ich ein Zertifikat selbst erstellen?

vdradmin per https absichern (ohne apache)

Jetzt mitmachen!

Teilen