はじめに
この記事では、Webminを導入したらしておかないと特にヤバいセキュリティー対策を紹介します。Webminを導入すると、長いコマンドをワンクリックだけで済ませたり、設定ファイルの作成を自動で行ってくれるというメリットがあります。しかし、その便利さが仇となり、乗っ取られたときの代償は大きいものです。だからこそ、セキュリティー対策を行うべきだと考えます。
その1 〜SSL証明書の取得〜
これは、言わずもがなの対策法ですね。
webmin→Webmin 設定→SSL 暗号化の順に進んで、Let's Encryptのタブを選びます。場合によっては、Webサーバーを立てて、そのWebサーバーを利用して証明書を取得する必要があるかもしれません。
その2 〜ポートの変更〜
これも、Webminの管理画面から簡単に行うことができます。ufwなどのファイアウォールを設定してある場合は、変更先のポートを予め開放しておく必要があります。
webmin→Webmin 設定→ポートとアドレスの順に進んで、以下の写真の赤い四角で囲んでいる部分を変更します。また、IPv6は利用しない設定にしておきます。
その3 〜二要素認証の導入〜
これは、あまり知られていなそうな対策法ですね。この記事を書いている時点では、「Google Authenticator」と「Authy」が対応しているみたいです。私は、「Google Authenticator」で試してみました。
webmin→Webmin 設定→2 ファクタ認証の順に進んで、認証プロバイダを選んで保存します。
次に、webmin→Webmin ユーザ→Two-Factor Authenticationの順に進んで、「Enroll for Two-Factor Authentication」ボタンを押すと、QRコードが表示されるので、それをアプリで読み取ります。これで、設定完了です。
いつも通りログインすると、以下の画像のような画面が出てくるのでワンタイムパスワードを入力します。
おわりに
Webminは、サーバーのほとんどの機能を扱えるのでこれらのセキュリティー対策対策は必須だと思います。セキュリティーを強化して、自分のサーバーを保護していきましょう。