Как выключить root админа и админку без SSL?

[moky]

Два вопроса (на самом деле три, но важных два):

1. Можно ли как-то выключить возможность входа в админку через web для пользователя root?
2. Как погасить админский интерфейс на HTTP, что б только через HTTPS работал?

Опционально в виде future request:
3. Сделать возможность работы на белых динамических IP, т.е. если на интерфейсе сменился IP, автоматом менять его для всех ресурсов, где был указан старый.

И в догонку баг с отображением правил в IPTABLES, правила в вебе отображаются не полностью, т.е. правила вида "ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pop3" в вебе будет обрезаны до вида "ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW", т.е. куча таких правил, а что разрешено не понятно, аналогично с правилами "icmp type", тоже все обрезаются.

[NovEes]

Админку без ssl отключить просто, возьмите и закройте порт 8002 через фаервол и все:)

[moky]

Я надеялся есть нативный функционал. Если честно, вообще не понимаю зачем ее делать доступной по http, мне кажется все панельки уже отказались от этой практики.

И все-таки, я бы предусмотрел выключение рута через веб, т.к. fail2ban у вас пока не интегрирован, это дает прекрасную возможность перебора рутового пароля через веб на каждом сервере, где установлена панелька.

[Billy Bons]

А есть возможность привязать вход в панель к доменному имени и подключить нормальный (не самоподписанный) сертификат?

[Akrobs]

А есть возможность привязать вход в панель к доменному имени и подключить нормальный (не самоподписанный) сертификат?

Есть, привязываете ip сервера к домену (у меня cp.xxxxx.com), в меню "Сертификаты SSL" -> "Сертификаты сервисов" -> Brainy, Установить новый сертификат, внизу можете свой сертификат установить или Lets Encrypt.

Все работает.

[Billy Bons]

Спасибо. Домен привязал, свой сертификат установить получилось. Правда, т.к. он - самоподписанный, браузер на него ругается.
Вопрос: можно ли как-то получить Lent Encrypt на доменное имя вида server.abc.net, если ns-сервера установлены на этом же домене (вида ns1.abc.net и ns2.abc.net)?
Или, может, есть какое-то другое решение?

[Akrobs]

Спасибо. Домен привязал, свой сертификат установить получилось. Правда, т.к. он - самоподписанный, браузер на него ругается.
Вопрос: можно ли как-то получить Lent Encrypt на доменное имя вида server.abc.net, если ns-сервера установлены на этом же домене (вида ns1.abc.net и ns2.abc.net)?
Или, может, есть какое-то другое решение?

У меня запись А на все поддомены, вида *xxxxx.com. После чего, так же в ПУ на сервис "Brainy" генерируете сертификат LE - нет проблем.

[NovEes]

Спасибо. Домен привязал, свой сертификат установить получилось. Правда, т.к. он - самоподписанный, браузер на него ругается.
Вопрос: можно ли как-то получить Lent Encrypt на доменное имя вида server.abc.net, если ns-сервера установлены на этом же домене (вида ns1.abc.net и ns2.abc.net)?
Или, может, есть какое-то другое решение?

Спасибо. Домен привязал, свой сертификат установить получилось. Правда, т.к. он - самоподписанный, браузер на него ругается.
Вопрос: можно ли как-то получить Lent Encrypt на доменное имя вида server.abc.net, если ns-сервера установлены на этом же домене (вида ns1.abc.net и ns2.abc.net)?
Или, может, есть какое-то другое решение?

Это все спокойно делается черес LE, да и подтверждение домена/поддомена панель проводит по HTML способу а не DNS
Так-же стоит отметить что для корректной работы LE нужно установить виджет в панели CertBot

[Billy Bons]

Всё, получилось. Но только после того, как прописал не только server.abc.net, но и panel.server.abc.net. Видимо, последний адрес зачем-то используется панелькой по умолчанию.

[Billy Bons]

Народ, а как настроить переадресацию таким образом, чтобы при вводе в браузер server.abc.net автоматически загружалась панелька по https?
При этом, server.abc.net - это hostname.
Что только не пробовал: и в панели настраивать, и руками .httaccess в каталоге сайта редактировать - переадресация не работает, упорно открывается страница по умолчанию brainy.
С другими именами, например, просто abc.net, всё работает.
При прямом вводе https://server.abc.net:8000 всё открывается.