9.4. Interfícies d'administració

Usar una interfície gràfica per a l'administració és interessant en diverses circumstàncies. Un administrador no coneix necessàriament tots els detalls de configuració de tots els seus serveis, i no sempre té temps per anar a buscar la documentació sobre els temes. Una interfície gràfica per a l'administració pot així accelerar el desplegament d'un nou servei. També pot simplificar la configuració de serveis que són difícils de configurar.

Una interfície d'aquest tipus és només una ajuda, i no una fi en si mateix. En tots els casos, l'administrador ha de dominar el seu comportament per tal d'entendre i resoldre qualsevol problema potencial.

Com que cap interfície és perfecta, hom pot ser temptat de provar diverses solucions. Això ha d'evitar-se en la mesura que sigui possible, ja que les diferents eines a vegades són incompatibles amb els seus mètodes de treball. Fins i tot si totes pretenen ser molt flexibles i intentar adoptar el fitxer de configuració com una sola referència, no sempre són capaces d'integrar canvis externs.

9.4.1. Browser-based Administration: `cockpit`

Cockpit is a web-based graphical interface. It is secured by HTTPS by default and can be used with your own trusted certificates. It allows an administrator to access not only data and basic administration functions, but also a terminal to run commands directly on the target system. The interface is provided in form of multiple packages which provide module-like functionality. For example, cockpit-pcp provides functionality to log and access resource usage statistics. It is important to know that the cockpit-networkmanager should not be installed if network-manager is not installed either. Some of the modules provide network services, and it should be carefully checked if they should really be accessible by the public.

→ https://cockpit-project.org/

9.4.2. Administració amb una interfície web: `webmin`

Es tracta, sens dubte, d'una de les interfícies administratives més reeixides. És un sistema modular gestionat a través d'un navegador web que cobreix una àmplia gamma d'àrees i eines. A més, està internacionalitzada i disponible en molts idiomes.

Figura 9.5. Tauler de Webmin

Malauradament, webmin ja no forma part de Debian. El seu mantenidor a Debian va eliminar els paquets creats perquè ja no tenia el temps necessari per mantenir-los amb un nivell de qualitat acceptable. Ningú no ha pres el relleu oficialment, així que Debian no ofereix el paquet webmin.

There is, however, an unofficial package distributed on the webmin.com website. Contrary to the original Debian packages, this package is monolithic; all of its configuration modules are installed and activated by default, even if the corresponding service is not installed on the machine. Users should be aware that webmin had its fair share of vulnerabilities. It should therefore be kept up-to-date, and additional measurements might be in order for public systems using it.

SEGURETAT Canviar la contrasenya de «root»

En el primer inici de sessió, la identificació es duu a terme amb el nom d'usuari arrel i la seva contrasenya habitual (o les credencials de qualsevols usuari que pertanyi al grup sudo). Es recomana canviar la contrasenya utilitzada per a webmin tan aviat com sigui possible, de manera que si queda compromesa, els comptes d'usuari del servidor no quedin implicats, encara que això confereixi importants permisos administratius a la màquina.

Compte! Atès que webmin té tantes funcionalitats, un usuari maliciós que hi tingui accés podria comprometre la seguretat de tot el sistema. En general, les interfícies d'aquest tipus no es recomanen per a sistemes importants amb fortes restriccions de seguretat (tallafocs, servidors sensibles, etc.), i tampoc no es recomana que estiguin exposades al públic.

Webmin s'utilitza a través d'una interfície web, però no requereix que l'Apache estigui instal·lat. Essencialment, aquest programari té el seu propi mini servidor web integrat. Aquest servidor escolta per defecte al port 10000 i accepta connexions HTTP segures.

Els mòduls inclosos cobreixen una àmplia varietat de serveis, entre els quals:

tots els serveis bàsics: creació d'usuaris i grups, gestió de fitxers crontab, scripts o fitxers de serveis, visualització de registres, etc.
bind: configuració del servidor DNS (servei de noms);
postfix: configuració del servidor SMTP (correu electrònic);
serveis de xarxa: configuració del super-servidor xinetd;
quota de disc: administració de quotes d'usuari;
dhcpd: configuració del servidor DHCP;
prpftpd: configuració del servidor FTP;
samba: configuració del servidor de fitxers Samba;
software: instal·lació o eliminació de programari de paquets Debian i actualizacions de sistema.

La interfície d'administració està disponible en un navegador web a https://localhost:10000. Compte! No tots els mòduls són directament utilitzables. A vegades s'han de configurar especificant les ubicacions dels fitxers de configuració corresponents i d'alguns fitxers executables (programes). Freqüentment el sistema us preguntarà quan no pugui activar un mòdul sol·licitat.

ALTERNATIVA Centre de control de GNOME

El projecte GNOME també proporciona múltiples interfícies d'administració que normalment són accessibles a través de l'entrada “Paràmetres” al menú d'usuari de la part superior dreta. gnome-control-center és el programa principal que els agrupa tots, però moltes de les eines de configuració del sistema són proporcionades de manera efectiva per altres paquets (accountservice,system-config-printer, etc.). Encara que són fàcils d'utilitzar, aquestes aplicacions cobreixen només un nombre limitat de serveis bàsics: gestió d'usuaris, configuració del temps, configuració de xarxa, configuració de la impressora, etc.

9.4.3. Configuració de paquets: `debconf`

Molts paquets es configuren automàticament després de fer algunes preguntes durant la instal·lació a través de l'eina Debconf. Aquests paquets es poden reconfigurar executant dpkg-reconfigure -p nivell paquet.

Per a la majoria dels casos, aquests paràmetres són molt senzills; només es canvien algunes variables importants en el fitxer de configuració. Aquestes variables sovint s'agrupen entre dues línies de "demarcació" de manera que la reconfiguració del paquet només afecta l'àrea delimitada. En altres casos, la reconfiguració no canviarà res si l'script detecta una modificació manual de l'arxiu de configuració, per tal de preservar aquestes intervencions humanes (perquè l'script no pot assegurar que les seves pròpies modificacions no alterin la configuració ja existent).

NORMATIVA DEBIAN Preservació de canvis

La Normativa Debian estipula expressament que s'ha de fer tot el possible per preservar els canvis manuals realitzats a un fitxer de configuració, de manera que cada vegada més scripts prenen precaucions quan editen els fitxers de configuració. El principi general és simple: l'script només farà canvis si coneix l'estat del fitxer de configuració, que es verifica comparant la suma de verificació del fitxer amb la de l'últim fitxer generat automàticament. Si són iguals, l'script està autoritzat a canviar el fitxer de configuració. En cas contrari, determina que l'arxiu ha estat canviat i pregunta quines accions ha de prendre (si instal·la el nou fitxer, si conserva l'arxiu antic, o si intenta integrar els nous canvis al fitxer existent). Aquest principi de precaució ha estat durant molt de temps únic a Debian, però altres distribucions han començat a adoptar-lo gradualment.

El programa ucf (del paquet Debian del mateix nom) es pot utilitzar per implementar aquest comportament.