9.4. Interfícies d'administració

Usar una interfície gràfica per a l'administració és interessant en diverses circumstàncies. Un administrador no coneix necessàriament tots els detalls de configuració de tots els seus serveis, i no sempre té temps per anar a buscar la documentació sobre els temes. Una interfície gràfica per a l'administració pot així accelerar el desplegament d'un nou servei. També pot simplificar la configuració de serveis que són difícils de configurar.

Una interfície d'aquest tipus és només una ajuda, i no una fi en si mateix. En tots els casos, l'administrador ha de dominar el seu comportament per tal d'entendre i resoldre qualsevol problema potencial.

Com que cap interfície és perfecta, hom pot ser temptat de provar diverses solucions. Això ha d'evitar-se en la mesura que sigui possible, ja que les diferents eines a vegades són incompatibles amb els seus mètodes de treball. Fins i tot si totes pretenen ser molt flexibles i intentar adoptar el fitxer de configuració com una sola referència, no sempre són capaces d'integrar canvis externs.

9.4.1. Administració amb navegador: `cockpit`

El Cockpit és una interfície gràfica basada en web. Està assegurat per HTTPS de manera predeterminada i es pot utilitzar amb certificats de confiança propis. Permet a un administrador accedir no només a dades i funcions bàsiques d'administració, sinó també a un terminal per executar ordres directament en el sistema destí. La interfície es proporciona en forma de múltiples paquets que ofereixen una funcionalitat similar a la d'un mòdul. Per exemple, el cockpit-pcp té funcionalitats per registrar i accedir a estadístiques d'ús de recursos. És important saber que el cockpit-networkmanager no s'hauria d'instal·lar si el network-manager tampoc està instal·lat. Alguns dels mòduls proporcionen serveis de xarxa, i s'ha de comprovar acuradament si realment han de ser accessibles pel públic.

→ https://cockpit-project.org/

9.4.2. Administració amb una interfície web: `webmin`

Es tracta, sens dubte, d'una de les interfícies administratives més reeixides. És un sistema modular gestionat a través d'un navegador web que cobreix una àmplia gamma d'àrees i eines. A més, està internacionalitzada i disponible en molts idiomes.

Figura 9.5. Tauler de Webmin

Malauradament, webmin ja no forma part de Debian. El seu mantenidor a Debian va eliminar els paquets creats perquè ja no tenia el temps necessari per mantenir-los amb un nivell de qualitat acceptable. Ningú no ha pres el relleu oficialment, així que Debian no ofereix el paquet webmin.

No obstant això, hi ha un paquet no oficial distribuït al lloc web webmin.com. Contràriament als paquets originals de Debian, aquest paquet és monolític; tots els seus mòduls de configuració estan instal·lats i activats per defecte, encara que el servei corresponent no estigui instal·lat a la màquina. Els usuaris haurien de saber que el webmin va tenir una bona dosi de vulnerabilitats. Caldria doncs tenir-lo actualitzat, i amb mesures addicionals a lloc per als sistemes públics que l'usin.

SEGURETAT Canviar la contrasenya de «root»

En el primer inici de sessió, la identificació es duu a terme amb el nom d'usuari arrel i la seva contrasenya habitual (o les credencials de qualsevols usuari que pertanyi al grup sudo). Es recomana canviar la contrasenya utilitzada per a webmin tan aviat com sigui possible, de manera que si queda compromesa, els comptes d'usuari del servidor no quedin implicats, encara que això confereixi importants permisos administratius a la màquina.

Compte! Atès que webmin té tantes funcionalitats, un usuari maliciós que hi tingui accés podria comprometre la seguretat de tot el sistema. En general, les interfícies d'aquest tipus no es recomanen per a sistemes importants amb fortes restriccions de seguretat (tallafocs, servidors sensibles, etc.), i tampoc no es recomana que estiguin exposades al públic.

Webmin s'utilitza a través d'una interfície web, però no requereix que l'Apache estigui instal·lat. Essencialment, aquest programari té el seu propi mini servidor web integrat. Aquest servidor escolta per defecte al port 10000 i accepta connexions HTTP segures.

Els mòduls inclosos cobreixen una àmplia varietat de serveis, entre els quals:

tots els serveis bàsics: creació d'usuaris i grups, gestió de fitxers crontab, scripts o fitxers de serveis, visualització de registres, etc.
bind: configuració del servidor DNS (servei de noms);
postfix: configuració del servidor SMTP (correu electrònic);
serveis de xarxa: configuració del super-servidor xinetd;
quota de disc: administració de quotes d'usuari;
dhcpd: configuració del servidor DHCP;
prpftpd: configuració del servidor FTP;
samba: configuració del servidor de fitxers Samba;
software: instal·lació o eliminació de programari de paquets Debian i actualizacions de sistema.

La interfície d'administració està disponible en un navegador web a https://localhost:10000. Compte! No tots els mòduls són directament utilitzables. A vegades s'han de configurar especificant les ubicacions dels fitxers de configuració corresponents i d'alguns fitxers executables (programes). Freqüentment el sistema us preguntarà quan no pugui activar un mòdul sol·licitat.

ALTERNATIVA Centre de control de GNOME

El projecte GNOME també proporciona múltiples interfícies d'administració que normalment són accessibles a través de l'entrada “Paràmetres” al menú d'usuari de la part superior dreta. gnome-control-center és el programa principal que els agrupa tots, però moltes de les eines de configuració del sistema són proporcionades de manera efectiva per altres paquets (accountservice,system-config-printer, etc.). Encara que són fàcils d'utilitzar, aquestes aplicacions cobreixen només un nombre limitat de serveis bàsics: gestió d'usuaris, configuració del temps, configuració de xarxa, configuració de la impressora, etc.

9.4.3. Configuració de paquets: `debconf`

Molts paquets es configuren automàticament després de fer algunes preguntes durant la instal·lació a través de l'eina Debconf. Aquests paquets es poden reconfigurar executant dpkg-reconfigure -p nivell paquet.

Per a la majoria dels casos, aquests paràmetres són molt senzills; només es canvien algunes variables importants en el fitxer de configuració. Aquestes variables sovint s'agrupen entre dues línies de "demarcació" de manera que la reconfiguració del paquet només afecta l'àrea delimitada. En altres casos, la reconfiguració no canviarà res si l'script detecta una modificació manual de l'arxiu de configuració, per tal de preservar aquestes intervencions humanes (perquè l'script no pot assegurar que les seves pròpies modificacions no alterin la configuració ja existent).

NORMATIVA DEBIAN Preservació de canvis

La Normativa Debian estipula expressament que s'ha de fer tot el possible per preservar els canvis manuals realitzats a un fitxer de configuració, de manera que cada vegada més scripts prenen precaucions quan editen els fitxers de configuració. El principi general és simple: l'script només farà canvis si coneix l'estat del fitxer de configuració, que es verifica comparant la suma de verificació del fitxer amb la de l'últim fitxer generat automàticament. Si són iguals, l'script està autoritzat a canviar el fitxer de configuració. En cas contrari, determina que l'arxiu ha estat canviat i pregunta quines accions ha de prendre (si instal·la el nou fitxer, si conserva l'arxiu antic, o si intenta integrar els nous canvis al fitxer existent). Aquest principi de precaució ha estat durant molt de temps únic a Debian, però altres distribucions han començat a adoptar-lo gradualment.

El programa ucf (del paquet Debian del mateix nom) es pot utilitzar per implementar aquest comportament.