9.4. Administrations-Schnittstellen

Eine grafische Schnittstelle für die Administration zu benutzen, ist unter verschiedenen Umständen interessant. Ein Administrator kennt nicht unbedingt alle Konfigurationseinzelheiten für alle seine Dienste, und er hat nicht immer Zeit, sich auf die Suche nach der Dokumentation für ein Thema zu machen. Eine grafische Schnittstelle für die Administration kann daher die Bereitstellung eines neuen Dienstes beschleunigen. Sie kann auch die Einrichtung von Diensten vereinfachen, die schwierig zu konfigurieren sind.

Eine derartige Schnittstelle ist nur eine Hilfe und kein Selbstzweck. Auf jeden Fall muss der Administrator ihr Verhalten beherrschen, um mögliche Probleme verstehen und umgehen zu können.

Da keine Schnittstelle vollkommen ist, könnten Sie versucht sein, verschiedene Lösungen auszuprobieren. Dies sollte jedoch möglichst vermieden werden, da verschiedene Programme manchmal in ihren Funktionsweisen zueinander inkompatibel sind. Selbst wenn sie alle darauf abzielen, sehr flexibel zu sein und versuchen, die Konfigurationsdatei als ihren einzigen Bezugspunkt zu verwenden, sind sie nicht immer in der Lage, auch externe Veränderungen einzubeziehen.

9.4.1. Browser-based Administration: `cockpit`

Cockpit is a web-based graphical interface. It is secured by HTTPS by default and can be used with your own trusted certificates. It allows an administrator to access not only data and basic administration functions, but also a terminal to run commands directly on the target system. The interface is provided in form of multiple packages which provide module-like functionality. For example, cockpit-pcp provides functionality to log and access resource usage statistics. It is important to know that the cockpit-networkmanager should not be installed if network-manager is not installed either. Some of the modules provide network services, and it should be carefully checked if they should really be accessible by the public.

→ https://cockpit-project.org/

9.4.2. Über eine Webschnittstelle administrieren: `webmin`

Dies ist ohne Zweifel eine der erfolgreichsten Administrations-Schnittstellen. Es ist ein modulares System, das mittels eines Webbrowsers bedient wird und ein weites Spektrum an Bereichen und Werkzeugen abdeckt. Darüber hinaus ist es internationalisiert und in vielen Sprachen verfügbar.

Abbildung 9.5. Webmin-Dashboard

Sadly, webmin is no longer part of Debian. Its Debian maintainer removed the packages created because they no longer had the time required to maintain them at an acceptable quality level. Nobody has officially taken over, so Debian does not provide the webmin package.

There is, however, an unofficial package distributed on the webmin.com website. Contrary to the original Debian packages, this package is monolithic; all of its configuration modules are installed and activated by default, even if the corresponding service is not installed on the machine. Users should be aware that webmin had its fair share of vulnerabilities. It should therefore be kept up-to-date, and additional measurements might be in order for public systems using it.

SICHERHEIT Das Root-Passwort ändern

On the first login, identification is conducted with the root username and its usual password (or any user's login credentials which belongs to the sudo group). It is recommended to change the password used for webmin as soon as possible, so that if it is compromised, the server's user accounts will not be involved, even if this confers important administrative rights to the machine.

Beware! Since webmin has so many features, a malicious user accessing it could compromise the security of the entire system. In general, interfaces of this kind are not recommended for important systems with strong security constraints (firewall, sensitive servers, etc.), and they are not recommended to be exposed to the public either.

Webmin wird durch eine Webschnittstelle bedient, es erfordert aber nicht die Installation von Apache. Im Grunde hat diese Software ihren eigenen integrierten Mini-Webserver. Dieser Server wartet an Port 10000 auf Anfragen und nimmt sichere HTTP-Verbindungen an.

Die mitgelieferten Module decken eine große Vielfalt von Diensten ab, unter anderem:

all base services: creation of users and groups, management of crontab files, service scripts/files, viewing of logs, etc.
bind: Konfiguration eines DNS-Servers (Namensdienst);
postfix: Konfiguration eines SMTP-Servers (E-Mail);
network services: configuration of the xinetd super-server;
disk quota: user quota management;
dhcpd: Konfiguration eines DHCP-Servers;
proftpd: Konfiguration eines FTP-Servers;
samba: Konfiguration eines Samba-Dateiservers;
software: Installierung und Entfernung von Software aus Debian-Paketen und Systemaktualisierungen.

Die Administrations-Schnittstelle ist in einem Webbrowser über die Adresse https://localhost:10000 zu erreichen. Vorsicht! Nicht alle Module sind unmittelbar nutzbar. Manchmal müssen sie durch die Angabe der Speicherorte der jeweiligen Konfigurationsdateien und einiger ausführbarer Dateien (Programme) konfiguriert werden. Häufig wird das System Sie freundlich hierauf hinweisen, wenn es ihm nicht gelingt, ein gewünschtes Modul zu aktivieren.

ALTERNATIVE GNOME Control Center

Das Projekt GNOME stellt vielfache Verwaltungsschnittstellen zur Verfügung, die normalerweise über den Settings-Eintrag im User-Menü oben rechts zugänglich sind. gnome-control-centerist das übergreifende Hauptprogramm, aber viele der systemweiten Konfigrationsswerkzeuge werden tatsächlich von anderen Paketen (accountsservice, system-config-printer, etc.) zur Verfügung gestellt. Obwohl in der Benutzung einfach gehalten, stellen diese Anwendungen nur eine begrenzte Zahl an Basisdiensten zur Verfügung: Benutzerverwaltung, Zeit-, Netzwerk-, Druckerkonfiguration und so weiter.

9.4.3. Pakete konfigurieren: `debconf`

Many packages are automatically configured after asking a few questions during installation through the Debconf tool. These packages can be reconfigured by running dpkg-reconfigure -plevel package.

In den meisten Fällen sind diese Einstellungen sehr einfach; es werden nur einige wichtige Variablen in der Konfigurationsdatei geändert. Diese Variablen sind häufig zwischen zwei „Begrenzungszeilen“ gruppiert, so dass eine Neukonfiguration des Pakets nur Einfluss auf den eingeschlossenen Bereich hat. In anderen Fällen wird eine Neukonfiguration nichts ändern, falls das Skript eine manuelle Änderung der Konfigurationsdatei entdeckt, um so diese menschlichen Eingriffe zu bewahren (da das Skript nicht sicherstellen kann, dass seine eigenen Veränderungen nicht die vorhandenen Einstellungen stören würden).

DEBIAN-RICHTLINIEN Veränderungen bewahren

Die Debian-Richtlinien legen ausdrücklich fest, dass alles getan werden sollte, um manuelle Veränderungen einer Konfigurationsdatei zu bewahren. Daher treffen immer mehr Skripten Vorsichtsmaßnahmen, wenn sie Konfigurationsdateien editieren. Das allgemeine Prinzip ist einfach: das Skript nimmt nur dann Änderungen vor, wenn es den Status der Konfigurationsdatei kennt, was durch einen Vergleich der Prüfsumme der Datei mit derjenigen der letzten automatisch erzeugten Datei überprüft wird. Falls sie gleich sind, ist es dem Skript erlaubt, die Konfigurationsdatei zu ändern. Anderenfalls entscheidet es, dass die Datei verändert wurde und fragt, welche Aktion es durchführen soll (eine neue Datei installieren, die alte Datei speichern oder zu versuchen, die Änderungen in die bestehende Datei zu integrieren). Dieses Vorsorgeprinzip gab es lange Zeit nur bei Debian, inzwischen haben aber auch andere Distributionen damit begonnen, es sich zu eigen zu machen.

Das Programm ucf (aus dem gleichnamigen Debian-Paket) kann dazu verwendet werden, ein derartiges Verhalten umzusetzen.