9.4. Интерфейсы для администрирования

Использование графического интерфейса для администрирования представляет интерес при разных обстоятельствах. Администратор не обязательно знает все подробности настройки всех своих сервисов, и у него не всегда есть время на поиск документации по этой теме. В таком случае графический интерфейс может ускорить развёртывание нового сервиса. Он также упрощает настройку сервисов, конфигурирование которых слишком сложно.

Такой интерфейс является лишь вспомогательным средством, а не самоцелью. В любом случае администратор должен освоить его, чтобы суметь понять и обойти любую потенциальную проблему.

Поскольку нет идеальных интерфейсов, у вас может появиться соблазн попробовать несколько разных решений. Насколько это возможно, таких ситуаций следует избегать, потому что различные средства иногда несовместимы в их методах работы. Даже если они все нацелены быть очень гибкими и пытаются адаптирровать свой файл настройки как единственный, рекомендованый для вашей системы, они не всегда имеют возможность учитывать и включать в себя ещё и внешние изменения.

9.4.1. Browser-based Administration: `cockpit`

Cockpit is a web-based graphical interface. It is secured by HTTPS by default and can be used with your own trusted certificates. It allows an administrator to access not only data and basic administration functions, but also a terminal to run commands directly on the target system. The interface is provided in form of multiple packages which provide module-like functionality. For example, cockpit-pcp provides functionality to log and access resource usage statistics. It is important to know that the cockpit-networkmanager should not be installed if network-manager is not installed either. Some of the modules provide network services, and it should be carefully checked if they should really be accessible by the public.

→ https://cockpit-project.org/

9.4.2. Администрирование через веб-интерфейс: `webmin`

Это, несомненно, один из самых удачных интерфейсов для администрирования. Это модульная система, управляемая через веб-обозреватель и покрывающая широкий набор областей и инструментов. Кроме того, он интернационализирован и доступен на множестве языков.

Рисунок 9.5. Webmin dashboard

К сожалению, программа webmin более не является частью Debian. Его Debian сопровождающий — Jaldhar H. Vyas — убрал пакеты, созданные им ранее, потому что перестал иметь возможность выделять достаточно времени на их поддержание на приемлемом уровне качества. Никто официально не взял на себя ответственность за сопровождение данного пакета далее, поэтому Debian не предоставляет пакет webmin.

There is, however, an unofficial package distributed on the webmin.com website. Contrary to the original Debian packages, this package is monolithic; all of its configuration modules are installed and activated by default, even if the corresponding service is not installed on the machine. Users should be aware that webmin had its fair share of vulnerabilities. It should therefore be kept up-to-date, and additional measurements might be in order for public systems using it.

БЕЗОПАСНОСТЬ Изменение пароля root

При первом входе в систему идентификация осуществляется с использованием имени пользователя root и его обычного пароля (или учетных данных любого пользователя, принадлежащих группе sudo). Рекомендуется изменить пароль, используемый для доступа к webmin как можно скорее, чтобы в случае компрометации учетные записи пользователей сервера не были задействованы, даже если это предоставит машине важные административные права.

Будьте осторожны! Поскольку webmin настолько функционален, злоумышленник получивший доступ к нему, может скомпроментировать безопасность всей системы. Как правило, интерфейсы такого рода не рекомендуются к использованию на важных системах со строгими требованиями к безопасности (межсетевых экранах, серверах с ценными данными и т. п.).

Webmin используется при посредстве веб-интерфейса, но для него не требуется установка Apache. Дело в том, что в его состав входит свой собственный небольшой веб-сервер. Этот сервер по умолчанию слушает порт 10000 и принимает защищённые HTTP-соединения.

Входящие в поставку модули предназначены для широкого круга сервисов, среди которых:

все базовые сервисы: создание пользователей и групп, управление файлами crontab, сценариями инициализации, отображением журналов и т. п.
bind: настройка сервера DNS (службы имён);
postfix: настройка SMTP-сервера (e-mail);
сетевые сервисы: конфигурация xinetd супер-сервера;
disk quota: управление пользовательскими квотами;
dhcpd: настройка сервера DHCP;
proftpd: настройка сервера FTP;
samba: Настройка файлового сервера Samba;
software: установка или удаление программного обеспечения из пакетов Debian и обновлений системы.

Административный интерфейс доступен в веб-обозревателе по адресу https://localhost:10000. Внимание! Не все модули сразу готовы к использованию. Иногда их надо настроить, указав расположение соответствующих конфигурационных файлов и некоторых исполняемых файлов (программ). Как правило, система любезно напоминает об этом, если не может активировать запрошенный модуль.

АЛЬТЕРНАТИВА Центр управления GNOME

Проект GNOME также поддерживает административный интерфейс для множественных настроек, получить доступ к которому можно через вкладку “Настройки” в меню пользователя в правом верхнем углу. Программа gnome-control-center является главной, которая взаимоувязывает их все вместе, но имеется также и много других средств с широким диапазоном настроек системы, включённых в другие пакеты, (accountsservice, system-config-printer, и т.д.). Несмотря на то, что они просты в использовании, их возможности охватывают ограниченное количество базовых сервисов: управление пользователями, настройка времени, сетевая настройка, настройка принтера, и тому подобное.

9.4.3. Настройка пакетов: `debconf`

Многие пакеты автоматически настраиваются после того, как зададут несколько вопросов с помощью Debconf в ходе установки. Эти пакеты можно перенастроить, запустив dpkg-reconfigure -plevel package.

В большинстве случаев эти настройки очень просты; изменяются только некоторые важнейшие переменные конфигурационного файла. Эти переменные нередко содержатся между двумя «пограничными» строками, так что перенастройка пакета влияет только на ограниченную область. В других случаях перенастройка не будет ничего менять, если сценарий обнаружит, что конфигурационный файл был изменён вручную, чтобы сохранить результаты вмешательства человека (поскольку сценарий не может удостовериться, что вносимые им самим изменения не нарушат текущих настроек).

ПОЛИТИКА DEBIAN Сохранение изменений

Политика Debian явно оговаривает, что необходимо делать всё возможное, чтобы сохранить внесённые вручную изменения в конфигурационных файлах. Главный принцип прост: сценарий будет вносить изменения только в том случае, если ему известен статус конфигурационного файла, который проверяется путём сверки контрольной суммы файла с той, которая была после того, как файл последний раз менялся автоматически. Если они совпадают, сценарий авторизуется для изменения конфигурационного файла. В противном случае он определяет, что файл был изменён, и спрашивает, какое действие ему следует предпринять (установить новый файл, сохранить старый файл или попытаться интегрировать изменения в существующий файл). Этот предупредительный принцип долгое время был уникален для Debian, но со временем и другие дистрибутивы стали перенимать его.

Для реализации такого поведения можно использовать программу usf (из одноимённого пакета Debian).