Webverwaltungsoberflächen pro und kontra

[Lunix]

Damit wir das andere Thma nicht zerstören mach ich mal nen neuen Thread auf. Das original Thema findet ihr >hier<

Totaler quatsch .....
ich richte dir 3 Server meinetwegen 100 server schneller ein als du mit deinem Webadmin ... man muss nur die richtigen Tools verwenden. Ein schönes Beispiel hierfür ist 'chef' oder 'puppet'. Mit Chef betreue ich einige Server und ja natürlich kann man nicht jeden Server so realisieren, da es immer einen Teil individual Konfigurationen gibt, aber 70% decke ich damit locker ab ... und das ist schon ne Menge.

Also mit irgendwelchen Webfrontend gedöns, die immer unsicher und angreifbar sind, würde ich immer die Finger lassen!
Sowas benutzen die, die es nicht besser wissen

Dann möchte ich dir mal eine Aufgabe geben die ich kürzlich von einem Kunden hatte.

Es sollen 4 Server eingerichtet werden.
- 1 Webserver
- 1 Firewall
- 1 DB-Server
- 1 Fileserver

Die Server sollen zentral gesteuert werden können und für die Fernwartung soll eine VPN-Verbindung eingerichtet werden. Da der Chef ein kleiner Technikfreak ist möchte er auch hin und wieder mal nen User einrichten außerdemn gibt es keinen richtigen Admin sondern nur einer der sich ein wenig mit PCs auskennt und die Administration übernimmt.
Was vorallem eine Rolle spielt ist das Geld welches nicht für 4 sepperate Server reicht. Im Unternehmen sind ca. 200 User.

Hier unsere Lösung. Der Webserver und die Firewall laufen als virtuelle Server auf einem Rechner. Der DB-Server und der Fileserver laufen jeweils auf einem sepperaten Rechner. Du musst also insgesammt 3 Rechner einrichten. Eine Übernahme von dem alten Rechner ist nicht, da das ein Windowsserver war. Alles wird über Webmin (zusammen mit den Modulen Virtualmin und Usermin) verwaltet.

Nun erklär mir bitte wie man diese Anforderungen ohne ein grafisches Frontend erfüllen soll!

Webverwaltungstools haben also durchaus ihre Berechtigung!

 

[bitmuncher]

Solche Webverwaltungstools sind in Intranets ja auch kein Problem, wo sie z.B. via VPN oder einen SSH-Tunnel auch von aussen verfügbar sein können. Sie haben aber im Internet nichts verloren, es sei denn man sichert sie dort auf gleiche Weise ab. Sie aber öffentlich verfügbar zu machen ist fahrlässig, da gerade Webmin weder über einen Schutz gegen DoS-Angriffe, noch einen Bruteforce-Schutz verfügt, was nunmal die 2 häufigsten Angriffsarten auf solcherlei Tools sind. Die Menge an Security-Alerts für Webmin ist auch nicht gerade ein Gütesiegel für diese Software, vor allem wenn man sich mal anschaut, was da alles dabei ist... Code im Server-Kontext ausführen, Session-Cookies klauen, Einlesen beliebiger Dateien auf dem Server etc.. Für ein Webadmin-Tool sind das verdammt kritische Lücken.

Und insofern hat foexle absolut Recht, wenn er schreibt: "Sowas benutzen die, die es nicht besser wissen." Du hast es ja offenbar auch nur für Leute eingerichtet, die es einfach nicht besser wissen und denen das Knowhow fehlt Server zu administrieren.

 

[foexle]

ich finde jemand der sich nicht mit der administration von servern auskennt sollte weder jemanden einstellen oder outsourcen .... alles andere ist
a) ein riesen geknaupe
b) wenn mal was schief geht läuft nix mehr (vorallem bei leuten die nicht wissen was sie machen) und dann ist der administrative aufwand sehr hoch, weil man erst mal den fehler finden muss ....

 

[Lunix]

ich finde jemand der sich nicht mit der administration von servern auskennt sollte weder jemanden einstellen oder outsourcen .... alles andere ist
a) ein riesen geknaupe
b) wenn mal was schief geht läuft nix mehr (vorallem bei leuten die nicht wissen was sie machen) und dann ist der administrative aufwand sehr hoch, weil man erst mal den fehler finden muss ....

Warum sollte jemand der der sich nicht auskennt auch keinen einstellen der es tut?
Vorteil bei Webmin ist das man den Leuten nur bestimmte rechte geben kann. So kann zum Beispeil der Chef nur User und Gruppen verwalten aber sonst nichts anderes.
Sicher ist es ratsam nur Leute an einen Server zu lassen die sich damit auch auskennen aber in der Praxis ist das nicht immer so und du machst das was der Kunde will denn nur dafür bekommst du Geld!

...da gerade Webmin weder über einen Schutz gegen DoS-Angriffe, noch einen Bruteforce-Schutz verfügt, was nunmal die 2 häufigsten Angriffsarten auf solcherlei Tools sind....

Du weist aber schon das du bei Webmin den Zugriff nur für bestimmte IP-Adressen bzw. IP-Adressbereiche zulassen kannst?!

 

[gropiuskalle]

Vorteil bei Webmin ist das man den Leuten nur bestimmte rechte geben kann. So kann zum Beispeil der Chef nur User und Gruppen verwalten aber sonst nichts anderes.

Dafür benötigt man nun wirklich kein Webmin, unixoide Systeme stellen für sowas mehrere native Lösungen zur Verfügung. Und die sollte man als admin wirklich kennen.

[...] aber in der Praxis ist das nicht immer so und du machst das was der Kunde will denn nur dafür bekommst du Geld!

Ja, Turnschuh-admins, die es "mal eben für Geld machen", gibt es einige. Deshalb sind attackierte Server, Spam, Botnetzwerke und dergleichen ja auch keine Seltenheit.

Du weist aber schon das du bei Webmin den Zugriff nur für bestimmte IP-Adressen bzw. IP-Adressbereiche zulassen kannst?!

Toll.

 

[marcellus]

Du weist aber schon das du bei Webmin den Zugriff nur für bestimmte IP-Adressen bzw. IP-Adressbereiche zulassen kannst?!

Mitsniffen + ifconfig lösen das "Problem"

Vorteil bei Webmin ist das man den Leuten nur bestimmte rechte geben kann.

Wow sie haben sudo erfunden

und du machst das was der Kunde will

Dein service sollte auch etwas weiter gehen, wenn der Rechner abraucht werden sich die Kunden wahrscheinlich über kurz oder lang wen anderen suchen.

Ich finds immer wieder schön, das es so ein fanatisches Anhalten an einer speziellen Software gibt. Ich bin mir fast sicher egal welche Argumente dir noch um die Ohren geworfen werden wirst du an deinem geliebten webmin anhalten. Aber die diskussion über pros und kontras ist denk ich nix für dich.

 

[foexle]

als erfahrener admin gehört es nicht nur den kunden seine wünsche zu erfüllen, sondern ihn auch entsprechend zu beraten ... dieser teil ist sogar noch wichtiger, da 99,9% der kunde keine oder nur wenig ahnung von der materie haben ....

Andere Lösungswege aufweisen die die gleiche funktionalität bieten aber eben auch sicherheit bieten.

und genau das zeichnet einen guten admin von einem pfuscher aus .. vor allem wirst du weiter empfohlen und verlierst keine kunden wenn sie merken das es nur mist ist ....

 

[Lunix]

Dafür benötigt man nun wirklich kein Webmin, unixoide Systeme stellen für sowas mehrere native Lösungen zur Verfügung. Und die sollte man als admin wirklich kennen.

Leider hat bis jetzt keiner eine Alternative genannt!

Ja, Turnschuh-admins, die es "mal eben für Geld machen", gibt es einige. Deshalb sind attackierte Server, Spam, Botnetzwerke und dergleichen ja auch keine Seltenheit.

Ich weis nicht wieviel Kundengespräche du schon geführt hast aber bei uns läuft es so ab. Der Kunde sagt dir was er will. Du machst dem Kunden 1-3 Angebote wie man es umsetzen kann. Der Kunde sagt dir entweder ja dies oder das andere will ich oder er sagt dir nein danke. Der Kunde hat sich für Webmin entschieden mit all seinen Vor- und Nachteilen. Soll ich bzw. der kundenbetreuer dann mit dem Kunden diskutieren und sagen nehmen Sie doch lieber das andere? Wohl kaum. Natürlich kann man auch sagen entweder ich mach es so oder garnicht. Aber dann wirst du nicht viel Erfolg haben.
Das Ziel ist immer die Wünsche des Kunden und die technische Machbarkeit in Einklang zu bringen. Das ist nicht immer leicht und manchmal muss man halt das machen was der Firma und dem Kunden am meisten bringt.

Mitsniffen + ifconfig lösen das "Problem"

Möglichkeiten irgendwelche Sicherheitsmechanismen zu umgehen gibt es immer, egal bei welcher Software.

Dein service sollte auch etwas weiter gehen, wenn der Rechner abraucht werden sich die Kunden wahrscheinlich über kurz oder lang wen anderen suchen.

Auch an dich die Frage wie oft du schon Kundengespräche hattest?

Ich finds immer wieder schön, das es so ein fanatisches Anhalten an einer speziellen Software gibt. Ich bin mir fast sicher egal welche Argumente dir noch um die Ohren geworfen werden wirst du an deinem geliebten webmin anhalten. Aber die diskussion über pros und kontras ist denk ich nix für dich

Das hat nichts mit fanatischem Anhalten an einer Software zu tun. Ich bin offen für jede Art von Kritik jedoch ist es mir wohl auch erlaubt meine Argumente vor zu bringen und bis jetzt hat jeder nur über Webmin geschimpft aber keine Alternative gegeben die über einen ähnlichen Umfang verfügt.

Andere Lösungswege aufweisen die die gleiche funktionalität bieten aber eben auch sicherheit bieten.

Wenn du mir welche nennst werd ich mich gern näher damit auseinander setzen. Bin für alles offen.

und genau das zeichnet einen guten admin von einem pfuscher aus .. vor allem wirst du weiter empfohlen und verlierst keine kunden wenn sie merken das es nur mist ist

Ich denke nicht das man unsere Firma zu den Pfuschern zählen kann. Mit einem Jahresumsatz von 4,6 Millionen und Kunden die fast alle bereits über 5 Jahre Stammkunden sind, scheinen wir nicht alles falsch zu machen.

Und nochmal an alle:
Ich bin nicht auf Webmin fixiert. Es gibt sicherlich alternativen und wenn jemand bessere Programme kennt dann nur raus damit. Ich freu auch das hier so lebhaft diskutiert wird. Aber bitte akzeptiert auch die Meinung von Leuten die anders denken.

-Roman Ende-

 

[bitmuncher]

Die Alternative ist ein Service-Vertrag mit einem freiberuflichen Admin, der die Kisten via SSH und Konsole verwaltet. Laien haben an Servern, die Dienste im Internet bereitstellen, nichts zu suchen. Sie stellen damit ein Sicherheitsrisiko für das Internet dar, das sie nicht einschätzen können. Ich hab in meiner Zeit als Freiberufler jedenfalls einige Aufträge abgelehnt, weil die Kunden irgendwelche Webverwaltungen auf Internet-Servern installiert haben wollten, da ich dann eine Sicherheit des Systems nicht mehr gewährleisten konnte und mir ist lieber einen Auftrag abzulehnen als in dem Ruf zu stehen unsichere Systeme aufzusetzen. Webbasierte GUIs gab's von mir nur in abgeschlossenen LANs.

 

[gropiuskalle]

Dafür benötigt man nun wirklich kein Webmin, unixoide Systeme stellen für sowas mehrere native Lösungen zur Verfügung. Und die sollte man als admin wirklich kennen.

Leider hat bis jetzt keiner eine Alternative genannt!

Doch, sudo. Wozu benötigt eine Rechteverwaltung eine GUI?

Ich weis nicht wieviel Kundengespräche du schon geführt hast aber bei uns läuft es so ab. Der Kunde sagt dir was er will. Du machst dem Kunden 1-3 Angebote wie man es umsetzen kann. Der Kunde sagt dir entweder ja dies oder das andere will ich oder er sagt dir nein danke. Der Kunde hat sich für Webmin entschieden mit all seinen Vor- und Nachteilen. Soll ich bzw. der kundenbetreuer dann mit dem Kunden diskutieren und sagen nehmen Sie doch lieber das andere? Wohl kaum.

Du hast recht, diese "Hauptsache Kunde"-Mentalität ist weit verbreitet. Und das richtet viel Schaden an, nicht nur, indem rootserver für Taschengeldbeträge an irgendwelche Egoshooter-Kiddies verschackert werden, sondern auch im betrieblichen Umfeld (welches für Angreifer oft übrigens wesentlich attraktiver ist).

Möglichkeiten irgendwelche Sicherheitsmechanismen zu umgehen gibt es immer, egal bei welcher Software.

Kein Grund, derart eklatante Sicherheitslücken, wie sie Webmin bietet, einfach in Kauf zu nehmen. Das geht ganz klar in Richtung Fahrlässigkeit, was Du hier postulierst...

Ich bin offen für jede Art von Kritik jedoch ist es mir wohl auch erlaubt meine Argumente vor zu bringen und bis jetzt hat jeder nur über Webmin geschimpft aber keine Alternative gegeben die über einen ähnlichen Umfang verfügt.

Hier wurde nicht bloß geschimpft, sondern aufgezeigt, wo die Schwächen von Webmin liegen - und die liegen im Sicherheitsbereich, was nicht gerade ein unwesentlicher Parameter bei der Administration von Servern ist.

Die Alternative heißt: lernen, wie man mit so einer Kiste umgeht. Und zwar unter Berücksichtigung aller Sicherheitsaspekte.

Ich denke nicht das man unsere Firma zu den Pfuschern zählen kann. Mit einem Jahresumsatz von 4,6 Millionen und Kunden die fast alle bereits über 5 Jahre Stammkunden sind, scheinen wir nicht alles falsch zu machen.

Keiner dieser Zahlen beweist auch nur irgendetwas. Wirklich nicht.

 

[saeckereier]

Was spricht gegen Webmin, wenn der Zugang dazu auf vertrauenswürdige Personen beschränkt ist. Beispielsweise durch SSL mit Client-Zertifikat?

 

[bitmuncher]

Was spricht gegen Webmin, wenn der Zugang dazu auf vertrauenswürdige Personen beschränkt ist. Beispielsweise durch SSL mit Client-Zertifikat?

Seit wann ist sowas bei Webmin möglich? Das läuft ja nicht über den Apache, sondern hat einen eigenen minimalen HTTP-Server dabei.

 

[hagbard celine]

ssl mit webmin ist möglich, siehe da:

http://www.webmin.com/ssl.html

 

[saeckereier]

Zum Beispiel Webmin nur localhost und dann nen Apache davor hängen. Oder nur localhost und dann per SSH erreichbar. Klar, funktioniert nur leidlich, wenns lokale User gibt, aber für viele Systeme eine adäquate Lösung.

Persönlich setze ich es nicht ein, ist mir auch wegen der bisherigen Fehler unheimlich. Aber ich kann den OP verstehen. Und ich glaube es gibt schlimmeres.. Ein nach aussen offenes Webmin allerdings würde ich nicht mehr dazuzählen. Und ich denke auch, wenn man kann, dann sollte man sich Personal leisten, das die Technik beherrscht.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

ssl mit webmin ist möglich, siehe da:

http://www.webmin.com/ssl.html

Ich würde dem Webmin Webserver dafür aber nicht trauen. Auch wenns im Endeffekt OpenSSL einsetzt.

 

[Lunix]

Doch, sudo. Wozu benötigt eine Rechteverwaltung eine GUI?

Weil es der Kunde so wollte
Ich hatte weiter oben schon geschrieben das beim Kunden ein Mitarbeiter den Admin spielt der sich etwas mit der Materie auskennt. Also neue Nutzer anlegen oder nen Drucker ins Netz bringen und so nen kleinkram halt. Für das meiste ist sonst der Support unserer Firma zuständig. Klar wäre es schöner wenn unser Support alles machen würde, aber des kostet halt dann auch mehr und das will der Kunde nicht bezahlen.

Ich will an dieser Stelle auch mal erwähnt haben das die Server nicht im Netz stehen sondern nur im Intranet sind. Von außen sind sie nur für uns und eine weitere Filiale über VPN erreichbar.

Aber mal zu meiner Frage von vorhin zurück!
Welche Alternative Weboberfläche kennt ihr? Bzw. würdet ihr denn da einsetzen? Sie sollte vergleichbare Optionen wie bei Webmin haben.

 

[Always-Godlike]

Welche Alternative Weboberfläche kennt ihr? Bzw. würdet ihr denn da einsetzen? Sie sollte vergleichbare Optionen wie bei Webmin haben.

Garkeine


SSH und die nötigen Befehle. Man braucht keine Weboberflächen um einen Server zu verwalten.

 

[bitmuncher]

Aber mal zu meiner Frage von vorhin zurück!
Welche Alternative Weboberfläche kennt ihr? Bzw. würdet ihr denn da einsetzen? Sie sollte vergleichbare Optionen wie bei Webmin haben.

SysCP und cPanel sind relativ flexibel, laufen direkt über den Apache und lassen sich entsprechend gut absichern.

 

[Lunix]

SysCP kenn ich von einigen Freunden die das auf ihren Servern laufen haben und ich habs auch schon mal vor vielen Monden getestet.
cPanel hab ich mir grad mal in der Demo angeschaut.
Das Problem bei beiden ist halt das sie eher für Webserver bzw. Webhoster gemacht sind. Zur reinen Serververwaltung sind sie eher weniger geeignet.
Ich selber kenn ansonsten aber auch nur die Adminoberflächen der verschieden Small-Businessserver-distris (z.B. ClarkConnect) und die sind ja meist direkt für das jeweilige System maßgeschneidert.

Ich persönlich setze bei meinem Webserver auch nur SSH ein. Eben wegen der Sicherheitsriesigen aber auch weil ein Webinterface einen nur faul macht und dann vergisst man die Hälfte von dem was man mal gelernt hat!

 

[Greenleon]

Ihr macht mir Angst. Hab eben auch Webmin auf meinen root draufgezogen um mir die Verwaltung von Apache zu erleichtern. Ich glaub ich schmeiss das sehr schnell wieder runter, bei dem, was ihr so erzaehlt...

Was dein Problem angeht:

Wenn du unbedingt Webmin benutzen willst, dann lass doch virtualmin und usermin sein. Die beiden Module vergroessern nur unnoetig die Angriffsflaeche, machen das System komplizierter und bringen in dem Aufgabenbereich ja mal gar nichts.

Irgendwie finde ich es auch etwas uebertrieben dafuer 3 seperate Server einzusetzen. Das Unternehmen scheint ja nicht so gross zu sein, dass so viel Rechenleistung erforderlich waere. Denk an das Klima . Nimm doch lieber einen mit etwas mehr unter der Haube und einen Backupserver, der im Falle eines Ausfalls einspringen kann.