Graficzny interface do administrowania serwera

[boras86]

Witam
Promotor zaproponował mi zrobienie graficznego interfejsu do servera dostępowego na linuksie , który pozwalał by zarządzać regułami firewalla, logowaniem ruchu i podziałem pasma.


Teraz po chwili przemyślenia doszedłem do wniosku że lokalnie to na serverze można pseudo graficzny interface zrobić na "oknach" basha, a na ile niebezpieczne było by ingierowanie w takie rzeczy zdalnie np poprzez PHP ?

Pytam bo php ma według mnie wieksze możliwości i jest chyba jednak łatwiejszy od basha jednak bash mnie nie przeraża.


Pozdrawiam i licze na sugestie ze strony Forumowiczów


pozdrawiam

[topdolar]

na tyle bezpieczny na ile ty zabezpieczysz dostep do tego panelu(logowanie itp) i na ile zabezpieczysz sam server (www itd)

[boras86]

czyli rozumiem , że tu sprawa wygląda jak w calej informatyce tzn że system informatyczny jest tak bepieczny jak jego najsłabsze ogniwo-administrator , tak ?

Zadalem pytanie ponieważ zdawalo mi sie że widziałem kiedyś polecenia pfp do zarządzania shellem i byla na końcu informacja żeby raczej tego nie stosować bo to bardzo niebezpieczne..

[Outlaw]

Może ściągnij sobie źródła takiego przykładowego panelu jak np. Webmin i zobacz jak to wszystko jest tam rozwiązane.

[mina86]

To co właściwie chcesz napisać? Interfejs graficzny, interfejs tekstowy czy serwis WWW, bo się pogubiłem?

[Pajaczek]

że widziałem kiedyś polecenia pfp do zarządzania shellem i byla na końcu informacja żeby raczej tego nie stosować bo to bardzo niebezpieczne..

A czy Ci przypadkiem o cgi nie chodziło?

[boras86]

tamat pracy to dokładnie:
"Graficzny interfejs do konfiguracji firewalla i podziału pasma na serwerze dostepowym (Linux)"

Tyle że dostałem go i niemiałem czasu omówić go z promotorem jednak rozumiem że każdy choć średnio poważny server pracuje tylko w środowisku tekstowym wiec pod pojęciem interface graficzny może chyba sie kryć tylko bash w swoich niebieskich okienkach.

Po dłuższym przemyśleniu zaczęło mi sie to wydawać mało ambitne bynajmniej z punktu widzenia grafiki....


Pisałem już kiedyś skrypciki PHP które "ingierowały" w prace systemu przy pomocy shell_exec natomiast z tego co pamiętam na stronie z której miałem składnie tych komend było zaznaczone że odradza sie ich używania bo to niebezpieczne...

co do CGI wiem co to w teorii tzn że swrver www komunikuje sie z innymi programami na serverze jednak z tego co wiem jest głównie wykorzystywany jednak do tworzenia plików będących stronami www lub ich komponentami .. (moge sie mylić)


Teraz po dokładniejszym wyjaśnieniu myśle że będzie łatwiej się Wam ustosunkować i wyrazić swoją opinie.

Z góry dziekuje i pozdrawiam

[miszmaniac]

Jeśli chodzi o takie coś jak piszesz... to może zobacz sobie LMSa i jak w nim jest rozwiązane zarządzanie serwerem?

Nie wiem w jaki sposób chciałbyś sterować regułami firewalla. Pewnie to sprowadzałoby się do tworzenia za pomocą interfejsu WWW pliku ze skryptem firewalla i odpowiednim przeładowywaniem go.

PHP tez potrafi się komunikować z innymi programami, także jeśli umiesz tu coś pisać, to dasz rade tak działać.

[boras86]

Jeżeli chodzi o firewall i podział łącza to tak własnie myslałem że generował by sie skrypt i przeładowywał systemowy firewall.

Z tym LMS to w sumie dobry pomysł, choć myśle że z tym co już umiem w php jestem w stanie stworzyć plik i go przeładować jedynie boję sie o bezpieczeństwo takich operacji.

Na moim domowym serverze gdzie miałem kiedyś uruchomiony taki dziwny monitoring korzystałem własnie z takikch rozwiązań lecz tam niedbałem zabardzo o sprawy bezpieczeństwa..... jednak praca inżynierska zapewne wymaga aby było to w pełni bezpieczne.

Jeszcze może zapytam co ogólnie sądzicie o tym temacie ... bo według mnie ciekawy i przydatny ( bynajmniej mi sie przyda w przyszłości)

[miszmaniac]

No raczej, oni się do tego lubią przyp.... Po za tym, pewnie będziesz miał jakiś rozdział pt. bezpieczeństwo i musisz coś wykombinować co tam wrzucić.

Jedno jest pewne, już samo to, że musisz użytkownikowi serwera WWW dać prawa do wykonywania np. iptables powoduje dziury w bezpieczeństwie, no ale coś za coś. Wszystkiego nie osiągniesz na pewno, musisz się postarać, żeby sam interfejs był odpowiednio zabezpieczony. Ale z reguły wystarcza szyfrowanie połączenia + .htaccess

[Pajaczek]

co do CGI wiem co to w teorii tzn że swrver www komunikuje sie z innymi programami na serverze jednak z tego co wiem jest głównie wykorzystywany jednak do tworzenia plików będących stronami www lub ich komponentami ..

Cóż, kiedyś robiłem np. skrypt w bashu właśnie dodający/zdejmujący z usera prawa dostępu do internetu, i właśnie modyfikujący ipfw (FreeBSD) a całość była odpalana jako cgi, więc...

Co do bezpieczeństwa, nie ma systemów "w pełni bezpiecznych", zawsze jest ogniwo zagrożone. Zaś w pracy, jeśli jesteś świadomy jakiś braków bezpieczeństwa, to zamiast je utajniać, lepiej dokładnie opisać właśnie te dziury, i ew. pomysły jak to można rozwiązać w przyszłości... a dlaczego Ty ich nie zastosowałeś... i tu wymyślasz: zbyt złożony do realizacji przez jedną osobę, po części komercyjne rozwiązanie czy co tam jeszcze będzie pasować do sytuacji.

[miszmaniac]

zbyt złożony do realizacji przez jedną osob

to jest chyba ulubiony tekst, jak się już ma dość pisania:D

[topdolar]

Jedno jest pewne, już samo to, że musisz użytkownikowi serwera WWW dać prawa do wykonywania np. iptables powoduje dziury w bezpieczeństwie

ale nic nie stoi na przeszkodzie zeby np odpalic inny server www na innym porcie tylko i wylacznie dla tego panelu i ograniczyc do niego dostep, ot z jednego czy dwoch ip, na upartego mozna dac tylko dla localhost i zrobic sobie tunel przez ssh

[boras86]

Bardzo dziekuje za wszystkim za cenne uwagi. Już bardzo wiele mi pomogliście...

Szczególnie zainteresowało mnie uruchomienie drugiego servera WWW( według mnie to sprytny i innowacyjny pomysł) oraz CGI ( bo zdaje się że to zostało stworzone własnie do "grzebania w systemia" i tym samym podejrzewam że powinno być dość bezpieczne)

"Ale z reguły wystarcza szyfrowanie połączenia + .htaccess" to również bede miał na uwadze


Zastanawiam sie czy temat powinien sie dalej tak samo nazywać w momencie Gdy tak naprawde zarządzać bede przez skrypt php i swoją przeglądarke ??

Może coś w stylu:
"Interface webowy do konfiguracji firewalla i podziału pasma na serwerze dostepowym (Linux)"

i tak naprawde dostęp do tego panelu według mnie mogą mieć np tylko 1-2 adresy IP i to po jakichś dziwnych portach ....... to chyba troche malo wygodne bo trzeba będzie zawsze konkretny port podawać ale co najemnej warte uwagi


Choć może znajdzie się na forum jakiś stary wyjadacz w temacie i zapewni o sposobie , który będzie najbezpieczniejszy dla tego typu aplikacji

Jeszcze raz dziekuje i zachęcam do dalszej korespondencji
pozdrawiam

[miszmaniac]

W pracy często stosujemy REST -> http://en.wikipedia.org/wiki/Representa ... e_Transfer

Przejrzyj sobie artykuł to może Cie to zainteresuje to wtedy pogadamy:)

edit:

A chodzi tu oczywiście o oddzielenie interfejsu od serwera który będzie wykonywał polecenia.