SysCP - Ein Serververwaltungstool unter der GPL

[flo87]

Hallo Rootforum-Community,

da bei meinem Root-Server kein confixx oder dergleichen sondern nur webmin dabei war, habe ich an einer eigenen Serververwaltungssoftware geschrieben. Das Ganze ist jetzt seit Herbst 2003 am köcheln und am Dienstag habe ich mich dazu entschlossen die Software als GPL-Projekt der Communty zur Verfügung zu stellen.

Näheres zur Technik etc findet ihr auf der Projekthomepage: http://syscp.redenswert.de

Zur Zeit unterstützt die Software lediglich Debian Woody (3.0). Es steht sowohl ein .deb Paket mit apt-reposity als auch ein tar.gz Archiv und ein PDF zum Download bereit.
Das Tool kann folgende Dienste verwalten: Apache (Vhost), Bind, ProFTPd, Postfix und Courier POP/IMAP.
ProFTPd, Postfix und der Courier lesen ihre gesamten Einstellungen aus einer MySQL-Datenbank aus, was lokale Benutzer überflüssig macht. Das kann durchaus als Sicherheitsaspekt betrachtet werden. Auch pfuscht mein Tool nicht in wichtigen Systemdateien wie die /etc/passwd herum, wie das andere Tools, die viel Geld kosten machen.

Es wäre schön wenn ihr euch das Projekt mal ansehen und mir ein Feedback geben könntet. Für Anregungen/Kritik bin ich jederzeit offen.
Um das Projekt weiter voranzutreiben werden hauptsächlich Tester gesucht, aber auch Leute die mehr oder weniger mithelfen wollen. Von der Portierung auf andere Distributionen bis hin zu der Unterstüzung von einer größeren Anzahl Dämons ist noch viel zu tun. Bei interesse einfach übers Forum mit mir Kontakt aufnehmen.
Die aktuelle Version ist soweit stable, das heißt sie funktioniert sowohl bei mir hier intern als auch auf meinem Root-Server problemlos. Deswegen habe ich ihr auch mal ganz frech die Versionsnummer 1.0 gegeben. ;)

Gruß, Flo

[the_postman]

Habe mir bisher nur die Page und die Screenshots angeguckt.
Sieht sehr vielversprechend aus. Ich werds morgen mal auf einem Testsystem einrichten, und ggf. auf meinem rootserver.

Zu dem MySQL-Aspekt:
Klingt gut, interessanter Ansatz. Aber genauso hast du auch Probleme, wenn dein mysqld abschmiert .. Dann ist naemlich gleichzeitig alles weg.

Eine Frage noch, zu der ich auf deiner Page und in deinem Posting keine Antwort gefunden habe: Wie siehts mit dem Rechtesystem aus? Es scheint einen Admin und Kundenuser zu geben. Gibts auch sowas wie Reseller? Oder womoeglich eine vierte Benutzergruppe?

edit:
Und noch einige Vorschlaege:
Auch unter der Gefahr dass nun wieder tausende User hier posten und rummaulen, dass es unsicher sei .. sendmail support waere auch nett. Zumal sendmail auch haeufig genutzt wird. Wie sieht's damit aus? Ist das in Planung? Auch werden die meisten den vsFTPd nutzen (ich berichte aus den Erfahrungen von rootserver-besitzern aus meinem Bekanntenpreis .. Die meisten nutzen vsFTPd). Soll der in Zukunft auch supported werden?

Auch wenn vieles nach Kritik klingt:
Ein gutes Projekt, das meiner Meinung nach viel Potenzial beseitzt!

[flo87]

Hallo,

zu dem mysql: ja, das habe ich mir auch gedacht, aber das risiko war es mir einfach mehr wert, als dass ich lokale benutzer anlegen muss.

zu den resellern: reseller gibt es im moment noch nicht, stehen aber auf der internen todo-liste. Ich habe es damals nicht benötigt, und damit erstmal weggelassen.

Gruß, Flo

[duergner]

Sieht auf den ersten Blick nicht schlecht aus. Ich habe selbst auch schon mal begonnen ein paar Script in der Richtung zu schreiben. Nur hatte ich noch eine Rolle mehr drinnen, nämlich den Reseller. Evtl wäre der auch hier interessant.

[arty]

Hi Flo,

mein Tipp für dich wäre, die Benutzer nicht in MySQL abzulegen, sondern in LDAP. Verbunden mit pam_ldap ist das sehr schön handzuhaben und PHP und LDAP sind auch schön.

bye
arty

[captaincrunch]

Im Normalfall würde ich bei so etwas LDAP auch klar den Vorzug geben, sehe jedoch in diesem speziellen Fall einen Haken dabei:
Unter LDAP müsste, je nachdem, was der User alles an Settings benötigt u.U. das Schema erweitert werden, was etwas haariger ist, als eine (oder schlimmstenfalls mehrere) zusätzlich DB-Table(s).

[wirsing]

Man muss ja nicht das Schema erweitern, sondern kann auch ein neues Schema erstellen und dann den Eintrag daraufhin erweitern, dass er die Felder beider Schemata füllt.

[arty]

Hi Captain,

schon klar, aber bei pam_ldap gibts schon fertige Schemas... :)

bye
arty

[dodolin]

Ich würde wetten, es gibt auch pam_mysql, insofern sehe ich nicht, warum man neuerdings immer LDAP den Vorzug geben müsste, nur weil das gerade in Mode ist. *duck*

[flo87]

Ich würde wetten, es gibt auch pam_mysql, insofern sehe ich nicht, warum man neuerdings immer LDAP den Vorzug geben müsste, nur weil das gerade in Mode ist. *duck*

Yep, postfix mit sasl basiert hier zum Beispiel auf pam_mysql - Dieses ist sogar schon in woody drin.

Zum Thema LDAP: Das Problem ist, dass ich mich (persönlich) noch überhauptnicht eingearbeitet habe. Ich verstehe zwar den Verzeichnis-Gedanken, aber das wars dann auch. Naja, wollte eh mal mit einem Samba-Server rumspielen, dann ist das denke ich mal die ideale Gelegenheit sich auch mal ordentlich mit LDAP zu beschäftigen... ;)

[duergner]

In dem Zusammenhang Samba - LDAP bzw LDAP - Benutzerverwaltung ganz allgemein ein kleiner Hinweis in eigener Sache auf ein anderes OSS Projekt LDAP Account Manager. Der kann zur Zeit 'nur' Unix bzw Samba Accounts verwalten aber wir arbeiten gerade an einer Modularisierung des Ganzen und somit könnte man dann theoretisch fast alles über ein neues Modul machen.

Ich hab mir zwar noch keine Gedanken gemacht, ob man da evtl auch so Sachen wie VHost Configs damit machen könnte, aber theoretisch sollte das eigentlich auch gehn.

[dodolin]

Was ich nur mal allgemein zu bedenken geben wollte:
vhost und virtuelle statts Systembenutzern schön und gut. Interessant wirds aber IMHO erst, wenn man dann auch Dinge wie suEXEC/suPHP nutzen will (die einzig logische Konsequenz), denn da wirds ziemlich dünn...

[arty]

Hi,

ich nutze suExec und suPHP über pam_ldap. :-)

bye
arty

[captaincrunch]

schon klar, aber bei pam_ldap gibts schon fertige Schemas...

Schön und gut, aber vorgefertigte Schemata müssen nicht unbedingt auf dieses spezielle Anforderungsprofil passen. Rest siehe dodolin. ;)

[duergner]

Naja aber suEXEC udn suPHP is doch kein Problem. Da reicht es doch, wenn man wie schon gesagt pam_ldap oder pam_mysql hernimmt. Den Login kann man dann ja immer noch verbieten über pam_access oder so. Also ich seh eigentlich auch nicht die Notwendigkeit die User in die /etc/passwd einzutragen. Da gehört eigentlich nur der User rein, der zu root werden kann/darf damit man auch noch ins System reinkommt wenn der LDAP oder MySQL mal abschmiert.

[arty]

Also ich seh eigentlich auch nicht die Notwendigkeit die User in die /etc/passwd einzutragen. Da gehört eigentlich nur der User rein, der zu root werden kann/darf damit man auch noch ins System reinkommt wenn der LDAP oder MySQL mal abschmiert.

So habe ich das bei mir laufen, alle User bis auf root und meinem Hauptbenutzer sind in LDAP. Bei den Usern in LDAP kann ich auch die Shell definieren, bei mir sind zB alle auf /bin/false gesetzt.

Ich finde, das ist eine sehr feine Sache.

bye
arty

[flo87]

Hallo,

gerade habe ich die neue Version 1.0.1 fertiggestellt und hochgeladen.
Debian-Benutzer updaten das Tool ganz einfach über apt-get update && apt-get upgrade.

Folgendes hat sich seit Version 1.0.0 geändert:

• - Wenn ein neues POP3-Konto erstellt wird, wird nun eine automatische Standardmail an dieses verschickt, um das Maildir zu erstellen.
  - Man kann nun im AdminPanel unter Domains für jede Domain individuell einstellen, ob OpenBaseDir und/oder SafeMode aktiviert werden soll.

Viel Spaß, Flo

[kase]

Zumindest openBaseDir "will" man eigentlich IMMER aktivieren.

Ich würde das eigentlich auch immer setzen, und wenn man es deaktivieren kann, dann nur mit min 10 Warnungen davor, ob man sich wirklich sicher ist.

Außerdem sollte es auch die Möglichkeit geben, Funktionen zu definieren, die man verbieten will, Dort sollten ebenfalls ein paar möglichst IMMER eingetragen sein, und sollten auch nur mit min 5 Warnungen zu entfernen sein. (weiß nicht, ob das in deinem Tool geht, mir geht es eigentlich nur um die Sicherheit...)

[flo87]

Das ist eine idee mit den Warungen. Das sozusagen wie beim Löschen von irgendwas eine Sicherheitsfrage gestellt wird.
Werd ich schaun ob ich das hinkrieg.

[Joe User]

Werd ich schaun ob ich das hinkrieg.

Javascript...

[duergner]

Find ich böse. :lol:

[Joe User]

Weshalb?

[dodolin]

Javascript

Find ich böse

Weshalb?

Wer's nicht hat, wird nicht gewarnt?

[fritz]

Hallo Florian,

nur mal zwischendurch ein nichttechnischer Kommentar und kein Verbesserungsvorschlag. Ein grosses Dankeschön an Dich!
Ich finde es ausgezeichnet, dass es immer noch Menschen gibt, die nicht erst viel reden, und dann nix tun, sondern erst was tun, und dann das Arbeitsergebnis sogar noch der OpenSource-Gemeinde zur Verfügung stellen. Ich habe alle mehr oder weniger erfolgreichen Projekte dieser Art miterlebt, und wünsche Dir (mehr) Erfolg, weiterhin gute Ideen und Helfer, die nicht nur kreativ sondern auch aktiv sind!

Viele Grüsse Fritz

[duergner]

Javascript

Find ich böse

Weshalb?

Wer's nicht hat, wird nicht gewarnt?

Genau drum IMHO lieber eine weitere Seite datzwischen einbauen. Gut der Aufwand is etwas höher aber es sieht dann auch wirklich jeder. Außdem nerven mich diese immer wieder aufpoppenden Sachen einfach tierisch.