Welches Webinterface für Debian Lenny

[asyx]

Hi!

Ich überlege gerade, welches Webinterface sich am bessten für Debian Lenny eignet. Plesk, Webmin und ISPConfig sind mir bekannt. Es soll eigendlich nur das Verwalten von vHosts und E-Mail Domains vereinfachen. Mit ISPConfig habe ich eigendlich gute Erfahrungen gemacht. Allerdings habe ich das mit Plesk auch nur das war mir bei meinen ersten Erfahrungen mit Servern einfach zu viel auf einmal.

Software, die ich nicht verändern kann/will: Apache2 als Webserver, MySQL und PostgreSQL als Datenbanken.

FTP brauche ich nicht (ssh). Die Erweiterung durch Plugins wäre noch ganz angenehm. Muss aber nicht. Wäre nur ein Bonus um vielleicht auch noch Teamspeak3 Server oder selbsgeschriebenes zu verwalten.

Momentan glaube ich, dass ISPConfig da die besste Wahl ist, oder? Gibt es noch gute Alternativen, die ich nicht gekannt habe? Bitte nicht einfach Links posten. Wäre schön, wenn Ihr auch Erfahrungen zu dem Webinterface postet.

MfG Asyx

[minimike]

Ich setze für meine Kunden bald auf ISPMan. Hat alles, kann alles, braucht nicht viel und durch LDAP breit fächerbar. Geil finde ich die Idee die Vhosts im LDAP abzulegen. Eine Installation für viele Systeme halt.

[asyx]

ispman.net ist Offline und auf sourceforge ist seit 370 Tagen nichts mehr passiert. Läuft das Teil so gut, dass man da nicht dran arbeiten muss oder ist es einfach tot?

[chrigigraf]

Schau dir doch mal SysCP an. Läuft hier schon seit Jahren mit Apache/MySQL/FTP (brauche die Mail- und DNS-Funktionen nicht). Das System ist recht einfach anpassbar und wird auch weiterentwickelt.
http://www.syscp.org

Gruss
Christian

[asyx]

Ich werds einfach mal installieren.

[mike1701]

Was ist denn am besten geeignet um Firewall , Apache2 (vhosts etc...) und ggf. MySql zu konfigurieren, gerade die Firewall option ist mir wichtig, da ichz bis dato nix einfaches gefunden habe..
Bitte kein PLESK ! Damit stehe ich auf Kriegsfuß !

[minimike]

Für Shorewall gibt es auch Webmin wer es denn braucht
Das letzte was ich per Webinterface confen würde ist ne Firewall

[ThorstenS]

vom sehr eingeschlafenen syscp gibt es einen sehr aktiven fork: http://www.froxlor.org/ - den würde ich nicht aus dem Auge verlieren.

[Evox]

Sorry für den leichten OT

Ich persönlich habe es mir Abgewöhnt diese Frickelei von Webmin ,..etc anzutun ist viel zu unsicher
Gibt andere Wege ein Server abzusichern ohne auf irgendwelche Sachen zu vertrauen von dritten Personen ( Stichwort: Hardening) !
Wer ein Server produktiv einsetzten möchte sollte sich damit schon auseinander setzten alles andere ist wirklich grob fahrlässig !
Mein Ding ist es so wenig wie möglich aber dafür so effektiv wie möglich
Kundenfreundlichkeit hin oder her aber eine gesunde Paranoia ist hier wirklich angebracht

[JustDanMan]

Sehe das genauso wie Evox! Erstens ist so ein Webinterface wieder ein Angriffspunkt mehr auf dem Server und zweitens habe ich die Erfahrung gemacht dass dich ein Webinterface in der Regel immer einschränkt, wenn du etwas haben möchtest was etwas vom Standard abweicht. Ich empfehle auch keins zu benutzen.

Gruß
Daniel

[mike1701]

naja, sagen wir mal so....ist ja nicht so das ich nix peile ...ABER....bei der FW Konfig. hört es einfach bei mir pers. auf da bekomme ich kopfschmerzen...

Ich habe ja auch nix kompliziertes vor..

Port 80 für HTTP anfragen - offen für alle
Port 1194 für OpenVPN
Port 22334 für SSH allerdings nur offen für 172.16.6.0 Netzanfragen

wie ich das allerdings mit iptables wo und wie mache...absolut kein plan...
Webserver,PHP,MySql etc alles kein Thema für mich nur FW ... NAJA...

Es soll eigendlich bis auf 80 und für VPN die 1194 offen sein... die komplette Server-Verwaltung will ich ausschließlich über den 1194 Port von OpenVPN machen..

[minimike]

naja, sagen wir mal so....ist ja nicht so das ich nix peile ...ABER....bei der FW Konfig. hört es einfach bei mir pers. auf da bekomme ich kopfschmerzen...

Ich habe ja auch nix kompliziertes vor..

Port 80 für HTTP anfragen - offen für alle
Port 1194 für OpenVPN
Port 22334 für SSH allerdings nur offen für 172.16.6.0 Netzanfragen

wie ich das allerdings mit iptables wo und wie mache...absolut kein plan...
Webserver,PHP,MySql etc alles kein Thema für mich nur FW ... NAJA...

Es soll eigendlich bis auf 80 und für VPN die 1194 offen sein... die komplette Server-Verwaltung will ich ausschließlich über den 1194 Port von OpenVPN machen..

Mit shorewall unter http://www.shorewall.net finden Einsteiger einen guten Einstieg zu Linux Firewalls. Das schöne der Anfänger sowie der gwiefte Admin hat an Shorewall seine Freude. Ich mag es weil komplexe Setups damit übersichtlich bleiben. Vor allem wenn mehrere Leute an der Firewall arbeiten müssen bleibt die Angelegenheit für alle Transparrent.

[SpiderZLS]

sorry habe mir das teil gerade mal angesehen und selbst mit dem Webmin Modul als GUI peil ich mal garnixmehr !
Es muss doch irgend etwas geben was einfach und übersichtlich ist....und auch für so DAUs wie mich (was die FW betrifft) verständlich ist.
Mir ist schon klar das Firewall ein recht kompliziertes Thema ist..mein prob. ist das ich vorher bei 1&1 war und die haben eine vorgeschaltete Firewall die sich ober simpel und easy via Webinterface konfigurieren lies.
Jetzt bin ich bei nem anderen anbieter weil wesentlich mehr ServerPower und viel günstiger....der hat leider keine vorgeschaltetet FW...und deshalb brauche ich was einfaches...am liebsten halt mit nem GUI- oder Web- Interface.....wenn es denn sowas überhaupt gibt...

[minimike]

sorry habe mir das teil gerade mal angesehen und selbst mit dem Webmin Modul als GUI peil ich mal garnixmehr !
Es muss doch irgend etwas geben was einfach und übersichtlich ist....und auch für so DAUs wie mich (was die FW betrifft) verständlich ist.
Mir ist schon klar das Firewall ein recht kompliziertes Thema ist..mein prob. ist das ich vorher bei 1&1 war und die haben eine vorgeschaltete Firewall die sich ober simpel und easy via Webinterface konfigurieren lies.
Jetzt bin ich bei nem anderen anbieter weil wesentlich mehr ServerPower und viel günstiger....der hat leider keine vorgeschaltetet FW...und deshalb brauche ich was einfaches...am liebsten halt mit nem GUI- oder Web- Interface.....wenn es denn sowas überhaupt gibt...

Dafür holt man sich als guter Kaufman jemanden auf Stundenbasis.

[pluvo]

....und auch für so DAUs wie mich (was die FW betrifft) verständlich ist.

Man könnte auch fragen: Was willst du eigentlich mit einer Firewall?

[Evox]

Nutze Iptables nur noch zum Routing
Der ganze Hyph man muss sich unbedingt Schützen mit einer Firewall

OT:
Persönlich habe ich keine Angst vor den Script Kiddys in Gegenteil die zeigen einen wo ein Fehler / Bug ist und wenn dabei den einer Abgeht warum nicht
Worauf man sich Einstellen muss sind diese Leute die genau wissen was sie da tun ! da schützt dich auf keine Software Firewall ,etc

[SpiderZLS]

....und auch für so DAUs wie mich (was die FW betrifft) verständlich ist.

Man könnte auch fragen: Was willst du eigentlich mit einer Firewall?

Würstchen Grillen ?
Nein, mal im Ernst tja, was will ich damit ??..vieleicht etwas ruhiger schlafen....

[uname]

Nein, mal im Ernst tja, was will ich damit ??..vieleicht etwas ruhiger schlafen...

Aha. Nur wird deine Firewall die Dienste erlauben müssen, die du aktiviert hast. Der Angreifer wird genau diese Dienste nutzen, denn mehr hast du ja gar nicht aktiviert. Firewalls werden gerne überbewertet. Was bringt dir die Firewall bei einer SSH- oder Apache2/PHP/MySQL-Sicherheitslücke, wenn die Firewall gerade diese Dienste erlauben muss. Somit wäre es sinnvoller z.B. ein Webinterface wie "Webmin" gar nicht erst zu installieren oder nur durch einen SSH-Tunnel als localhost-Anwendung zu erlauben. Wissen ist auf jeden Fall wichtiger als eine Firewall.

[SpiderZLS]

hehehe, naja das Webmin Interface läuft nur im VPN Tunnel !
Aber stimmt schon was du sagst..wenn mann nur einmal darüber nachdenkt...
Was nicht auf dem Server läuft kann somit auch nicht angegriffen werden.

[novalix]

Nutze Iptables nur noch zum Routing
Der ganze Hyph man muss sich unbedingt Schützen mit einer Firewall

OT:
Persönlich habe ich keine Angst vor den Script Kiddys in Gegenteil die zeigen einen wo ein Fehler / Bug ist und wenn dabei den einer Abgeht warum nicht
Worauf man sich Einstellen muss sind diese Leute die genau wissen was sie da tun ! da schützt dich auf keine Software Firewall ,etc

Das ist so nicht ganz richtig.
Netfilterregeln kann man sehr feingranuliert erstellen, so dass Dir das Logging dabei behilflich sein kann, mögliche Angriffsszenarien zu entdecken.

Einfaches Beispiel:
Den sshd lege ich auf einen anderen Port, damit mir die automatisierten Verbindungsversuche nicht die auth.log zu müllen. Habe ich zusätzlich ne Netfilterregel mit Logginganweisung auf Port 22, kann ich weiterhin nachvollziehen wie häufig und wann solche Angriffsversuche ausgeführt werden.

So gesehen schützt mich diese "Firewall" nicht. Sie liefert mir Informationen zu meinem Schutz und fürs Troubleshooting.

Ausserdem kann man bei einem Server in freier Wildbahn im Gegensatz zur Absicherung eines lokalen Netzwerks durchaus den Fokus mehr auf die raus gehenden Pakete legen. Das hilft mitunter möglichen Schaden zu begrenzen.

Vereinfachtes Beispiel:
Ich habe keine Software auf dem Server, die HTTP-Verbindungen initialisiert, also sperre ich den 80er für ausgehende Pakete mit dem Status "New". Guckt der Rootkit-Bauer dumm aus der Wäsche.

Auch das ist kein Schutz nach dem Motto: "Hab isch Firewall, bin isch voll sischer!"
Es kann aber helfen Schaden abzuwenden.
Problem: Kann sehr aufwändig werden.
So etwas macht man, wenn man entweder viel Zeit oder einen guten Grund hat.

Groetjes, niels

[Colttt]

ihr verwirrt mich..

brauch ich nun ne Firewall und wenn ja wann?? bei einem root-server? oder bei einer firma (da bin ich mir schon fast sicher, ja)?

[ThorstenS]

Lies dir die Posts genau durch Colttt - du bist doch nicht auf den Kopf gefallen. Und nur du selbst entscheidest, ob du eine Firewall benötigst oder nicht.
BTW: Meine drei Server haben keinen, die betrieblichen haben einen netfilter Schutz.

[minimike]

Alle meine Server haben eine konfigurierte Firewall. Für VSFTP sowie SSHd habe Ich fail2ban installiert. Gegen DOS Angriffe auf den Apache hilft MOD_EVASIVE und ansonsten hat der Apache noch MOD_SECURETY. Weiterhin kann man den Indianer im Chroot betreiben. Und Vhosts laufen mit SUEXEC. Auch sollte SELINUX fein konfiguriert sein. GRSECURETY ist da noch ein weiteres Addon. Datenbanken schützt man z.B. mit GreenSQL. Übrigens die neue Version ist draussen
Geht einfach mal auf die Seiten vom amerikanischen Geheimdienst NSA........