Mal was für die Admins: Konfigurationstool für verteilte Services.

xardias · 13.04.2008, 23:52

Huhu allerseits,

wo ich gerade ein paar Unterforen weiter eine Frage zu dem Tool gestellt habe würde ich das Programm hier gerne mal vorstellen:

Welches Problem soll es lösen?
Die Idee ist entstanden als ich es Leid war für jede neue Domain und neuen User die ich auf meinem Rootserver einrichten musste immer wieder die selben Schritte zu machen, und das eventuell noch auf verschiedenen Servern, V-Servern oder in verschiedenen Chroot Umgebungen. Dazu kam noch dass ich immer wieder den die selbe, ellenlange V-Host Konfig kopiert und angepasst habe.

Für wen ist es gedacht?
Für sicherheitsbewusste Admins die die Schmutzarbeit vereinfachen und beschleunigen wollen. Für "Wenn ich das installiere hab ich ein funktionierendes php+mysql system?!?!?!"-Leute ist es nicht gedacht, die Kontrolle bleibt beim Admin, es soll bloß ein paar Dinge vereinfachen.

Was macht es?
Es bietet dem Admin die Möglichkeit auf beliebige Server per SSH zuzugreifen und dort die Konfiguration von verschiedenen Services zu erledigen. Die Daten der zu erstellenden Domains in Apache, User für den SSHD oder Zones für bind werden zentral in einem Model gespeichert und an die Server per SSH übertragen.

Hä?! Was also macht es jetzt praktisch?
Durch ein paar simple Zeilen kann man das Tool dazu veranlassen z.B. die VHost Config für Apache zu schreiben, bei dem entsprechenden User die Ordner für die Domain (inkl Log Dateien, etc. falls gewünscht) anzulegen und den chmod der Daten anzupassen.

Code:

<domain name="test.de">
<request service="apache" />
</domain>

Wie praktisch das ganze sein kann zeigt z.B. die Einrichtung einer Domain für SSL Benutzung. Das Tool erstellt automatisch die nötigen Zertifikate und signiert diese sogar bei Bedarf mit einem CA Key.

Und wie macht es das?
Das Tool liest das Model ein und verbindet sich zu den Ziel Hosts per SSH. Dort startet er einen Agent der mit aus dem Model die Konfiguration und benötigte Dateien generiert. Alle Änderungen an Dateien werden zunächst in einer Sandbox gemacht, welche vom Admin geprüft und commitet werden kann. Nur für den letzten Schritt ist dann auch ein root zugang zu dem Ziel Host notwendig.

Der aktuelle Stand:
Also das Framework funktioniert mitlerweile recht gut. Ich nutze es schon bei mir auf dem Server aber als stabil würde ich es sicher nicht verkaufen.
Ich habe auch eine erste Version der Generatoren für Apache, Unix User (also SSH Zugänge) und Bind Zones implementiert. Jedoch teilweise mit einigen Serverspezifischen Templates. Daran arbeite ich noch.

Ich will nicht dass mir ein Tool in der config rumbastelt:
Macht es auch nicht. So werden für den Apache z.B. nur die VHost Konfigurationen erzeugt die man in seine Apache Konfiguration verlinken kann. Auch bei den anderen Diensten will ich vermeiden dass das Tool irgendetwas undurchsichtiges macht. Der Admin sollte jederzeit über das was das Tool macht bescheid wissen.

Und ein paar Ausblicke:
Ich würde mit der Zeit gerne die konfigurierbaren Services erweitern. Datenbanken (Mysql, pgsql), iptables oder mail user wären auch noch eine nette Sache. Dann würde man einer zentralen Server konfiguration wirklich nahe kommen.
Zusätzlich spiele ich mit dem Gedanken einen TCP Server anzubieten den die Kunden mit Anfragen für neue Domains etc bombadieren können. Das Tool generiert die Konfiguration in einer Sandbox, validiert diese und schickt ne Mail an den Admin.
Dieser prüft alles und kann die Daten mit einem Befehl commiten. Oder man überspringt diesen Schritt und commitet automatisch. Doch automatisierte Tools die als root arbeiten entsprechen nicht so meinen Sicherheitsvorstellungen.

Ich würde gerne wissen was ihr von dem Projekt haltet. Seht ihr Anwendungsgebiet bei euch? Kennt ihr Projekte die ein ähnliches Problem lösen?
Für Vorschläge, Visionen und Kritik bin ich immer offen!

Schöne Grüße aus dem 3-Länder-Eck,
Dennis

MrNiceGuy · 14.04.2008, 11:43

Ansich finde ich die Idee sehr cool und hätte sicher auch selber Verwendung dafür, jedoch ist bei mir kein entsprechendes Aufkommen, als dass es sich zeitlich lohnen würde. Bei Leuten, die jedoch viel in dieser Hinsicht machen müssen, lohnt sich das aber bestimmt. Wichtig wäre dann aber auch die Möglichkeit einer Trennung bestimmter Optionen, so bekommt ja nicht jeder die selbe eMail-Adresse oder gleichviel Speicherplatz für den Webcontent oder Anzahl an Datenbanken. Hast du soetwas schon berücksichtigt?

xardias · 14.04.2008, 21:35

Ja daran habe ich auch schon gedacht. Aber ich habe mir noch keine großen Gedanken dazu gemacht da ich erstmal die Basis, also den Generator für Konfigurationen, Dateien etc stabil kriegen will.

Dann kann ich immernoch über ein Nutzerinterface nachdenken. Das Tool selbst bietet da erstmal keine Einschränkungen, die würde dann im TCP Server geprüft werden. Aber da User Objekte bereits im Model vorhanden sind kann man diese Prima für solche Rechteverteilungen und Beschränkunen verwenden.
Aber das ist erstmal Zukunftsmusik

13.04.2008, 23:52	Nach oben #1
xardias Wikinger Registriert seit: 02.03.2006 Ort: Aachen Beiträge: 191	Mal was für die Admins: Konfigurationstool für verteilte Services. Huhu allerseits, wo ich gerade ein paar Unterforen weiter eine Frage zu dem Tool gestellt habe würde ich das Programm hier gerne mal vorstellen: Welches Problem soll es lösen? Die Idee ist entstanden als ich es Leid war für jede neue Domain und neuen User die ich auf meinem Rootserver einrichten musste immer wieder die selben Schritte zu machen, und das eventuell noch auf verschiedenen Servern, V-Servern oder in verschiedenen Chroot Umgebungen. Dazu kam noch dass ich immer wieder den die selbe, ellenlange V-Host Konfig kopiert und angepasst habe. Für wen ist es gedacht? Für sicherheitsbewusste Admins die die Schmutzarbeit vereinfachen und beschleunigen wollen. Für "Wenn ich das installiere hab ich ein funktionierendes php+mysql system?!?!?!"-Leute ist es nicht gedacht, die Kontrolle bleibt beim Admin, es soll bloß ein paar Dinge vereinfachen. Was macht es? Es bietet dem Admin die Möglichkeit auf beliebige Server per SSH zuzugreifen und dort die Konfiguration von verschiedenen Services zu erledigen. Die Daten der zu erstellenden Domains in Apache, User für den SSHD oder Zones für bind werden zentral in einem Model gespeichert und an die Server per SSH übertragen. Hä?! Was also macht es jetzt praktisch? Durch ein paar simple Zeilen kann man das Tool dazu veranlassen z.B. die VHost Config für Apache zu schreiben, bei dem entsprechenden User die Ordner für die Domain (inkl Log Dateien, etc. falls gewünscht) anzulegen und den chmod der Daten anzupassen. Code: <domain name="test.de"> <request service="apache" /> </domain> Wie praktisch das ganze sein kann zeigt z.B. die Einrichtung einer Domain für SSL Benutzung. Das Tool erstellt automatisch die nötigen Zertifikate und signiert diese sogar bei Bedarf mit einem CA Key. Und wie macht es das? Das Tool liest das Model ein und verbindet sich zu den Ziel Hosts per SSH. Dort startet er einen Agent der mit aus dem Model die Konfiguration und benötigte Dateien generiert. Alle Änderungen an Dateien werden zunächst in einer Sandbox gemacht, welche vom Admin geprüft und commitet werden kann. Nur für den letzten Schritt ist dann auch ein root zugang zu dem Ziel Host notwendig. Der aktuelle Stand: Also das Framework funktioniert mitlerweile recht gut. Ich nutze es schon bei mir auf dem Server aber als stabil würde ich es sicher nicht verkaufen. Ich habe auch eine erste Version der Generatoren für Apache, Unix User (also SSH Zugänge) und Bind Zones implementiert. Jedoch teilweise mit einigen Serverspezifischen Templates. Daran arbeite ich noch. Ich will nicht dass mir ein Tool in der config rumbastelt: Macht es auch nicht. So werden für den Apache z.B. nur die VHost Konfigurationen erzeugt die man in seine Apache Konfiguration verlinken kann. Auch bei den anderen Diensten will ich vermeiden dass das Tool irgendetwas undurchsichtiges macht. Der Admin sollte jederzeit über das was das Tool macht bescheid wissen. Und ein paar Ausblicke: Ich würde mit der Zeit gerne die konfigurierbaren Services erweitern. Datenbanken (Mysql, pgsql), iptables oder mail user wären auch noch eine nette Sache. Dann würde man einer zentralen Server konfiguration wirklich nahe kommen. Zusätzlich spiele ich mit dem Gedanken einen TCP Server anzubieten den die Kunden mit Anfragen für neue Domains etc bombadieren können. Das Tool generiert die Konfiguration in einer Sandbox, validiert diese und schickt ne Mail an den Admin. Dieser prüft alles und kann die Daten mit einem Befehl commiten. Oder man überspringt diesen Schritt und commitet automatisch. Doch automatisierte Tools die als root arbeiten entsprechen nicht so meinen Sicherheitsvorstellungen. Ich würde gerne wissen was ihr von dem Projekt haltet. Seht ihr Anwendungsgebiet bei euch? Kennt ihr Projekte die ein ähnliches Problem lösen? Für Vorschläge, Visionen und Kritik bin ich immer offen! Schöne Grüße aus dem 3-Länder-Eck, Dennis Geändert von xardias (14.04.2008 um 00:33 Uhr)

14.04.2008, 11:43	Nach oben #2
MrNiceGuy Lutz Registriert seit: 14.08.2005 Ort: Nienburg / Weser Beiträge: 691	Ansich finde ich die Idee sehr cool und hätte sicher auch selber Verwendung dafür, jedoch ist bei mir kein entsprechendes Aufkommen, als dass es sich zeitlich lohnen würde. Bei Leuten, die jedoch viel in dieser Hinsicht machen müssen, lohnt sich das aber bestimmt. Wichtig wäre dann aber auch die Möglichkeit einer Trennung bestimmter Optionen, so bekommt ja nicht jeder die selbe eMail-Adresse oder gleichviel Speicherplatz für den Webcontent oder Anzahl an Datenbanken. Hast du soetwas schon berücksichtigt? __________________ Paradox ist, wenn jemand für seinen Alkoholkonsum geradestehen soll

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche

14.04.2008, 21:35	Nach oben #3
xardias Wikinger Registriert seit: 02.03.2006 Ort: Aachen Beiträge: 191	Ja daran habe ich auch schon gedacht. Aber ich habe mir noch keine großen Gedanken dazu gemacht da ich erstmal die Basis, also den Generator für Konfigurationen, Dateien etc stabil kriegen will. Dann kann ich immernoch über ein Nutzerinterface nachdenken. Das Tool selbst bietet da erstmal keine Einschränkungen, die würde dann im TCP Server geprüft werden. Aber da User Objekte bereits im Model vorhanden sind kann man diese Prima für solche Rechteverteilungen und Beschränkunen verwenden. Aber das ist erstmal Zukunftsmusik

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)