Interfejs webowy do zarządzania serwerem dostępowym (linux), Problematyka ogólna ( praca inż. ) Opcje

[bor1904]

Witam wszystkich serdecznie.Jest to mój pierwszy post na tym forum i mam nadzieje, że da to początek przyjemnej współpracy (IMG:style_emoticons/default/smile.gif)


Mam do wykonania prace inż. na temat: "INTERFEJS WEBOWY DO ZARZĄDZANIA ZAPORĄ SIECIOWĄ I PODZIAŁEM PASMA NA SERWERZE DOSTĘPOWYM (LINUKS)".Jest wiele rzeczy w tej pracy, które są dla mnie oczywiste i zrozumiałe jednak mam kilka istotnych wątpliwości.

Praca ma się składać z części teoretycznej (polityka zarządzanie zaporą sieciową-bezpieczeństwem, zarządzanie pasmem, techniki tworzenia stron WWW itd) oraz praktycznej(projekt i implementacja interfejsu + dokumentacja).

Jeżeli chodzi o sam interfejs:
-najistotniejsze to to aby był bardzo łatwy i w implementacji i obsłudze (uniwersalny) -> ktoś ma serwer dostepowy na Linuksie w swojej domowej/osiedlowej/akademikowej sieci i chce sobie umilić zarządzanie nim więc wrzuca kilka plików na swój serwer i cieszy sie graficznym zarządzaniem.
-jest to narzędzie kierowane do amatorów i średnich oraz małych sieci
-trzeba zadbać o średniej klasy bezpieczeństwo( z uwagi na niską szkodliwość ewentualnego włamania )
-panel ma być oczywiście napisany głównie w PHP ( choć mam zamiar zrobić np suwaki do ustalania limitów transferowych działające bez odświeżania strony - w czym to powinienem zrobić ?)


Największą moją bolączką jest zapewnienie optymalnego bezpieczeństwa możliwie jak najmniejszym nakładem sił(z punktu widzenia wdrażającej to osoby)..... (IMG:style_emoticons/default/worriedsmiley.gif)

Promotor proponował rozejrzeć sie za ssh...kerberos,SSL czy innym tego typu rozwiązaniem.
Inny wykładowca z politechniki twierdził że dobry panel logowania w PHP wystarczy dla zapewnienia bezpieczeństwa na tym poziomie, jednak żeby "sam skrypt" nie mieszał w systemie zaproponował aby skrypt tworzył skrypt w shell'u, a cron np. co 2 min będzie sprawdzał czy taki skrypt istnieje, wykonywał go z odpowiednimi uprawnieniami i po chwili go usuwał.
Koledzy z forum traktującym o środowiskach UNIX'owych rozważali CGI, specyficzne porty nasłuchiwania, serwer WWW za serwerem WWW,.htaccess oraz niebezpośrednio związane z bezpieczeństwem REST
Dziś wpadłem tu na forum na coś co nazywa sie suEXEC.....

Jest pewnie jeszcze kilka rzeczy, o których nie wiem więc wybór jest dość spory, a co powinienem wybrać ? Jak takie rzeczy robi się najprofesjonalniej ?

(IMG:style_emoticons/default/worriedsmiley.gif)
Z góry dziękuję za odpowiedz na moje podstawowe pytania oraz za wszystkie wskazówki odnośnie samej pracy.
(łącznie z opiniami na temat samego tematu/przydatności takiej aplikacji/kierunku myślenia autora-oczywiście poparte argumentami (IMG:style_emoticons/default/smile.gif) )

Pozdrawiam
bor1904

[bor1904]

Dziękuję za odpowiedz po raz kolejny:)

Co do D-Linka faktycznie mają to bardzo intuicyjnie i przejrzyście zrobione i jak już chyba pisałem "chętnie zgapie" z tego typu urządzenia.

"SSL ( http://pl.wikipedia.org/wiki/Transport_Layer_Security ) czyli wchodzisz na panel www firewall'a poprzez szyfrowane połączenie https


Samo logowanie powinno być dwuetapowe. Skorzystanie z zabezpieczenia do sekcji skryptów poprzez autentykację serwera www. Czyli wywołujesz stronę i zanim cokolwiek Ci się wyświetli wyskakuje okienko"

To wszystko rozumiem i sie z tym zgadzam.

""Ale gdzie będziesz przecowywał hasła!!!"."

Tu akurat bym sie jakoś specjalnie nie przejmował ponieważ nic nadzwyczajnego nie wymyślimy tzn musi zostać .htpasswd i co do hasła z PHP to planuje skorzystać z sqlite i hashu (nawet MD5 choć da sie go połamać).


"Dobrze ale czy to oznacza, ze do panelu masz mieć dostęp z WAN'u? "
-Tu zacząłem myśleć i coraz bardziej sie zastanawiam czy ma sens logowanie z WAN.

Pierwsza sprawa że tego nie ma obsługiwać zew. technik bo założeniem jest prostota i intuicyjność.Druga sprawa zmiana "parametrów" odnośnie możliwości w sieci lokalnej przeważnie wywołana jest przez osobe zarządzającą siecią gdy poczuje dyskomfort pracy .... Ewentualnie w panelu można odchaczyć zdalny dostęp ale wtedy SSH było by jedyną opcją.

Można by podejść ambitniejdo sprawy i zabawić sie w VPN ale to raczej skomplikuje sprawe tak bardzo że robienie super prostego panela minie sie z celem ...:/ ? Czy sie myle ?

"Założenia:

1. W systemie jest zainstalowane SVN

Schemat:

1. PHP przygotowuje wszystkie zmiany jakie mają być wykonane w firewall'u w postaci skryptu bash
2. Użytkownik naciska zapisz
3. Nowa konfiguracja zapisuje się do pliku - to nie jest główny plik z którego czyta firewall - plik jest pod kontrolą svn
4. Wykonujesz commit svn
5. w pre-commit sprawdzasz zapisany przed chwilą plik czy jest taki jak się spodziewasz (czy występują tylko takie instrukcje jakie są dopuszczalne) i jeżeli tak to wykonujesz commit jeżeli nie wywalasz ten plik i robisz svn update na katalogu gdzie zachowuje serwer WWW - masz przywróconą poprzednią wersję
6. Jeżeli commit dojdzie do skutku (wykona się prawidłowo) wtedy w postcommit wykonujesz aktualizację svn pliku konfiga firewall'a (produkcyjnego) i restartujesz firewall winksmiley.jpg
7. cieszysz się bezpieczeństwem z weryfikacją <:F>"

Jestem w pracy i nie mam czasu za wiele szukać ale nie chwytam co to SVN ..[*]commit itd, jednak wydaje mi sie że chodzi Ci po pierwsze o dwuetapowość tzn najpierw grzebiemy w panelu potem dostajemy listing tego co nagrzebaliśmy i zatwierdzamy lub nie. Zakładając że bylo wszystko ok pojawia sie taka miejwiecej sytuacja jak przy zmianie rozdzielczości w Win. tzn wdrażane są zmiany jednak można samemu lub automatycznie po określonym czasie powraca do działającej konfiguracji. Czy to mniejwiecej o to chodziło ?


Jeszcze pytanie jak tworzyć te wszystkie pliki ? shell_exec ?jakieś CGI ?


Jeszcze raz dziekuje za pomoc