Abo
  • Services:

Verschlüsselter Zugriff auf bunte Oberfläche

Cockpit lässt sich via HTTPS über den Browser auf TCP-Port 9090 erreichen. Besitzt der Server beispielsweise die IP-Adresse 192.168.100.11, muss die URL https://192.168.100.11:9090 aufgerufen werden. Unter Umständen muss noch die Firewall für den Dienst geöffnet werden. Unter Fedora 21 Workstation übernehmen das die beiden Befehle:

Stellenmarkt
  1. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln
  2. Lidl Digital, Neckarsulm

firewall-cmd --reload
firewall-cmd --add-service=cockpit

Die Firewall in Fedora 21 Server akzeptiert bereits von Haus aus Verbindungen auf Port 9090. Das sollten Admins insbesondere dann beachten, wenn der Zugriff auf Cockpit verboten werden soll. Wer einen anderen Port bevorzugt, muss die Einstellung ListenStream in der für Systemd bestimmten Konfigurationsdatei cockpit.socket anpassen. Diese Datei liegt normalerweise im Ordner /usr/lib/systemd/system/, anschließend muss Systemd die Änderungen übernehmen:

systemctl daemon-reload
systemctl restart cockpit.socket

Cockpit erzwingt eine gesicherte Verbindung via HTTPS und leitet HTTP-Anfragen automatisch um. Dabei kommt ein selbst signiertes Zertifikat zum Einsatz, das der Betreiber beim ersten Zugriff auf Cockpit im Browser akzeptieren muss. Eine Ausnahme bildet der Zugriff auf den Server selbst über http://localhost:9090. Hierbei erlaubt Cockpit auch unverschlüsselte Verbindungen.

  • Während Cockpit 0.27 die angemeldeten Hosts direkt auf der Startseite präsentiert... (Bild: Screenshot Linux Magazin)
  • ...muss in aktuellen Versionen zum »Dashboard« gewechselt werden. Die Bedienung der beiden Versionen unterscheidet sich jedoch nur marginal.  (Bild: Screenshot Linux Magazin)
  • Auf dieser Übersichtsseite trägt Cockpit alle relevanten Informationen und Funktionen über das ausgewählte System zusammen, welche die... (Bild: Screenshot Linux Magazin)
  •  ...alte Cockpit-Version unter Fedora 21 noch auf diese sowie die Seite hinter dem Menüpunkt »System Information« verteilt. (Bild: Screenshot Linux Magazin)
  • Über den Button »Configure« (hier unter dem älteren Cockpit 0.27) lassen sich DNS-Server und Routing einrichten. (Bild: Screenshot Linux Magazin)
  • Das per »adduser« über die Kommandozeile hinzugefügte Benutzerkonto taucht auch direkt in Cockpit auf (hier unter der Version 0.27). (Bild: Screenshot Linux Magazin)
  • Für jede Aufgabe bemüht Cockpit eine eigene Komponente. (Bild: Screenshot Linux Magazin)
Auf dieser Übersichtsseite trägt Cockpit alle relevanten Informationen und Funktionen über das ausgewählte System zusammen, welche die... (Bild: Screenshot Linux Magazin)

Wer ein eigenes Zertifikat nutzen möchte, muss es als cert-Datei mit eben dieser Endung im Verzeichnis /etc/cockpit/ws-certs.d ablegen. Lagern dort mehrere Zertifikate, verwendet Cockpit immer die erste Datei in alphabetischer Sortierung. Das Zertifikat a.cert erhält folglich den Vorzug vor z.cert. Sofern im besagten Verzeichnis kein Zertifikat liegt, erstellt Cockpit automatisch selbst eines. Fedora 21 liegt bereits ein selbst signiertes Zertifikat /etc/cockpit/ws-certs.d/~self-signed.cert bei.

Die Kommunikation mit dem Browser verschlüsselt Cockpit via TLS und aktuellen Verschlüsselungsverfahren. Die als unsicher geltenden Standards SSLv3.0 und RC4 sind deaktiviert.

Klickibunti

Die gleiche Kombination aus Benutzername und Passwort, die auch für ein direktes Login auf dem Server genutzt wird, wird zum Anmelden bei Cockpit eingesetzt. Verbietet das verwaltete Linux-System beispielsweise, ein Benutzerkonto einzurichten, blockiert Cockpit diese Aktion ebenfalls. Für den vollen Zugriff auf das System müssen Systemverwalter folglich als Root-Benutzer mit Cockpit arbeiten.

Am Steuerknüppel

Auf seiner Startseite bietet Cockpit zunächst alle ihm bekannten Server zur Auswahl an. Direkt nach der Installation ist dies nur der Server, auf dem Cockpit selbst läuft. Neuere Cockpit-Versionen präsentieren an dieser Stelle hingegen stets Informationen über den Server.

Die Server-Auswahl versteckt sich dabei hinter dem Dashboard. Per Add Host - oder bei neueren Varianten über das Plus-Symbol - können weitere Maschinen hinzugefügt werden. Cockpit benötigt dazu lediglich die IP-Adresse oder den Hostnamen des Servers sowie den Benutzernamen und das Passwort des Admins. Die Software meldet sich dann mit diesen Daten auf der neuen Maschine an und befragt sie nach den benötigten Informationen. Tritt dabei ein Fehler auf, gibt es allerdings keine Fehlermeldung, der Server fehlt dann schlicht in der Liste.

Der zu steuernde Server kann mit einem Klick auf die entsprechende Zeile ausgewählt werden, zum Beispiel mit einem Klick auf localhost. Cockpit liefert jetzt sekündlich aktualisierte Informationen über die Auslastung der wichtigsten Hardwarekomponenten. Das Menü auf der linken Seite erlaubt den Zugriff auf alle wichtigen Funktionen und Aktionen. Beispielsweise gewährt ein Klick auf Journal Einblick in das Systemd-Journal, während unter User Accounts beziehungsweise Tools | Administrator Accounts die Benutzerkonten verwaltet werden.

In der schwarzen Leiste am oberen Seitenrand führt Cockpit eine Brotkrumen-Leiste: Ein Klick auf einen der Punkte führt wieder zurück zur entsprechenden Seite. Hinter Hosts beziehungsweise Dashboard wartet dabei die Liste mit allen Servern.

 Cockpit angesehen: Die einfache Steuerzentrale für Linux-ServerFunktionsstau, Rettungsanker und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. 75€
  2. 849€ statt 1.148€ (Bestpreis!)
  3. (heute u. a. ausgewählte ASUS- und LG-Angebote)
  4. (Total War Warhammer 2 für 23,99€, Battlefield 1 - Revolution Edition für 23,49€ und...

DaKine23 11. Jul 2015

Also ich sehe hier wurde reichlich geschrieben und das Programm wurde sich reichlich...

elcravo 10. Jul 2015

Was ist das Problem mit Nagios/Icinga? Scheinbar kannste es nicht bedienen und flamest...

User_x 10. Jul 2015

Hab selbst eine vm als honeypot ...das einzige was ich gesperrt gabe sind filesharing...

User_x 09. Jul 2015

Nach oben sind bekanntlich keine grenzen gesetzt (ilo, durch firewall etc). Hängt auch...

rugel 09. Jul 2015

Gerade logstash ist runter gefallen. Da kommt leider die Einschränkung von ElasticSearch...


Folgen Sie uns
       


Nach E-Fail, was tun ohne sichere E-Mails - Livestream

Die E-Fail genannte Sicherheitslücke betrifft die standardisierten E-Mail-Verschlüsselungsverfahren OpenPGP und S/MIME. Im Livestream diskutieren wir den technischen Hintergrund der zuletzt aufgedeckten Lücken und besprechen, was Nutzer nun tun können, wenn sie ihre Nachrichten weiter sicher verschicken wollen.

Nach E-Fail, was tun ohne sichere E-Mails - Livestream Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    PGP/SMIME: Die wichtigsten Fakten zu Efail
    PGP/SMIME
    Die wichtigsten Fakten zu Efail

    Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
    Eine Analyse von Hanno Böck

    1. Sicherheitslücke in Mailclients E-Mails versenden als potus@whitehouse.gov

      •  /