Clusev Dokumentation
Clusev ist eine selbstgehostete Kontrollebene für eine Flotte von Linux-Servern — ein sicherheitsorientiertes Dashboard, das Ihre Maschinen direkt über SSH verwaltet. Auf den verwalteten Servern wird nichts installiert und ihre Daemons werden nie nachgebaut; die realen werden orchestriert.
Gehen Sie direkt zu Serveranforderungen → Installation → Erste Anmeldung. Die gesamte Installation ist ein einziger Befehl und in wenigen Minuten abgeschlossen.
So funktioniert es
Sie betreiben einen Docker-Stack auf einer VM — dem Panel-Host. Der Browser kommuniziert mit ihm über HTTPS und einen WebSocket für Live-Telemetrie. Clusev erreicht jeden Ihrer Server über SSH exec + SFTP (via phpseclib), mit Zugangsdaten, die in einem verschlüsselten Tresor versiegelt sind und die Kontrollebene nie verlassen.
Zwei Arten von Maschinen
Halten Sie diese auseinander — sie haben sehr unterschiedliche Anforderungen:
- Der Panel-Host — die einzelne VM, auf der Clusev läuft (der Docker-Stack). Hier installieren Sie. Siehe Anforderungen.
- Die von Ihnen verwalteten Server — alles Übrige in Ihrer Flotte. Sie brauchen keinerlei Installation — nur SSH-Erreichbarkeit vom Panel aus.
Die Verwaltung von Server-Flotten ist niemals kostenpflichtig. Clusev ist Open Core (AGPL-3.0); optionale Pro-Module — SSO/LDAP, RBAC, Audit-Export, Alerting — sind separate Erweiterungen.
Serveranforderungen
Was Sie vor der Installation brauchen: eine kleine VM für das Panel und SSH-Zugriff auf die Server, die Sie verwalten möchten.
Der Panel-Host
Eine einzelne VM, die den gesamten Docker-Stack betreibt (App, MariaDB, Redis, Reverb, Queue). Bescheiden — ein VPS für 4 €/Monat reicht für eine kleine Flotte völlig aus.
Betriebssystem
CPU & Arbeitsspeicher
Festplatte
Netzwerk
Das einzige vorinstallierte Werkzeug, das Sie benötigen, ist git, um das Repo zu holen — der Installer richtet Docker und alles Weitere ein. Minimale Cloud-Images liefern oft ohne git aus; der Installationsbefehl zeigt, wie Sie es hinzufügen.
Die von Ihnen verwalteten Server
Diese brauchen keinerlei Installation. Clusev ist agentenlos — wie viel möglich ist, hängt allein davon ab, was das Ziel bereits ausführt:
- Metriken (CPU, Arbeitsspeicher, Festplatte, Last) funktionieren auf praktisch jedem Linux mit einem standardmäßigen
/proc. - Dienststeuerung (Start / Stopp / Neustart / Journal) benötigt systemd.
- Härtung (Firewall + fail2ban + Auto-Updates) benötigt die Firewall des Hosts (
ufw/firewalld) und eines vonapt/dnf/zypper.
Die einzige zwingende Voraussetzung ist SSH-Erreichbarkeit vom Panel-Host aus. Siehe die vollständige Matrix unter Unterstützte Systeme.
Das Panel bedient Ihren gewählten HTTP-Port (Standard 80). Für automatisches HTTPS via Let's Encrypt müssen die Ports 80 und 443 öffentlich erreichbar sein. Ausgehend muss das Panel den SSH-Port jedes verwalteten Servers erreichen (üblicherweise 22).
Installation
Ein Befehl. Der Installer ist idempotent — gefahrlos wiederholbar — und richtet Docker, alle Geheimnisse, die Datenbank und den ersten Admin in einem Durchlauf ein.
# minimale Images haben oft kein git
sudo apt-get update && apt-get install -y git
git clone https://github.com/clusev/clusev.git
cd clusev
sudo ./install.sh
Was der Installer tut
Installiert Docker
Auf Debian/Ubuntu aus dem offiziellen Docker-Repository — sofern nicht bereits vorhanden.
Legt einen
clusevSystem-Benutzer anEin dedizierter, unprivilegierter Benutzer in der
docker-Gruppe, dem der Stack gehört und der ihn ausführt — mit eigenem Zufallspasswort.Fragt nur zwei Dinge ab
Den HTTP-Port (Standard
80) und eine Admin-E-Mail (Standardadmin@clusev.local). Nach einer Domain wird nicht gefragt — die legen Sie später im Dashboard fest. Setzen SieCLUSEV_ADMIN_EMAIL/CLUSEV_DOMAINin der Umgebung vor, für eine vollständig unbeaufsichtigte Installation.Baut und startet alles
Erzeugt alle Geheimnisse einmalig (bei erneutem Lauf nie neu generiert), baut das Image, startet den Stack, führt Migrationen aus und erstellt den ersten Administrator mit einem zufälligen Initialpasswort.
Gibt die Abschluss-Zusammenfassung aus
Die Dashboard-URL, Ihren Admin-Login + Initialpasswort sowie den
clusevHost-Benutzer + dessen Passwort. Beide Passwörter werden nur einmal angezeigt — notieren Sie sie.
Kopieren Sie das Admin- und das Host-Passwort, bevor Sie das Terminal schließen. Falls Sie das Admin-Passwort verlieren, können Sie es trotzdem wiederherstellen — siehe Wiederherstellung.
Erste Anmeldung
Öffnen Sie die Dashboard-URL aus der Zusammenfassung und melden Sie sich mit Ihrer Admin-E-Mail und dem Initialpasswort an.
Eigenes Passwort setzen
Ein eigenes Passwort zu setzen ist empfohlen — ein Banner erinnert Sie weiterhin daran, bis Sie es tun — aber nicht mehr erzwungen, sodass eine verpasste Erinnerung Sie nie aus Ihrem eigenen Panel aussperren kann. Ändern Sie es (und die Login-E-Mail) jederzeit unter Einstellungen → Profil.
2FA aktivieren (optional)
Zwei-Faktor-Authentifizierung ist optional, aber empfohlen. Unter Einstellungen → Sicherheit können Sie eine TOTP-App und/oder einen Hardware-Sicherheitsschlüssel aktivieren und Einmal-Backup-Codes erzeugen. Siehe 2FA, Audit & Sitzungen.
Die geführte Tour
Bei der ersten Anmeldung hebt eine kurze geführte Tour die wichtigsten Bereiche hervor — den Flotten-Umschalter, das Dashboard, das Terminal und die Einstellungen. Wiederholen Sie sie jederzeit über die Einstellungen.
Sprache — Deutsch & Englisch
Die Oberfläche liefert in Deutsch (Standard) und Englisch aus — jeder Bildschirm, jede Beschriftung und jede Meldung ist vollständig übersetzt. Wechseln Sie die Sprache jederzeit unter Einstellungen → Profil; nur native technische Bezeichner (nginx.service, SSH, 2FA) bleiben unübersetzt.
Server hinzufügen
Fügen Sie eine Maschine hinzu, indem Sie Clusev eine Adresse und SSH-Zugangsdaten geben. Auf dem Ziel wird nichts installiert — die erste Verbindung funktioniert einfach.
SSH-Zugangsdaten & der Tresor
Authentifizieren Sie sich mit einem privaten SSH-Schlüssel (empfohlen) oder einem Passwort. Was auch immer Sie eingeben, wird im Ruhezustand im Zugangsdaten-Tresor verschlüsselt und nur innerhalb der Kontrollebene entschlüsselt, um eine Verbindung zu öffnen — es erreicht nie den Browser und verlässt nie den Panel-Host.
Verwenden Sie nach Möglichkeit einen dedizierten Schlüssel pro Server. Später kann Clusevs geführter Härtungsablauf einen Schlüssel erzeugen und die Passwortanmeldung deaktivieren — auf dem Ziel und sicher — siehe Firewall & Härtung.
Der Flotten-Umschalter
Einmal hinzugefügt, ist jede Seite — Dashboard, Dienste, Dateien, Terminal — auf den aktuell ausgewählten Server bezogen. Wechseln Sie über den Umschalter oben in der App durch Ihre gesamte Flotte. Server hinzuzufügen ist stets kostenlos und nie beschränkt.
Dashboard & Metriken
Live-CPU, -Arbeitsspeicher, -Last und -Festplatte pro Server, in Echtzeit über einen privaten WebSocket-Kanal gestreamt.
Das Dashboard liest Metriken aus dem /proc des Ziels über SSH und überträgt sie über einen authentifizierten Reverb-Kanal an Ihren Browser — die gesamte Flotte auf einen Blick, live aktualisiert. Die Seite Serverdetails ergänzt Identität, Ressourcen-Anzeigen, Spezifikationen, Volumes, Netzwerkschnittstellen und SSH-Schlüssel für einen einzelnen Host.
Jeder Echtzeitkanal ist authentifiziert — Flotten-Telemetrie wird nie über einen öffentlichen Kanal gesendet. Metriken funktionieren auf praktisch jedem Linux mit /proc, ohne Agenten.
Dienste & Dateien
systemd-Dienste
Units auflisten, sie starten / stoppen / neustarten und das Live-Journal verfolgen — pro Dienst, pro Server, ohne das Panel zu verlassen. Erfordert systemd auf dem Ziel; wo es fehlt, wird die Dienststeuerung als nicht verfügbar angezeigt, statt stillschweigend fehlzuschlagen.
SFTP-Dateimanager
Durchsuchen Sie das entfernte Dateisystem über SFTP, bearbeiten Sie Textdateien direkt, zeigen Sie Bilder in der Vorschau an und laden Sie hoch / herunter. Dieselbe verschlüsselte SSH-Sitzung wie alles andere — kein zusätzlicher Daemon auf dem Ziel.
Web-Terminal
Ein vollständiges SSH-Terminal im Browser — eines pro Server, plus eines für den Clusev-Host selbst.
Das Terminal ist ein echtes PTY mit Tab-Vervollständigung und Fenster-Größenanpassung, vom Browser per SSH über ein kleines Sidecar überbrückt. Bei der ersten Verbindung wird der Host-Key des Servers gepinnt; ändert er sich jemals, bricht Clusev die Verbindung geschlossen ab, statt einem möglichen Man-in-the-Middle stillschweigend zu vertrauen. Es gibt außerdem ein Terminal für den Clusev-Host selbst, sodass Sie die Panel-VM ohne separaten SSH-Client verwalten können.
2FA, Audit & Sitzungen
Modulare Zwei-Faktor-Authentifizierung, ein manipulationssicheres Audit-Log und Sitzungssteuerung pro Gerät.
Zwei-Faktor-Authentifizierung
Aktivieren Sie TOTP (jede Authenticator-App) und/oder einen Hardware-Sicherheitsschlüssel unter Einstellungen → Sicherheit, oder lassen Sie 2FA aus — es ist optional, aber empfohlen. Erzeugen Sie Einmal-Backup-Codes und bewahren Sie sie sicher auf; sie sind Ihr Notfallzugang, falls Sie Ihr Gerät verlieren.
Audit-Log
Jede Aktion wird in einem vollständigen, durchsuchbaren, manipulationssicheren Audit-Log festgehalten und dem Administrator zugeordnet, der sie ausgeführt hat.
Administratoren & Sitzungen
Fügen Sie weitere Admin-Konten unter Einstellungen hinzu. Sehen Sie aktive Sitzungen pro Gerät und widerrufen Sie diese einzeln, pro Benutzer oder global. Die SSH-Zugangsdaten für Ihre Flotte bleiben durchgehend im verschlüsselten Tresor versiegelt.
Firewall & Härtung
Firewall- und fail2ban-Steuerung mit einem Klick, plus ein geführter Ablauf, um SSH abzusichern, ohne sich selbst auszusperren.
- Firewall —
ufw/firewalld-Regeln pro Server von der Serverdetails-Seite aus ansehen und bearbeiten. - fail2ban — Jail-Status einsehen und den Schutz mit einem Klick umschalten.
- SSH-Schlüssel-Ablauf — eine geführte Sequenz „einen SSH-Schlüssel erzeugen und die Passwortanmeldung sicher deaktivieren“, die den Schlüsselzugang vor dem Abschalten der Passwörter überprüft, damit eine Fehlkonfiguration Sie nicht aussperren kann.
- Automatische Updates — unbeaufsichtigte Sicherheits-Upgrades aktivieren, wo der Paketmanager es unterstützt.
Die Härtung nutzt die hosteigene Firewall und den Paketmanager. Auf Systemen ohne diese (z. B. Alpine/OpenRC) wird die Aktion als nicht verfügbar angezeigt, statt stillschweigend fehlzuschlagen. Siehe Unterstützte Systeme.
WireGuard
Richten Sie einen WireGuard-Tunnel direkt vom Dashboard aus ein, verwalten Sie Peers und Live-Status — und beschränken Sie das Panel optional auf den Tunnel.
Ersteinrichtung
Erstellen Sie die WireGuard-Schnittstelle vom Dashboard aus — das Host-Gate stellt die Serverschlüssel und Konfiguration für Sie bereit.
Peers hinzufügen
Erzeugen Sie Peer-Konfigurationen (mit QR-Code fürs Mobilgerät), sehen Sie den Live-Handshake-Status und den Traffic-Verlauf pro Peer und entfernen Sie Peers, wenn sie nicht mehr gebraucht werden.
Panel beschränken (optional)
Beschränken Sie den Zugriff auf Clusev — und sogar auf SSH — allein auf den Tunnel, sodass das Dashboard überhaupt nicht mehr im öffentlichen Internet erreichbar ist.
Bevor Sie das Panel auf WireGuard beschränken, stellen Sie sicher, dass Ihr Tunnel tatsächlich verbindet. Der Wiederherstellungspfad über die reine IP http://<server-ip> bleibt bestehen, aber richten Sie zuerst einen funktionierenden Peer ein und testen Sie ihn.
Domain & TLS
Auf einer reinen IP über HTTP betreiben, eine Domain für automatisches HTTPS hinzufügen oder hinter dem eigenen Reverse-Proxy laufen — wechseln Sie die Modi jederzeit im Dashboard.
Reine IP (keine Domain)
Über reines HTTP unter http://<server-ip> ausgeliefert. Diese Adresse bleibt stets als Wiederherstellungspfad erreichbar, auch nachdem Sie eine Domain konfiguriert haben.
Mit einer Domain
Legen Sie sie jederzeit unter System → Domain & TLS fest (oder setzen Sie CLUSEV_DOMAIN bei der Installation vor). Das Panel bezieht und erneuert automatisch ein Let's-Encrypt-Zertifikat und liefert HTTPS aus — richten Sie einfach DNS auf den Server. Let's Encrypt benötigt die öffentlich erreichbaren Ports 80/443.
Hinter Ihrem eigenen Reverse-Proxy
Wenn ein Proxy TLS bereits terminiert, stellen Sie die TLS-Terminierung auf Externer Reverse-Proxy. Das Panel liefert dann nur HTTP aus und vertraut dem vom Proxy weitergeleiteten Schema — setzen Sie TRUSTED_PROXY_CIDR auf die Adresse des Proxys und schotten Sie den HTTP-Port per Firewall so ab, dass nur der Proxy ihn erreichen kann.
Domain-/TLS-Änderungen werden bei einem Stack-Neustart wirksam — nutzen Sie die Schaltfläche „Jetzt neu starten“ in System. Kein Terminal nötig; ein kleiner, eng begrenzter Host-Dienst führt den Neustart aus. Das panelinterne SMTP (für Passwort-Zurücksetzen-Mails) wird auf demselben Bildschirm konfiguriert.
Aktualisieren
Ein Befehl holt den neuesten Code, baut dann neu, startet neu und migriert — unter Beibehaltung Ihrer Geheimnisse, Domain- und E-Mail-Einstellungen.
sudo clusev update # pull → rebuild → restart → migrate
sudo clusev update spult das Repo per Fast-Forward vor (lokale Änderungen werden nie verworfen), führt den idempotenten Installer nicht-interaktiv erneut aus und aktualisiert sich selbst, falls sich das Skript geändert hat. Der ältere Zweischritt git pull && sudo ./install.sh funktioniert weiterhin.
Sowohl Installer als auch Updater sind idempotent. Geheimnisse werden einmalig erzeugt und nie neu generiert; Ihre konfigurierte Domain und E-Mail bleiben über Updates hinweg erhalten.
Wiederherstellung
Ausgesperrt? Es gibt immer einen Weg zurück — zunächst Selbstbedienung, der Host-Befehl als letztes Mittel.
Selbstbedienungs-Zurücksetzung
Der Passwort-vergessen-Bildschirm bietet einen E-Mail-Reset-Link (15 Minuten gültig), wenn SMTP konfiguriert ist, oder als Rückfalloption eine 2FA-gestützte Zurücksetzung — E-Mail + ein TOTP-Code oder Backup-Code + ein neues Passwort.
Vollständig ausgesperrt
Passwort und 2FA verloren, ohne SMTP? Stellen Sie vom Panel-Host aus wieder her:
clusev reset-admin
Dies löscht den zweiten Faktor, sodass Sie bei der nächsten Anmeldung ein neues Passwort setzen können. Die reine-IP-Adresse http://<server-ip> ist ebenfalls immer verfügbar, falls eine Domain unerreichbar wird.
Dieser Befehl wird auch unter Einstellungen → Sicherheit angezeigt und bewusst vom öffentlichen Passwort-vergessen-Bildschirm ferngehalten.
Unterstützte Systeme
Clusev verwaltet, was immer es über SSH erreichen kann. Wie viel funktioniert, hängt vom Init-System und Paketmanager des Ziels ab.
| OS-Familie | Metriken | systemd-Dienste | Härtung |
|---|---|---|---|
| Debian · Ubuntu (+ Derivate) | Ja | Ja | Ja |
| RHEL · Fedora · Rocky · Alma · CentOS Stream · Amazon Linux | Ja | Ja | Ja |
| openSUSE · SLES | Ja | Ja | Ja |
| Arch | Ja | Ja | Noch nicht (pacman nicht angebunden) |
| Alpine (OpenRC) | Ja | Kein systemd | Nein |
| Anderes / unbekanntes Linux | Falls /proc vorhanden | Nein | Nein |
Metriken lesen aus /proc und funktionieren auf praktisch jedem Linux. Dienststeuerung benötigt systemd. Härtung nutzt die Firewall des Hosts (ufw / firewalld) und den Paketmanager (apt / dnf / zypper); wo diese fehlen, wird die Aktion als nicht verfügbar angezeigt, statt fehlzuschlagen.
FAQ
Muss ich etwas auf den verwalteten Servern installieren?
Nein. Clusev ist agentenlos — es verbindet sich über SSH (exec + SFTP). Die einzige Maschine, die Software ausführt, ist der Panel-Host.
Ist die Verwaltung mehrerer Server wirklich kostenlos?
Ja — Flottenverwaltung ist niemals kostenpflichtig. Clusev ist Open Core unter AGPL-3.0. Optionale Pro-Module (SSO/LDAP, RBAC, Audit-Export, Alerting) sind separate Erweiterungen.
Wo werden meine SSH-Zugangsdaten gespeichert?
Im Ruhezustand verschlüsselt in einem Tresor auf dem Panel-Host. Sie werden nur innerhalb der Kontrollebene entschlüsselt, um eine Verbindung zu öffnen, und nie an den Browser gesendet.
Wo liegen meine Daten?
Vollständig auf Ihrer VM. Clusev ist selbstgehostet — Ihre Server, Ihre Datenbank, Ihre Schlüssel. Nichts telefoniert nach Hause.