ClusevDocs
EN DE
Docs/Handbuch/Clusev v0.11 · beta

Clusev Dokumentation

Clusev ist eine selbstgehostete Kontrollebene für eine Flotte von Linux-Servern — ein sicherheitsorientiertes Dashboard, das Ihre Maschinen direkt über SSH verwaltet. Auf den verwalteten Servern wird nichts installiert und ihre Daemons werden nie nachgebaut; die realen werden orchestriert.

Neu hier?

Gehen Sie direkt zu ServeranforderungenInstallationErste Anmeldung. Die gesamte Installation ist ein einziger Befehl und in wenigen Minuten abgeschlossen.

So funktioniert es

Sie betreiben einen Docker-Stack auf einer VM — dem Panel-Host. Der Browser kommuniziert mit ihm über HTTPS und einen WebSocket für Live-Telemetrie. Clusev erreicht jeden Ihrer Server über SSH exec + SFTP (via phpseclib), mit Zugangsdaten, die in einem verschlüsselten Tresor versiegelt sind und die Kontrollebene nie verlassen.

Operator Clusev Kontrollebene Laravel Reverb MariaDB Redis verschlüsselter SSH-Tresor Schlüssel verlassen dies nie web-01db-01edge-01 Ihre Flotte HTTPS SSH · SFTP
Eine Kontrollebene auf einer VM — agentenlos per SSH zu jedem Server

Zwei Arten von Maschinen

Halten Sie diese auseinander — sie haben sehr unterschiedliche Anforderungen:

  • Der Panel-Host — die einzelne VM, auf der Clusev läuft (der Docker-Stack). Hier installieren Sie. Siehe Anforderungen.
  • Die von Ihnen verwalteten Server — alles Übrige in Ihrer Flotte. Sie brauchen keinerlei Installation — nur SSH-Erreichbarkeit vom Panel aus.
Dauerhaft kostenlos

Die Verwaltung von Server-Flotten ist niemals kostenpflichtig. Clusev ist Open Core (AGPL-3.0); optionale Pro-Module — SSO/LDAP, RBAC, Audit-Export, Alerting — sind separate Erweiterungen.

Serveranforderungen

Was Sie vor der Installation brauchen: eine kleine VM für das Panel und SSH-Zugriff auf die Server, die Sie verwalten möchten.

Der Panel-Host

Eine einzelne VM, die den gesamten Docker-Stack betreibt (App, MariaDB, Redis, Reverb, Queue). Bescheiden — ein VPS für 4 €/Monat reicht für eine kleine Flotte völlig aus.

Betriebssystem

Debian / Ubuntu
Debian 12/13 oder Ubuntu 22.04/24.04 · Root-Zugriff

CPU & Arbeitsspeicher

1 vCPU · 1 GB
2 GB RAM empfohlen als Reserve

Festplatte

~5 GB frei
10 GB+ empfohlen — Image + DB wachsen mit der Zeit

Netzwerk

Öffentliche IP
Ports 80/443 offen für automatisches HTTPS

Das einzige vorinstallierte Werkzeug, das Sie benötigen, ist git, um das Repo zu holen — der Installer richtet Docker und alles Weitere ein. Minimale Cloud-Images liefern oft ohne git aus; der Installationsbefehl zeigt, wie Sie es hinzufügen.

Die von Ihnen verwalteten Server

Diese brauchen keinerlei Installation. Clusev ist agentenlos — wie viel möglich ist, hängt allein davon ab, was das Ziel bereits ausführt:

  • Metriken (CPU, Arbeitsspeicher, Festplatte, Last) funktionieren auf praktisch jedem Linux mit einem standardmäßigen /proc.
  • Dienststeuerung (Start / Stopp / Neustart / Journal) benötigt systemd.
  • Härtung (Firewall + fail2ban + Auto-Updates) benötigt die Firewall des Hosts (ufw / firewalld) und eines von apt / dnf / zypper.

Die einzige zwingende Voraussetzung ist SSH-Erreichbarkeit vom Panel-Host aus. Siehe die vollständige Matrix unter Unterstützte Systeme.

Ports

Das Panel bedient Ihren gewählten HTTP-Port (Standard 80). Für automatisches HTTPS via Let's Encrypt müssen die Ports 80 und 443 öffentlich erreichbar sein. Ausgehend muss das Panel den SSH-Port jedes verwalteten Servers erreichen (üblicherweise 22).

Installation

Ein Befehl. Der Installer ist idempotent — gefahrlos wiederholbar — und richtet Docker, alle Geheimnisse, die Datenbank und den ersten Admin in einem Durchlauf ein.

Panel-Host — als root
# minimale Images haben oft kein git
sudo apt-get update && apt-get install -y git
git clone https://github.com/clusev/clusev.git
cd clusev
sudo ./install.sh

Was der Installer tut

  1. Installiert Docker

    Auf Debian/Ubuntu aus dem offiziellen Docker-Repository — sofern nicht bereits vorhanden.

  2. Legt einen clusev System-Benutzer an

    Ein dedizierter, unprivilegierter Benutzer in der docker-Gruppe, dem der Stack gehört und der ihn ausführt — mit eigenem Zufallspasswort.

  3. Fragt nur zwei Dinge ab

    Den HTTP-Port (Standard 80) und eine Admin-E-Mail (Standard admin@clusev.local). Nach einer Domain wird nicht gefragt — die legen Sie später im Dashboard fest. Setzen Sie CLUSEV_ADMIN_EMAIL / CLUSEV_DOMAIN in der Umgebung vor, für eine vollständig unbeaufsichtigte Installation.

  4. Baut und startet alles

    Erzeugt alle Geheimnisse einmalig (bei erneutem Lauf nie neu generiert), baut das Image, startet den Stack, führt Migrationen aus und erstellt den ersten Administrator mit einem zufälligen Initialpasswort.

  5. Gibt die Abschluss-Zusammenfassung aus

    Die Dashboard-URL, Ihren Admin-Login + Initialpasswort sowie den clusev Host-Benutzer + dessen Passwort. Beide Passwörter werden nur einmal angezeigt — notieren Sie sie.

root@panel: ~/clusev ✓ Clusev läuft. ────────────────────────────────────────────── Dashboardhttp://203.0.113.10 Admin-Loginadmin@clusev.local Initialpasswortq7F2-··········-9dLx Host-Benutzerclusev Host-Passwort·············· ────────────────────────────────────────────── ! Nur einmal sichtbar — jetzt speichern.
Die Abschluss-Zusammenfassung — der einzige Ort, an dem diese Passwörter erscheinen
Zusammenfassung sichern

Kopieren Sie das Admin- und das Host-Passwort, bevor Sie das Terminal schließen. Falls Sie das Admin-Passwort verlieren, können Sie es trotzdem wiederherstellen — siehe Wiederherstellung.

Erste Anmeldung

Öffnen Sie die Dashboard-URL aus der Zusammenfassung und melden Sie sich mit Ihrer Admin-E-Mail und dem Initialpasswort an.

http://203.0.113.10 Bei Clusev anmelden admin@clusev.local •••••••••••• Anmelden
Das Panel ist standardmäßig auf Deutsch (Englisch verfügbar) — der Status wird mit Farbe angezeigt, nie mit Emoji

Eigenes Passwort setzen

Ein eigenes Passwort zu setzen ist empfohlen — ein Banner erinnert Sie weiterhin daran, bis Sie es tun — aber nicht mehr erzwungen, sodass eine verpasste Erinnerung Sie nie aus Ihrem eigenen Panel aussperren kann. Ändern Sie es (und die Login-E-Mail) jederzeit unter Einstellungen → Profil.

2FA aktivieren (optional)

Zwei-Faktor-Authentifizierung ist optional, aber empfohlen. Unter Einstellungen → Sicherheit können Sie eine TOTP-App und/oder einen Hardware-Sicherheitsschlüssel aktivieren und Einmal-Backup-Codes erzeugen. Siehe 2FA, Audit & Sitzungen.

Die geführte Tour

Bei der ersten Anmeldung hebt eine kurze geführte Tour die wichtigsten Bereiche hervor — den Flotten-Umschalter, das Dashboard, das Terminal und die Einstellungen. Wiederholen Sie sie jederzeit über die Einstellungen.

Sprache — Deutsch & Englisch

Die Oberfläche liefert in Deutsch (Standard) und Englisch aus — jeder Bildschirm, jede Beschriftung und jede Meldung ist vollständig übersetzt. Wechseln Sie die Sprache jederzeit unter Einstellungen → Profil; nur native technische Bezeichner (nginx.service, SSH, 2FA) bleiben unübersetzt.

Server hinzufügen

Fügen Sie eine Maschine hinzu, indem Sie Clusev eine Adresse und SSH-Zugangsdaten geben. Auf dem Ziel wird nichts installiert — die erste Verbindung funktioniert einfach.

Clusev Dashboard ServerDiensteDateienAudit Server hinzufügen NAMEweb-01 HOST203.0.113.42 PORT22 AUTH SSH-Schlüssel Passwort Verbinden
Server-hinzufügen-Formular — Name, Host, Port und entweder ein SSH-Schlüssel oder ein Passwort

SSH-Zugangsdaten & der Tresor

Authentifizieren Sie sich mit einem privaten SSH-Schlüssel (empfohlen) oder einem Passwort. Was auch immer Sie eingeben, wird im Ruhezustand im Zugangsdaten-Tresor verschlüsselt und nur innerhalb der Kontrollebene entschlüsselt, um eine Verbindung zu öffnen — es erreicht nie den Browser und verlässt nie den Panel-Host.

Geringste Rechte

Verwenden Sie nach Möglichkeit einen dedizierten Schlüssel pro Server. Später kann Clusevs geführter Härtungsablauf einen Schlüssel erzeugen und die Passwortanmeldung deaktivieren — auf dem Ziel und sicher — siehe Firewall & Härtung.

Der Flotten-Umschalter

Einmal hinzugefügt, ist jede Seite — Dashboard, Dienste, Dateien, Terminal — auf den aktuell ausgewählten Server bezogen. Wechseln Sie über den Umschalter oben in der App durch Ihre gesamte Flotte. Server hinzuzufügen ist stets kostenlos und nie beschränkt.

Dashboard & Metriken

Live-CPU, -Arbeitsspeicher, -Last und -Festplatte pro Server, in Echtzeit über einen privaten WebSocket-Kanal gestreamt.

Das Dashboard liest Metriken aus dem /proc des Ziels über SSH und überträgt sie über einen authentifizierten Reverb-Kanal an Ihren Browser — die gesamte Flotte auf einen Blick, live aktualisiert. Die Seite Serverdetails ergänzt Identität, Ressourcen-Anzeigen, Spezifikationen, Volumes, Netzwerkschnittstellen und SSH-Schlüssel für einen einzelnen Host.

Privat by design

Jeder Echtzeitkanal ist authentifiziert — Flotten-Telemetrie wird nie über einen öffentlichen Kanal gesendet. Metriken funktionieren auf praktisch jedem Linux mit /proc, ohne Agenten.

Dienste & Dateien

systemd-Dienste

Units auflisten, sie starten / stoppen / neustarten und das Live-Journal verfolgen — pro Dienst, pro Server, ohne das Panel zu verlassen. Erfordert systemd auf dem Ziel; wo es fehlt, wird die Dienststeuerung als nicht verfügbar angezeigt, statt stillschweigend fehlzuschlagen.

SFTP-Dateimanager

Durchsuchen Sie das entfernte Dateisystem über SFTP, bearbeiten Sie Textdateien direkt, zeigen Sie Bilder in der Vorschau an und laden Sie hoch / herunter. Dieselbe verschlüsselte SSH-Sitzung wie alles andere — kein zusätzlicher Daemon auf dem Ziel.

Web-Terminal

Ein vollständiges SSH-Terminal im Browser — eines pro Server, plus eines für den Clusev-Host selbst.

web-01 · ssh Host-Key gepinnt clusev@web-01:~$systemctl status nginx nginx.service — A high performance web server Active: active (running)since Tue 09:14 Main PID: 812 (nginx) clusev@web-01:~$tail -f /var/log/ echtes PTY · Tab-Vervollständigung · größenbewusst
Ein echtes interaktives PTY über SSH — der Host-Key der Verbindung ist gegen MITM gepinnt

Das Terminal ist ein echtes PTY mit Tab-Vervollständigung und Fenster-Größenanpassung, vom Browser per SSH über ein kleines Sidecar überbrückt. Bei der ersten Verbindung wird der Host-Key des Servers gepinnt; ändert er sich jemals, bricht Clusev die Verbindung geschlossen ab, statt einem möglichen Man-in-the-Middle stillschweigend zu vertrauen. Es gibt außerdem ein Terminal für den Clusev-Host selbst, sodass Sie die Panel-VM ohne separaten SSH-Client verwalten können.

2FA, Audit & Sitzungen

Modulare Zwei-Faktor-Authentifizierung, ein manipulationssicheres Audit-Log und Sitzungssteuerung pro Gerät.

Zwei-Faktor-Authentifizierung

Aktivieren Sie TOTP (jede Authenticator-App) und/oder einen Hardware-Sicherheitsschlüssel unter Einstellungen → Sicherheit, oder lassen Sie 2FA aus — es ist optional, aber empfohlen. Erzeugen Sie Einmal-Backup-Codes und bewahren Sie sie sicher auf; sie sind Ihr Notfallzugang, falls Sie Ihr Gerät verlieren.

Audit-Log

Jede Aktion wird in einem vollständigen, durchsuchbaren, manipulationssicheren Audit-Log festgehalten und dem Administrator zugeordnet, der sie ausgeführt hat.

Administratoren & Sitzungen

Fügen Sie weitere Admin-Konten unter Einstellungen hinzu. Sehen Sie aktive Sitzungen pro Gerät und widerrufen Sie diese einzeln, pro Benutzer oder global. Die SSH-Zugangsdaten für Ihre Flotte bleiben durchgehend im verschlüsselten Tresor versiegelt.

Firewall & Härtung

Firewall- und fail2ban-Steuerung mit einem Klick, plus ein geführter Ablauf, um SSH abzusichern, ohne sich selbst auszusperren.

  • Firewallufw / firewalld-Regeln pro Server von der Serverdetails-Seite aus ansehen und bearbeiten.
  • fail2ban — Jail-Status einsehen und den Schutz mit einem Klick umschalten.
  • SSH-Schlüssel-Ablauf — eine geführte Sequenz „einen SSH-Schlüssel erzeugen und die Passwortanmeldung sicher deaktivieren“, die den Schlüsselzugang vor dem Abschalten der Passwörter überprüft, damit eine Fehlkonfiguration Sie nicht aussperren kann.
  • Automatische Updates — unbeaufsichtigte Sicherheits-Upgrades aktivieren, wo der Paketmanager es unterstützt.
Verfügbarkeit hängt vom Ziel ab

Die Härtung nutzt die hosteigene Firewall und den Paketmanager. Auf Systemen ohne diese (z. B. Alpine/OpenRC) wird die Aktion als nicht verfügbar angezeigt, statt stillschweigend fehlzuschlagen. Siehe Unterstützte Systeme.

WireGuard

Richten Sie einen WireGuard-Tunnel direkt vom Dashboard aus ein, verwalten Sie Peers und Live-Status — und beschränken Sie das Panel optional auf den Tunnel.

  1. Ersteinrichtung

    Erstellen Sie die WireGuard-Schnittstelle vom Dashboard aus — das Host-Gate stellt die Serverschlüssel und Konfiguration für Sie bereit.

  2. Peers hinzufügen

    Erzeugen Sie Peer-Konfigurationen (mit QR-Code fürs Mobilgerät), sehen Sie den Live-Handshake-Status und den Traffic-Verlauf pro Peer und entfernen Sie Peers, wenn sie nicht mehr gebraucht werden.

  3. Panel beschränken (optional)

    Beschränken Sie den Zugriff auf Clusev — und sogar auf SSH — allein auf den Tunnel, sodass das Dashboard überhaupt nicht mehr im öffentlichen Internet erreichbar ist.

Sperren Sie sich nicht selbst aus

Bevor Sie das Panel auf WireGuard beschränken, stellen Sie sicher, dass Ihr Tunnel tatsächlich verbindet. Der Wiederherstellungspfad über die reine IP http://<server-ip> bleibt bestehen, aber richten Sie zuerst einen funktionierenden Peer ein und testen Sie ihn.

Domain & TLS

Auf einer reinen IP über HTTP betreiben, eine Domain für automatisches HTTPS hinzufügen oder hinter dem eigenen Reverse-Proxy laufen — wechseln Sie die Modi jederzeit im Dashboard.

Reine IP reines HTTP · stets verfügbarer Wiederherstellungspfad Browserhttp://203.0.113.10 Domain + Let's Encrypt automatisches HTTPS · Zertifikate für Sie bezogen & erneuert Browserhttps://panel.example.com Externer Reverse-Proxy Proxy terminiert TLS · Panel liefert HTTP, vertraut dem weitergeleiteten Schema BrowserProxyClusev :80
Drei Zugriffsmodi — einstellbar unter System → Domain & TLS

Reine IP (keine Domain)

Über reines HTTP unter http://<server-ip> ausgeliefert. Diese Adresse bleibt stets als Wiederherstellungspfad erreichbar, auch nachdem Sie eine Domain konfiguriert haben.

Mit einer Domain

Legen Sie sie jederzeit unter System → Domain & TLS fest (oder setzen Sie CLUSEV_DOMAIN bei der Installation vor). Das Panel bezieht und erneuert automatisch ein Let's-Encrypt-Zertifikat und liefert HTTPS aus — richten Sie einfach DNS auf den Server. Let's Encrypt benötigt die öffentlich erreichbaren Ports 80/443.

Hinter Ihrem eigenen Reverse-Proxy

Wenn ein Proxy TLS bereits terminiert, stellen Sie die TLS-Terminierung auf Externer Reverse-Proxy. Das Panel liefert dann nur HTTP aus und vertraut dem vom Proxy weitergeleiteten Schema — setzen Sie TRUSTED_PROXY_CIDR auf die Adresse des Proxys und schotten Sie den HTTP-Port per Firewall so ab, dass nur der Proxy ihn erreichen kann.

Änderungen anwenden

Domain-/TLS-Änderungen werden bei einem Stack-Neustart wirksam — nutzen Sie die Schaltfläche „Jetzt neu starten“ in System. Kein Terminal nötig; ein kleiner, eng begrenzter Host-Dienst führt den Neustart aus. Das panelinterne SMTP (für Passwort-Zurücksetzen-Mails) wird auf demselben Bildschirm konfiguriert.

Aktualisieren

Ein Befehl holt den neuesten Code, baut dann neu, startet neu und migriert — unter Beibehaltung Ihrer Geheimnisse, Domain- und E-Mail-Einstellungen.

Panel-Host — als root
sudo clusev update   # pull → rebuild → restart → migrate

sudo clusev update spult das Repo per Fast-Forward vor (lokale Änderungen werden nie verworfen), führt den idempotenten Installer nicht-interaktiv erneut aus und aktualisiert sich selbst, falls sich das Skript geändert hat. Der ältere Zweischritt git pull && sudo ./install.sh funktioniert weiterhin.

Gefahrlos wiederholbar

Sowohl Installer als auch Updater sind idempotent. Geheimnisse werden einmalig erzeugt und nie neu generiert; Ihre konfigurierte Domain und E-Mail bleiben über Updates hinweg erhalten.

Wiederherstellung

Ausgesperrt? Es gibt immer einen Weg zurück — zunächst Selbstbedienung, der Host-Befehl als letztes Mittel.

Selbstbedienungs-Zurücksetzung

Der Passwort-vergessen-Bildschirm bietet einen E-Mail-Reset-Link (15 Minuten gültig), wenn SMTP konfiguriert ist, oder als Rückfalloption eine 2FA-gestützte Zurücksetzung — E-Mail + ein TOTP-Code oder Backup-Code + ein neues Passwort.

Vollständig ausgesperrt

Passwort und 2FA verloren, ohne SMTP? Stellen Sie vom Panel-Host aus wieder her:

Panel-Host
clusev reset-admin

Dies löscht den zweiten Faktor, sodass Sie bei der nächsten Anmeldung ein neues Passwort setzen können. Die reine-IP-Adresse http://<server-ip> ist ebenfalls immer verfügbar, falls eine Domain unerreichbar wird.

Im Panel dokumentiert

Dieser Befehl wird auch unter Einstellungen → Sicherheit angezeigt und bewusst vom öffentlichen Passwort-vergessen-Bildschirm ferngehalten.

Unterstützte Systeme

Clusev verwaltet, was immer es über SSH erreichen kann. Wie viel funktioniert, hängt vom Init-System und Paketmanager des Ziels ab.

OS-FamilieMetrikensystemd-DiensteHärtung
Debian · Ubuntu (+ Derivate)JaJaJa
RHEL · Fedora · Rocky · Alma · CentOS Stream · Amazon LinuxJaJaJa
openSUSE · SLESJaJaJa
ArchJaJaNoch nicht (pacman nicht angebunden)
Alpine (OpenRC)JaKein systemdNein
Anderes / unbekanntes LinuxFalls /proc vorhandenNeinNein

Metriken lesen aus /proc und funktionieren auf praktisch jedem Linux. Dienststeuerung benötigt systemd. Härtung nutzt die Firewall des Hosts (ufw / firewalld) und den Paketmanager (apt / dnf / zypper); wo diese fehlen, wird die Aktion als nicht verfügbar angezeigt, statt fehlzuschlagen.

FAQ

Muss ich etwas auf den verwalteten Servern installieren?

Nein. Clusev ist agentenlos — es verbindet sich über SSH (exec + SFTP). Die einzige Maschine, die Software ausführt, ist der Panel-Host.

Ist die Verwaltung mehrerer Server wirklich kostenlos?

Ja — Flottenverwaltung ist niemals kostenpflichtig. Clusev ist Open Core unter AGPL-3.0. Optionale Pro-Module (SSO/LDAP, RBAC, Audit-Export, Alerting) sind separate Erweiterungen.

Wo werden meine SSH-Zugangsdaten gespeichert?

Im Ruhezustand verschlüsselt in einem Tresor auf dem Panel-Host. Sie werden nur innerhalb der Kontrollebene entschlüsselt, um eine Verbindung zu öffnen, und nie an den Browser gesendet.

Wo liegen meine Daten?

Vollständig auf Ihrer VM. Clusev ist selbstgehostet — Ihre Server, Ihre Datenbank, Ihre Schlüssel. Nichts telefoniert nach Hause.

Clusev — Open Core, AGPL-3.0 · © 2026 clusev.com · GitHub