voorwoord
Ons "vriendskap" het twee jaar gelede begin. Ek het na 'n nuwe werksplek gekom, waar die vorige administrateur hierdie sagteware vryelik as 'n nalatenskap aan my nagelaat het. Op die internet, behalwe amptelike dokumentasie, kon niks gevind word nie. Selfs nou, as jy “roer” google, sal dit in 99% van die gevalle uitgee: skeepshelms en quadrocopters. Ek het daarin geslaag om 'n manier om dit te vind. Aangesien die gemeenskap van hierdie sagteware weglaatbaar is, het ek besluit om my ervaring en hark te deel. Ek dink dit sal nuttig wees vir iemand.
So Roer
Rudder is 'n oopbron-oudit- en konfigurasiebestuurhulpmiddel wat stelselkonfigurasie help outomatiseer. Dit werk volgens die beginsel om 'n agent vir elke eindgebruiker te installeer. Deur 'n gebruikersvriendelike koppelvlak kan ons sien hoe ons infrastruktuur aan alle gespesifiseerde beleide voldoen.
Gebruik
Hieronder sal ek lys waarvoor ek Rudder gebruik.
-
Lêer- en konfigurasiebeheer: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (en dan waarheen die fantasie sal lei)
-
Beheer van geïnstalleerde pakkette: zabbix.agent of enige ander sagteware
Bediener installasie
Ek het nou die dag opgegradeer van weergawe 5 na 6.1, alles het goed gegaan. Hieronder sal die opdragte vir Deban/Ubuntu wees, maar ook ondersteuning: и .
Ek sal die installasie in bederf wegsteek om nie jou aandag af te lei nie.
Spoiler
Afhanklikhede
roerbediener vereis ten minste Java RE weergawe 8, kan vanaf die standaard repository geïnstalleer word:
Kyk of dit geïnstalleer is
java -versionindien uitset
-bash: java: command not foundinstalleer dan
apt install default-jreBediener
Die invoer van die sleutel
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Hier is die afdruk
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Aangesien ons nie 'n betaalde intekening het nie, voeg ons die volgende bewaarplek by
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listDateer die lys van bewaarplekke op en installeer die bediener
apt update
apt install rudder-server-rootSkep 'n admin gebruiker
rudder server create-user -u admin -p "Ваш Пароль"In die toekoms kan ons gebruikers bestuur deur die konfigurasie
Alles, die bediener is gereed.
Bedienerinstelling
Nou moet jy die ip-adresse van agente of 'n hele subnet by die roeragent voeg, met die fokus op die sekuriteitsbeleid.
Instellings -> Algemeen
In die veld "Voeg 'n netwerk by" Voer die adres en masker in die formaat xxxx/xx in. Om toegang vanaf alle adresse van die interne netwerk toe te laat (As dit natuurlik 'n toetsnetwerk is en jy agter NAT is), voer in: 0.0.0.0/0
Belangrik - nadat jy die IP-adres bygevoeg het, moenie vergeet om Stoor veranderinge te klik nie, anders sal niks gestoor word nie.
hawens
Maak die volgende poorte op die bediener oop
-
443-tcp
-
5309-tcp
-
514-udp
Ons het die aanvanklike bedieneropstelling uitgepluis.
Die installering van die agent
Spoiler
Voeg 'n sleutel by
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Sleutel vingerafdruk
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Voeg 'n bewaarplek by
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listDie installering van die agent
apt update
apt install rudder-agentAgent opstelling
Spesifiseer die IP-adres van die beleidbediener aan die agent
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Deur die volgende opdrag uit te voer, sal ons 'n versoek stuur om 'n nuwe agent by die bediener te voeg, oor 'n paar minute sal dit in die lys van nuwe agente verskyn, ek sal verduidelik hoe om by te voeg in die volgende afdeling
rudder agent inventoryOns kan ook die agent dwing om te begin en dit sal 'n versoek onmiddellik stuur
rudder agent runOns agent is gereed, kom ons gaan aan.
Byvoeging van agente
Teken aan
https://127.0.0.1/rudder/index.html
Jou agent sal in die "Aanvaar nuwe nodusse"-afdeling verskyn, merk die blokkie en klik Aanvaar
Dit behoort 'n geruime tyd te neem vir die stelsel om die bediener na te gaan vir voldoening
Skep bedienergroepe
Kom ons skep 'n groep (dit is steeds vermaak), sonder 'n idee hoekom die ontwikkelaars so 'n aambei-formasie van groepe gemaak het, maar soos ek dit verstaan, is daar geen ander manier nie. Gaan na die Nodebestuur -> Groepe-afdeling en klik op Skep, kies 'n statiese groep en 'n naam.
Ons filter die bediener wat ons benodig volgens spesiale tekens, byvoorbeeld volgens IP-adres, en stoor
Die groep is gestig.
Stel reëls op
Gaan na Konfigurasiebeleid → Reëls en skep 'n nuwe reël
Voeg 'n groep by wat vroeër voorberei is (dit kan later gedoen word)
En ons vorm 'n nuwe richtlijn
Kom ons skep 'n opdrag vir die byvoeging van publieke sleutels by .ssh/authorized_keys. Ek gebruik dit wanneer 'n nuwe werknemer vertrek, of vir herversekering, byvoorbeeld, as iemand per ongeluk my sleutel uitsny.
Gaan na Konfigurasiebeleid → Riglyne aan die linkerkant sien ons "Directive library" Vind "Remote access → SSH gemagtigde sleutels", regs klik Skep richtlijn
Ons voer data oor die gebruiker in en voeg sy sleutel by. Kies dan 'n toepassingsbeleid
-
Globaal - verstekbeleid
-
Afdwing - Voer uit op geselekteerde bedieners
-
Oudit - Voer 'n oudit uit en vertel watter kliënte die sleutel het
Maak seker dat u ons reël spesifiseer
Stoor dan en jy is klaar.
Nagaan
Sleutel is suksesvol bygevoeg
Broodjies
Die agent gee volledige inligting oor die bediener. Lys van geïnstalleerde pakkette, koppelvlakke, oop poorte en nog baie meer, wat u in die skermkiekie hieronder kan sien
U kan ook sagteware installeer en beheer nie net op Linux nie, maar ook op Windows, ek het nie laasgenoemde nagegaan nie, dit was nie nodig nie ..
Van die outeur
Jy vra seker, hoekom die wiel herontdek as ansible en marionet lankal uitgevind is?
Ek antwoord: Ansible het nadele, byvoorbeeld, ons sien nie in watter toestand hierdie konfigurasie nou is nie, of almal ken die situasie wanneer jy 'n rol begin of speelboek en crash-foute vlieg, en jy begin op die bediener klim en sien watter pakket waar bygewerk is. En ek het net nie met marionet gewerk nie ..
Is daar enige nadele aan Rudder? Baie .. Begin van die feit dat agente afval en jy moet hulle weer installeer of die roer-terugstel-opdrag gebruik. (maar terloops, ek het dit nog nie in weergawe 6 gesien nie), eindig met 'n uiters komplekse opstelling en 'n onlogiese koppelvlak.
Is daar enige voordele? En daar is ook baie pluspunte: Anders as die bekende ansible, het ons 'n webkoppelvlak waarin ons die nakoming kan sien wat deur ons toegepas word. Byvoorbeeld, of poorte in die wêreld uitsteek, in watter toestand die firewall is, of sekuriteitsagente of ander verdwaalde geïnstalleer is.
Hierdie sagteware is perfek vir die inligtingsekuriteitsdepartement, aangesien die toestand van die infrastruktuur altyd voor u oë sal wees, en as enige van die reëls rooi lig, dan is dit 'n rede om die bediener te besoek. Soos ek gesê het, ek gebruik al vir 2 jaar Rudder, en as jy dit bietjie rook, dan word die lewe beter. Die moeilikste ding in 'n groot infrastruktuur is dat jy nie onthou in watter toestand die bediener is nie, of June gemis het om sekuriteitsagente te installeer of iptables korrek opgestel het, roer sal jou help om op hoogte te bly van alle gebeure. Bewus beteken gewapen! )
NS Dit het baie meer geword as wat ek beplan het, ek sal nie beskryf hoe om pakkette te installeer nie, as daar enige versoeke is, sal ek die tweede deel skryf.
PSS Die artikel is vir inligtingsdoeleindes, ek het besluit om dit te deel omdat daar baie min inligting op die internet is. Miskien sal dit vir iemand interessant wees. Lekker dag liewe vriende
Oor die regte van reklame
Epiese bedieners - Is of Windows met kragtige AMD EPYC-familieverwerkers en baie vinnige Intel NVMe-aandrywers. Maak gou om te bestel!
Bron: will.com