مقدمة
بدأت "صداقتنا" منذ عامين. لقد جئت إلى مكان عمل جديد، حيث ترك لي المشرف السابق عرضًا هذا البرنامج كميراث. لم أتمكن من العثور على أي شيء على الإنترنت بخلاف الوثائق الرسمية. حتى الآن، إذا بحثت عن "الدفة" في جوجل، ففي 99٪ من الحالات، ستجد: خوذات السفن والمروحيات الرباعية. تمكنت من العثور على نهج له. وبما أن مجتمع هذا البرنامج لا يكاد يذكر، فقد قررت أن أشارك تجربتي وأشعل النار. أعتقد أن هذا سيكون مفيدًا لشخص ما.
حتى الدفة
Rudder عبارة عن أداة مساعدة مفتوحة المصدر لإدارة التدقيق والتكوين تساعد في أتمتة تكوين النظام. إنه يعمل على مبدأ تثبيت وكيل لكل مستخدم نهائي. ومن خلال واجهة سهلة الاستخدام، يمكننا مراقبة مدى امتثال بنيتنا التحتية لجميع السياسات المحددة.
استخدام
أدناه سأدرج ما أستخدمه من أجل Rudder.
-
التحكم في الملفات والتكوينات: ./ssh/authorized_keys ; /الخ/المضيفين؛ إيتابلز. (ثم إلى أين يقود خيالك)
-
التحكم في الحزم المثبتة: zabbix.agent أو أي برنامج آخر
تثبيت الخادم
لقد قمت مؤخرًا بالتحديث من الإصدار 5 إلى 6.1، وكل شيء سار على ما يرام. فيما يلي أوامر Deban/Ubuntu ولكن يوجد أيضًا دعم: и .
سأخفي التثبيت في المفسدين حتى لا يصرف انتباهك.
المفسد
التبعيات
يتطلب خادم الدفة Java RE الإصدار 8 على الأقل، ويمكن تثبيته من المستودع القياسي:
التحقق لمعرفة ما إذا كان تم تثبيته
java -versionإذا كان الاستنتاج
-bash: java: command not foundثم قم بالتثبيت
apt install default-jreالخادم
استيراد المفتاح
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -وهنا الطباعة نفسها
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8نظرًا لعدم وجود اشتراك مدفوع لدينا، فإننا نضيف المستودع التالي
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listقم بتحديث قائمة المستودعات وتثبيت الخادم
apt update
apt install rudder-server-rootإنشاء مسؤول المستخدم
rudder server create-user -u admin -p "Ваш Пароль"في المستقبل يمكننا إدارة المستخدمين من خلال التكوين
هذا كل شيء، الخادم جاهز.
ضبط الخادم
أنت الآن بحاجة إلى إضافة عناوين IP الخاصة بالوكلاء أو شبكة فرعية كاملة إلى وكيل الدفة، ونحن نركز على سياسة الأمان.
الإعدادات -> عام
في الحقل "إضافة شبكة"، أدخل العنوان والقناع بالتنسيق xxxx/xx. من أجل السماح بالوصول من جميع عناوين الشبكة الداخلية (ما لم تكن هذه شبكة اختبار بالطبع وأنت خلف NAT) أدخل: 0.0.0.0/0
هام - بعد إضافة عنوان IP، لا تنس النقر فوق "حفظ التغييرات"، وإلا فلن يتم حفظ أي شيء.
الموانئ
افتح المنافذ التالية على الخادم
-
443 - برنامج التعاون الفني
-
5309 - برنامج التعاون الفني
-
514 - يو دي بي
لقد قمنا بفرز الإعداد الأولي للخادم.
تثبيت الوكيل
المفسد
إضافة مفتاح
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -بصمة مفتاح
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8إضافة مستودع
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listتثبيت الوكيل
apt update
apt install rudder-agentإعداد الوكيل
نشير إلى الوكيل بعنوان IP الخاص بخادم السياسة
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя من خلال تشغيل الأمر التالي، سنرسل طلبًا لإضافة وكيل جديد إلى الخادم، وفي بضع دقائق سيظهر في قائمة الوكلاء الجدد، وسأشرح كيفية الإضافة في القسم التالي
rudder agent inventoryيمكننا أيضًا إجبار الوكيل على البدء وسيرسل الطلب على الفور
rudder agent runتم إعداد وكيلنا، فلننتقل.
إضافة وكلاء
تسجيل الدخول
https://127.0.0.1/rudder/index.html
سيظهر وكيلك في قسم "قبول العقد الجديدة"، حدد المربع وانقر فوق "قبول".
من المفترض أن يستغرق الأمر بعض الوقت حتى يتحقق النظام من امتثال الخادم
إنشاء مجموعات الخادم
لنقم بإنشاء مجموعة (لا يزال هذا أمرًا ترفيهيًا)، وليس لدي أي فكرة عن سبب قيام المطورين بتشكيل مجموعة شنيعة كهذه، ولكن كما أفهمها، لا توجد طريقة أخرى. انتقل إلى إدارة العقدة -> قسم المجموعات وانقر على إنشاء، وحدد مجموعة ثابتة واسمًا.
نقوم بتصفية الخادم الذي نحتاجه حسب الميزات الخاصة، على سبيل المثال، حسب عنوان IP، وحفظه
تم إعداد المجموعة.
وضع القواعد
انتقل إلى سياسة التكوين → القواعد وقم بإنشاء قاعدة جديدة
إضافة المجموعة التي تم إعدادها مسبقًا (يمكن القيام بذلك لاحقًا)
ونحن نشكل توجيها جديدا
لنقم بإنشاء توجيه لإضافة المفاتيح العامة إلى .ssh/authorized_keys. أستخدم هذا عندما يغادر موظف جديد، أو لإعادة التأمين، على سبيل المثال، إذا قام شخص ما بقطع مفتاحي عن طريق الخطأ.
انتقل إلى سياسة التكوين ← التوجيهات على اليسار نرى "مكتبة التوجيه" ابحث عن "الوصول عن بعد ← مفاتيح SSH المعتمدة"، على اليمين انقر فوق "إنشاء توجيه"
نقوم بإدخال معلومات حول المستخدم وإضافة مفتاحه. بعد ذلك، حدد سياسة التطبيق
-
عالمي - السياسة الافتراضية
-
فرض - تنفيذ على خوادم محددة
-
التدقيق - سيتم إجراء التدقيق وإخبار العملاء الذين لديهم المفتاح
تأكد من الإشارة إلى قاعدتنا
ثم احفظ وانتهيت.
مراجعة
تمت إضافة المفتاح بنجاح
أرداف
يوفر الوكيل معلومات كاملة عن الخادم. قوائم الحزم والواجهات والمنافذ المفتوحة المثبتة وغير ذلك الكثير، والتي يمكنك رؤيتها في لقطة الشاشة أدناه
يمكنك أيضًا تثبيت البرنامج والتحكم فيه ليس فقط على Linux ولكن أيضًا على Windows، ولم أتحقق من الأخير، ولم تكن هناك حاجة..
من المؤلف
قد تتساءل، لماذا نعيد اختراع العجلة إذا كان الدمى وغير الدمى قد تم اختراعهما منذ زمن طويل؟
أجيب: لدى Ansible بعض العيوب، على سبيل المثال، لا نرى الحالة التي وصل إليها هذا التكوين الآن، أو الوضع المألوف عند تشغيل دور أو دليل التشغيل وتظهر أخطاء التعطل، وتبدأ في الصعود إلى الخادم وترى ما هي الحزمة التي تم تحديثها حيث. ولم أعمل إلا مع الدمية..
هل هناك أي عيوب في رودر؟ كثيرًا.. بدءًا من سقوط العملاء ويجب عليك إعادة تثبيتهم أو استخدام أمر إعادة تعيين الدفة. (ولكن بالمناسبة، لم أر هذا في الإصدار 6 بعد)، مما أدى إلى إعداد معقد للغاية وواجهة غير منطقية.
هل هناك أي مزايا؟ وهناك أيضًا الكثير من المزايا: على عكس Ansible المعروفة، لدينا واجهة ويب يمكنك من خلالها رؤية الامتثال الذي طبقناه. على سبيل المثال، هل المنافذ بارزة في العالم، أو ما هي حالة جدار الحماية، أو هل تم تثبيت عملاء الأمان أو الأدوات الذكية الأخرى.
يعد هذا البرنامج مثاليًا لقسم أمن المعلومات، نظرًا لأن حالة البنية التحتية ستكون دائمًا أمام عينيك، وإذا أضاءت أي من القواعد باللون الأحمر، فهذا سبب لزيارة الخادم. كما قلت، أستخدم Rudder منذ عامين، وإذا دخنته قليلاً، تتحسن الحياة. أصعب شيء في البنية التحتية الكبيرة هو أنك لا تتذكر الحالة التي يوجد بها الخادم، سواء أخطأ يونيو في تثبيت عوامل الأمان أو ما إذا كان قد قام بتكوين iptables بشكل صحيح، ولكن الدفة ستساعدك على مواكبة جميع الأحداث. علم يعني مسلح! )
ملاحظة: لقد اتضح أكثر بكثير مما خططت له، ولن أصف كيفية تثبيت الحزم، وإذا ظهرت طلبات فجأة، سأكتب الجزء الثاني.
PSS المقالة لأغراض إعلامية، قررت مشاركتها نظرًا لوجود القليل جدًا من المعلومات على الإنترنت. ربما سيكون هذا مثيرًا للاهتمام لشخص ما. أتمنى لكم يومًا سعيدًا أيها الأصدقاء الأعزاء)
كإعلان
خوادم ملحمية - هو أو Windows مع معالجات عائلة AMD EPYC القوية ومحركات أقراص Intel NVMe السريعة جدًا. عجلوا للطلب!
المصدر: www.habr.com