Müqəddimə
Bizim “dostluğumuz” iki il əvvəl başlayıb. Mən yeni bir iş yerinə gəldim, orada əvvəlki admin təsadüfən bu proqramı mənə miras olaraq qoyub getdi. İnternetdə rəsmi sənədlərdən başqa heç nə tapa bilmədim. İndi də, google-də “sükan” axtarsanız, 99% hallarda bu, gəmi sükanları və kvadrokopterlərlə çıxacaq. Mən ona yaxınlaşmağı bacardım. Bu proqram təminatının icması əhəmiyyətsiz olduğundan, təcrübəmi və dırmıqımı bölüşmək qərarına gəldim. Düşünürəm ki, bu kiməsə faydalı olacaq.
Belə ki, Rudder
Rudder, sistem konfiqurasiyasını avtomatlaşdırmağa kömək edən açıq mənbəli audit və konfiqurasiya idarəetmə proqramıdır. Hər bir son istifadəçi üçün agent quraşdırmaq prinsipi üzərində işləyir. Rahat interfeys vasitəsilə biz infrastrukturumuzun müəyyən edilmiş bütün siyasətlərə nə dərəcədə uyğun olduğuna nəzarət edə bilərik.
Istifadə
Aşağıda Rudder-dan nə üçün istifadə etdiyimi sadalayacağam.
-
Fayllara və konfiqurasiyalara nəzarət: ./ssh/authorized_keys ; /etc/hosts ; iptables; (və sonra təsəvvürünüz hara gedir)
-
Quraşdırılmış paketlərə nəzarət: zabbix.agent və ya hər hansı digər proqram
Server quraşdırılması
Bu yaxınlarda 5-dən 6.1-ə qədər yenilədim, hər şey yaxşı getdi. Aşağıda Deban/Ubuntu üçün əmrlər var, lakin dəstək də var: и .
Sizi yayındırmamaq üçün quraşdırmanı spoylerlərdə gizlədəcəm.
spoiler
Asılılıqlar
rudder-server Java RE-nin ən azı 8 versiyasını tələb edir, standart depodan quraşdırıla bilər:
Quraşdırılıb-qurulmadığı yoxlanılır
java -versionnəticə çıxarsa
-bash: java: command not foundsonra quraşdırın
apt install default-jreServer
Açarın idxalı
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Budur çapın özü
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Ödənişli abunəliyimiz olmadığı üçün aşağıdakı deponu əlavə edirik
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listDepoların siyahısını yeniləyin və serveri quraşdırın
apt update
apt install rudder-server-rootİstifadəçi admini yaradın
rudder server create-user -u admin -p "Ваш Пароль"Gələcəkdə konfiqurasiya vasitəsilə istifadəçiləri idarə edə bilərik
Budur, server hazırdır.
Server Sazlama
İndi siz agentlərin IP ünvanlarını və ya bütün alt şəbəkəni sükan agentinə əlavə etməlisiniz, biz diqqəti təhlükəsizlik siyasətinə yönəldirik.
Parametrlər -> Ümumi
“Şəbəkə əlavə et” sahəsinə ünvanı və maskanı xxxx/xx formatında daxil edin. Daxili şəbəkənin bütün ünvanlarından girişə icazə vermək üçün (Əlbəttə bu sınaq şəbəkəsi olmasa və siz NAT-ın arxasında olmasanız) daxil edin: 0.0.0.0/0
Əhəmiyyətli - ip ünvanını əlavə etdikdən sonra Dəyişiklikləri yadda saxla düyməsini vurmağı unutmayın, əks halda heç nə yadda saxlanmayacaq.
Limanlar
Serverdə aşağıdakı portları açın
-
443 - tcp
-
5309 - tcp
-
514 - udp
Biz ilkin server quraşdırmasını sıraladıq.
Agentin quraşdırılması
spoiler
Açar əlavə etmək
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Açar barmaq izi
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Repozitorun əlavə edilməsi
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listAgentin quraşdırılması
apt update
apt install rudder-agentAgent quraşdırma
Biz agentə siyasət serverinin IP ünvanını göstəririk
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Aşağıdakı əmri işlətməklə biz serverə yeni agent əlavə etmək üçün sorğu göndərəcəyik, bir neçə dəqiqədən sonra o, yeni agentlər siyahısında görünəcək, növbəti bölmədə necə əlavə edəcəyimi izah edəcəyəm.
rudder agent inventoryBiz həmçinin agenti işə başlamağa məcbur edə bilərik və o, sorğunu dərhal göndərəcək
rudder agent runAgentimiz quruldu, davam edək.
Agentlərin əlavə edilməsi
Daxil ol
https://127.0.0.1/rudder/index.html
Agentiniz "Yeni qovşaqları qəbul et" bölməsində görünəcək, qutuyu işarələyin və Qəbul et düyməsini basın
Sistem serveri uyğunluq üçün yoxlayana qədər bir az vaxt lazımdır
Server qruplarının yaradılması
Gəlin bir qrup yaradaq (bu, hələ də əyləncədir), tərtibatçıların niyə belə iyrənc bir qrup formalaşması etdiklərini bilmirəm, amma başa düşdüyüm kimi, başqa yol yoxdur. Node management -> Groups bölməsinə gedin və Create düyməsini klikləyin, statik qrup və ad seçin.
Bizə lazım olan serveri xüsusi xüsusiyyətlərə görə, məsələn, ip ünvanına görə filtrləyirik və saxlayırıq
Qrup qurulur.
Qaydaların qurulması
Konfiqurasiya siyasəti → Qaydalar bölməsinə keçin və yeni qayda yaradın
Daha əvvəl hazırlanmış qrupu əlavə edin (bu, daha sonra edilə bilər)
Və biz yeni direktiv formalaşdırırıq
.ssh/authorized_keys-ə açıq açarların əlavə edilməsi üçün direktiv yaradaq. Mən bunu yeni işçi işdən çıxanda və ya təkrar sığorta üçün, məsələn, kimsə təsadüfən açarımı kəsdikdə istifadə edirəm.
Konfiqurasiya siyasəti → Direktivlərə gedin solda biz “Direktiv kitabxanası” görürük “Uzaqdan giriş → SSH səlahiyyətli açarları” tapın, sağda Direktiv Yarat düyməsini basın
İstifadəçi haqqında məlumat daxil edirik və onun açarını əlavə edirik. Sonra, tətbiq siyasətini seçin
-
Qlobal - Defolt siyasət
-
Enforce - Seçilmiş serverlərdə icra edin
-
Audit - Audit aparacaq və açarın hansı müştərilərdə olduğunu söyləyəcək
Qaydamızı mütləq qeyd edin
Sonra saxla və tamamladın.
Yoxlayın
Açar uğurla əlavə edildi
bulkalar
Agent server haqqında tam məlumat verir. Aşağıdakı ekran görüntüsündə görə biləcəyiniz quraşdırılmış paketlərin, interfeyslərin, açıq portların və daha çoxunun siyahıları
Proqramı təkcə Linux-da deyil, Windows-da da quraşdırıb idarə edə bilərsiniz, sonuncunu yoxlamamışam, ehtiyac yoxdu..
Müəllifdən
Siz soruşa bilərsiniz, əgər ansible və kukla çoxdan icad edilibsə, niyə təkəri yenidən icad etmək lazımdır?
Cavab verirəm: Ansible-ın bəzi çatışmazlıqları var, məsələn, biz bu konfiqurasiyanın indi hansı vəziyyətdə olduğunu və ya bir rolu və ya oyun kitabını işə saldığınız zaman tanış vəziyyətə düşmürük və qəza xətaları görünür və siz serverə qalxmağa başlayırsınız və görürsünüz. hansı paket harada yeniləndi. Və mən sadəcə kukla ilə işləmədim..
Rudder-in çatışmazlıqları varmı? Çox şey.. Agentlərin yıxılmasından və siz onları yenidən quraşdırmalı olduğunuzdan və ya sükan sıfırlama əmrindən istifadə etməli olduğunuzdan. (lakin yeri gəlmişkən, mən bunu hələ 6-cı versiyada görməmişəm), nəticədə son dərəcə mürəkkəb quraşdırma və məntiqsiz interfeys.
Üstünlükləri varmı? Həm də bir çox üstünlüklər var: Tanınmış Ansible-dan fərqli olaraq, bizim tətbiq etdiyimiz uyğunluğu görə biləcəyiniz veb interfeysimiz var. Məsələn, dünyaya çıxan portlar, firewallun vəziyyəti, quraşdırılmış təhlükəsizlik agentləri və ya digər gadgetlardır.
Bu proqram informasiya təhlükəsizliyi şöbəsi üçün mükəmməldir, çünki infrastrukturun vəziyyəti həmişə gözünüzün qabağında olacaq və qaydalardan hər hansı biri qırmızı rəngdə yanırsa, bu serverə baş çəkmək üçün bir səbəbdir. Dediyim kimi, mən artıq 2 ildir Rudder istifadə edirəm və bir az siqaret çəksəniz, həyat daha yaxşı olar. Böyük bir infrastrukturda ən çətin şey odur ki, serverin hansı vəziyyətdə olduğunu, iyunun təhlükəsizlik agentlərini quraşdırmağı qaçırdığını və ya iptables-ı düzgün konfiqurasiya etdiyini xatırlamırsınız, lakin sükan bütün hadisələrdən xəbərdar olmağa kömək edəcəkdir. Agah silahlı deməkdir! )
P.S. Planladığımdan çox çıxdı, paketlərin necə qurulacağını təsvir etməyəcəyəm, birdən sorğular gəlsə, ikinci hissəni yazacam.
PSS Məqalə məlumat məqsədi daşıyır, internetdə çox az məlumat olduğu üçün paylaşmaq qərarına gəldim. Bəlkə də kiməsə maraqlı olacaq. Gününüz xoş keçsin əziz dostlar)
Reklam Hüquqları haqqında
Epik serverlər - Mi və ya güclü AMD EPYC ailə prosessorları və çox sürətli Intel NVMe diskləri olan Windows. Sifariş verməyə tələsin!
Mənbə: www.habr.com