Pasiuna
Ang among "paghigalaay" nagsugod duha ka tuig na ang milabay. Miabot ko sa usa ka bag-ong dapit sa trabaho, diin ang kanhing admin kaswal nga mibiya kanako niini nga software isip usa ka kabilin. Wala koy nakit-an sa Internet gawas sa opisyal nga dokumentasyon. Bisan karon, kung imong google ang " timon ", sa 99% sa mga kaso kini moabut uban ang: mga timon sa barko ug quadcopter. Nakapangita kog approach niya. Tungod kay ang komunidad niini nga software gamay ra, nakahukom ko nga ipaambit ang akong kasinatian ug rake. Sa akong hunahuna kini mapuslanon sa usa ka tawo.
Busa Rudder
Ang Rudder usa ka open source auditing ug configuration management utility nga makatabang sa pag-automate sa configuration sa system. Naglihok kini sa prinsipyo sa pag-instalar sa usa ka ahente alang sa matag end user. Pinaagi sa usa ka kombenyente nga interface, mahimo natong mabantayan kung unsa kadaghan ang atong imprastraktura nga nagsunod sa tanan nga gipiho nga mga palisiya.
Paggamit
Sa ubos akong ilista kung unsa ang akong gigamit nga Rudder.
-
Pagkontrol sa mga file ug config: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (ug dayon kung asa padulong ang imong imahinasyon)
-
Pagkontrol sa na-install nga mga pakete: zabbix.agent o bisan unsang software
Pag-instalar sa server
Bag-o lang gi-update nako gikan sa bersyon 5 hangtod 6.1, maayo ang tanan. Sa ubos mao ang mga sugo alang sa Deban/Ubuntu apan adunay suporta usab: ΠΈ .
Itago nako ang pag-install sa mga spoiler aron dili makabalda kanimo.
maglalaglag
Mga pagsalig
rudder-server nagkinahanglan sa Java RE labing menos nga bersyon 8, mahimong i-install gikan sa standard repository:
Pagsusi aron makita kung kini na-install
java -versionkon ang konklusyon
-bash: java: command not foundunya instalar
apt install default-jreServer
Pag-import sa yawe
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Ania ang pag-imprinta mismo
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Tungod kay wala kami bayad nga suskrisyon, among gidugang ang mosunod nga repositoryo
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listI-update ang listahan sa mga repository ug i-install ang server
apt update
apt install rudder-server-rootPaghimo admin admin
rudder server create-user -u admin -p "ΠΠ°Ρ ΠΠ°ΡΠΎΠ»Ρ"Sa umaabot mahimo namong madumala ang mga tiggamit pinaagi sa config
Mao na, andam na ang server.
Pag-tune sa Server
Karon kinahanglan nimo nga idugang ang mga IP address sa mga ahente o usa ka tibuuk nga subnet sa ahente sa timon, nagpunting kami sa palisiya sa seguridad.
Mga Setting -> Kinatibuk-an
Sa field nga "Add a network", isulod ang adres ug mask sa format nga xxxx/xx. Aron tugotan ang pag-access gikan sa tanan nga mga adres sa internal nga network (Gawas kung siyempre kini usa ka pagsulay nga network ug naa ka sa luyo sa NAT) pagsulod: 0.0.0.0/0
Importante - human sa pagdugang sa ip address, ayaw kalimot sa pag-klik sa Save changes, kon dili walay maluwas.
Mga pantalan
Ablihi ang mosunod nga mga pantalan sa server
-
443 - tcp
-
5309 - tcp
-
514 - udp
Gihan-ay namo ang inisyal nga setup sa server.
Pag-instalar sa Ahente
maglalaglag
Pagdugang og yawe
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Key fingerprint
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Pagdugang usa ka repositoryo
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listPag-instalar sa ahente
apt update
apt install rudder-agentPag-setup sa ahente
Gipakita namo sa ahente ang IP address sa policy server
rudder agent policy-server <rudder server ip or hostname> #ΠΠ΅Π· ΡΠΊΠΎΠ±ΠΎΠΊ. ΠΠΎΠΆΠ½ΠΎ ΡΠ°ΠΊΠΆΠ΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠ΅ ΠΈΠΌΡ Pinaagi sa pagpadagan sa mosunud nga mando magpadala kami usa ka hangyo aron makadugang usa ka bag-ong ahente sa server, sa pila ka minuto kini makita sa lista sa mga bag-ong ahente, akong ipasabut kung giunsa ang pagdugang sa sunod nga seksyon
rudder agent inventoryMahimo usab naton pugson ang ahente nga magsugod ug ipadala dayon ang hangyo
rudder agent runNabutang na ang atong ahente, padayon ta.
Pagdugang mga ahente
Sulod
https://127.0.0.1/rudder/index.html
Ang imong ahente makita sa seksyon nga "Dawata ang mga bag-ong node", susiha ang kahon ug i-klik Dawata
Kini kinahanglan nga magkinahanglan og gamay nga panahon hangtud nga ang sistema magsusi sa server alang sa pagsunod
Paghimo sa mga grupo sa server
Magbuhat ta ug grupo (malingaw gihapon), walay ideya ngano nga gihimo sa mga developer ang ingon nga usa ka makalilisang nga pagporma sa grupo, apan sa akong nasabtan, walaβy lain nga paagi. Lakaw ngadto sa Node management -> Groups section ug i-klik ang Create, pagpili og static nga grupo ug ngalan.
Gisala namo ang server nga among gikinahanglan pinaagi sa mga espesyal nga bahin, pananglitan, pinaagi sa ip address, ug i-save
Gitukod ang grupo.
Paghimo og mga lagda
Adto sa Configuration policy β Rules ug paghimo og bag-ong lagda
Idugang ang grupo nga giandam sa sayo pa (kini mahimo sa ulahi)
Ug naghimo kami usa ka bag-ong direktiba
Magbuhat ta ug direktiba para sa pagdugang sa mga public key sa .ssh/authorized_keys. Gigamit nako kini kung ang usa ka bag-ong empleyado mobiya, o alang sa reinsurance, pananglitan, kung adunay usa nga aksidenteng naputol ang akong yawe.
Lakaw ngadto sa Configuration policy β Directives sa wala atong makita ang "Directive library" Pangitaa ang "Remote access β SSH authorized keys", sa right click Create Directive
Gisulod namo ang impormasyon bahin sa user ug gidugang ang iyang yawe. Sunod, pilia ang palisiya sa aplikasyon
-
Global - Default nga palisiya
-
Ipatuman - Ipatuman sa pinili nga mga server
-
Pag-audit - Mopahigayon ug audit ug isulti kung kinsa nga mga kliyente ang adunay yawe
Siguruha nga ipakita ang among lagda
Unya i-save ug nahuman ka.
Pagsusi
Malampusong gidugang ang yawe
Mga tinapay
Ang ahente naghatag kompleto nga kasayuran bahin sa server. Mga lista sa na-install nga mga pakete, mga interface, bukas nga mga pantalan ug daghan pa, nga imong makita sa screenshot sa ubos
Mahimo usab nimo i-install ug kontrolon ang software dili lamang sa Linux apan usab sa Windows, wala nako gisusi ang ulahi, walaβy kinahanglan.
Gikan sa tagsulat
Mahimong mangutana ka, nganong imbento man pag-usab ang ligid kung dugay na nga naimbento ang ansible ug puppet?
Gitubag ko: Ang Ansible adunay pipila nga mga kakulangan, pananglitan, wala namon makita kung unsa ang kahimtang sa kini nga config karon, o ang pamilyar nga kahimtang kung maglansad ka usa ka papel o playbook ug ang mga sayup sa pag-crash makita, ug nagsugod ka sa pagsaka sa server ug makita. unsa nga package ang na-update kung asa. Ug wala lang ko nagtrabaho sa puppet..
Aduna bay mga disbentaha sa Rudder? Daghan .. Sugod gikan sa kamatuoran nga ang mga ahente mahulog ug kinahanglan nimo nga i-install kini pag-usab o gamiton ang mando sa pag-reset sa timon. (apan sa paagi, wala pa nako kini makita sa bersyon 6), nga miresulta sa labi ka komplikado nga pag-setup ug usa ka dili makatarunganon nga interface.
Aduna bay mga bentaha? Ug adunay daghan usab nga mga bentaha: Dili sama sa bantog nga Ansible, kami adunay usa ka web interface diin imong makita ang pagsunod nga among gi-apply. Sama pananglit, ang mga pantalan ba nga nagpilit sa kalibutan, kung unsa ang kahimtang sa firewall, ang mga ahente sa seguridad nga na-install o uban pang mga gadget.
Kini nga software perpekto alang sa departamento sa seguridad sa kasayuran, tungod kay ang kahimtang sa imprastraktura kanunay nga naa sa atubangan sa imong mga mata, ug kung ang bisan unsang mga lagda nagdan-ag sa pula, nan kini usa ka hinungdan sa pagbisita sa server. Sama sa akong giingon, gigamit nako ang Rudder sulod sa 2 ka tuig na, ug kung manigarilyo ka gamay, ang kinabuhi mahimong labi ka maayo. Ang labing lisud nga butang sa usa ka dako nga imprastraktura mao nga dili nimo mahinumduman kung unsa ang kahimtang sa server, kung gimingaw ba si June sa pag-install sa mga ahente sa seguridad o kung gi-configure ba niya ang mga iptable sa husto, apan ang timon makatabang kanimo nga mapadayon ang tanan nga mga panghitabo. Aware nagpasabot armado! )
PS Kini nahimo nga labaw pa sa akong giplano, dili ko ihulagway kung giunsa ang pag-install sa mga pakete, kung kalit nga adunay mga hangyo, magsulat ako usa ka ikaduha nga bahin.
PSS Ang artikulo alang sa mga katuyoan sa kasayuran, nakahukom ako nga ipaambit kini tungod kay gamay ra ang kasayuran sa Internet. Tingali kini makapaikag sa usa ka tawo. Maayong adlaw, minahal nga mga higala)
Diha sa Mga Katungod sa Pagdukiduki
Epiko nga mga server Mao ba o Windows nga adunay gamhanan nga AMD EPYC nga mga processor sa pamilya ug paspas kaayo nga Intel NVMe drive. Pagdali sa pag-order!
Source: www.habr.com