Antaŭparolo
Nia "amikeco" komenciĝis antaŭ du jaroj. Mi venis al nova laborloko, kie la antaŭa administranto libere lasis ĉi tiun programaron kiel heredaĵon al mi. En la Interreto, krom oficiala dokumentaro, nenio troveblas. Eĉ nun, se vi guglos "rudro", en 99% de kazoj ĝi donos: ŝipaj stiriloj kaj kvarokopteroj. Mi sukcesis trovi vojon al ĝi. Ĉar la komunumo de ĉi tiu programaro estas nekonsiderinda, mi decidis dividi mian sperton kaj rastilon. Mi pensas, ke ĝi estos utila por iu.
Do Rudder
Rudder estas malfermfonta revizia kaj agorda administrado, kiu helpas aŭtomatigi sisteman agordon. Ĝi funkcias laŭ la principo instali agenton por ĉiu fina uzanto. Per uzant-amika interfaco, ni povas observi kiel nia infrastrukturo konformas al ĉiuj specifitaj politikoj.
Uzo
Malsupre mi listigos por kio mi uzas Rudder.
Dosiera kaj agorda kontrolo: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (kaj tiam kien la fantazio kondukos)
Kontrolo de instalitaj pakaĵoj: zabbix.agent aŭ ajna alia programaro
Instalado de servilo
La alian tagon mi ĝisdatigis de versio 5 al 6.1, ĉio iris bone. Malsupre estos la komandoj por Deban/Ubuntu sed ankaŭ subteno: и .
Mi kaŝos la instaladon en spoilers por ne distri vin.
spoiler
Dependecoj
rudder-servilo postulas almenaŭ Java RE version 8, povas esti instalita de la norma deponejo:
Kontrolu ĉu ĝi estas instalita
java -versionse eligo
-bash: java: command not foundposte instalu
apt install default-jreServilo
Importi la ŝlosilon
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Jen la premsigno
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <security@rudder-project.org>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Ĉar ni ne havas pagitan abonon, ni aldonas la sekvan deponejon
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listĜisdatigu la liston de deponejoj kaj instalu la servilon
apt update
apt install rudder-server-rootKreu administran uzanton
rudder server create-user -u admin -p "Ваш Пароль"En la estonteco, ni povas administri uzantojn per la agordo
Ĉio, la servilo estas preta.
Agordo de Servilo
Nun vi devas aldoni la ip-adresojn de agentoj aŭ tutan subreton al la direktisto, koncentriĝante al la sekureca politiko.
Agordoj -> Ĝenerala
En la kampo "Aldoni reton" Enigu la adreson kaj maskon en la formato xxxx/xx . Por permesi aliron de ĉiuj adresoj de la interna reto (Se, kompreneble, ĉi tio estas prova reto kaj vi estas malantaŭ NAT), enigu: 0.0.0.0/0
Grave - post aldoni la ip-adreson, ne forgesu klaki Konservi ŝanĝojn, alie nenio estos konservita.
Havenoj
Malfermu la sekvajn pordojn sur la servilo
443-tcp
5309-tcp
514-udp
Ni eltrovis la komencan agordon de la servilo.
Instalante la Agenton
spoiler
Aldonante Ŝlosilon
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Ŝlosila fingrospuro
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <security@rudder-project.org>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Aldonante deponejon
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listInstalante la agenton
apt update
apt install rudder-agentAgordo de agento
Specifu la ip-adreson de la politika servilo al la agento
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Rugante la sekvan komandon, ni sendos peton aldoni novan agenton al la servilo, post kelkaj minutoj ĝi aperos en la listo de novaj agentoj, mi klarigos kiel aldoni en la sekva sekcio.
rudder agent inventoryNi ankaŭ povas devigi la agenton komenci kaj ĝi sendos peton tuj
rudder agent runNia agento estas fiksita, ni pluiru.
Aldonante agentojn
Ensaluti
https://127.0.0.1/rudder/index.html
Via agento aperos en la sekcio "Akcepti novajn nodojn", marku la skatolon kaj alklaku Akcepti
La sistemo devus preni iom da tempo por kontroli la servilon por konformeco
Kreu servilgrupojn
Ni kreu grupon (tio ankoraŭ estas distraĵo), sen indiko kial la programistoj faris tian hemoroidan formadon de grupoj, sed kiel mi komprenas, ne ekzistas alia maniero. Iru al la Nodo-administrado -> Grupoj sekcio kaj alklaku Krei, elektu statikan grupon kaj nomon.
Ni filtras la servilon, kiun ni bezonas laŭ specialaj signoj, ekzemple per ip-adreso, kaj konservas
La grupo estas starigita.
Starigante regulojn
Iru al Agorda politiko → Reguloj kaj kreu novan regulon
Aldonu grupon preparitan pli fruan grupon (ĉi tio povas esti farita poste)
Kaj ni formas novan direktivon
Ni kreu direktivon por aldoni publikajn ŝlosilojn al .ssh/authorized_keys. Mi uzas ĉi tion kiam nova dungito foriras, aŭ por reasekuro, ekzemple, se iu hazarde eltranĉas mian ŝlosilon.
Iru al Agorda politiko → Direktivoj maldekstre, ni vidas "Direkta biblioteko" Trovu "Fora aliro → SSH rajtigitaj ŝlosiloj", dekstre alklaku Krei Direktivon.
Ni enigas datumojn pri la uzanto kaj aldonas lian ŝlosilon. Poste, elektu aplikan politikon
Tutmonda - Defaŭlta Politiko
Devigi - Efektivigu sur elektitaj serviloj
Revizio - Faru revizion kaj diru, kiuj klientoj havas la ŝlosilon
Nepre specifu nian regulon
Poste konservu kaj vi finis.
Kontrolante
Ŝlosilo aldonita sukcese
Bulkoj
La agento donas kompletajn informojn pri la servilo. Listo de instalitaj pakaĵoj, interfacoj, malfermitaj havenoj kaj multe pli, kiujn vi povas vidi en la ekrankopio sube
Vi ankaŭ povas instali kaj kontroli programaron ne nur en linukso sed ankaŭ en fenestroj, mi ne kontrolis ĉi-lastan, ne necesis..
De la aŭtoro
Vi certe demandas, kial reinventi la radon se ansible kaj marioneto estas delonge inventitaj?
Mi respondas: Ansible havas malavantaĝojn, ekzemple, ni ne vidas en kiu stato ĉi tiu agordo nun estas, aŭ ĉiuj scias la situacion kiam vi komencas rolon aŭ ludlibron kaj kraŝeraroj flugas, kaj vi komencas grimpi sur la servilon kaj vidi. kiu pako estis ĝisdatigita kie. Kaj mi simple ne laboris kun marioneto ..
Ĉu estas malavantaĝoj al Rudder? Multe .. Komencante de la fakto, ke agentoj defalas kaj vi devas reinstali ilin aŭ uzi la komandon de rekomencigita direktilo. (sed cetere, mi ankoraŭ ne vidis ĉi tion en versio 6), finante per ekstreme kompleksa agordo kaj nelogika interfaco.
Ĉu estas avantaĝoj? Kaj estas ankaŭ multaj plusoj: Kontraste kun la konata ansible, ni havas retan interfacon en kiu ni povas vidi la plenumadon de ni aplikata. Ekzemple, ĉu havenoj elstaras en la mondon, en kia stato estas la fajroŝirmilo, ĉu sekurecaj agentoj aŭ aliaj devagaj estas instalitaj.
Ĉi tiu programaro estas perfekta por la fako pri informa sekureco, ĉar la stato de la infrastrukturo ĉiam estos antaŭ viaj okuloj, kaj se iu el la reguloj lumiĝas ruĝe, tiam ĉi tio estas kialo por viziti la servilon. Kiel mi diris, mi jam uzas Rudder dum 2 jaroj, kaj se vi fumas ĝin iomete, tiam la vivo pliboniĝas. La plej malfacila afero en granda infrastrukturo estas, ke vi ne memoras, en kia stato estas la servilo, ĉu June maltrafis instali sekurecajn agentojn aŭ ĝuste agordis iptables, rudder helpos vin esti flankita de ĉiuj eventoj. Konscia signifas armita! )
PS Ĝi rezultis multe pli ol mi planis, mi ne priskribos kiel instali pakaĵojn, se estas iuj petoj, mi skribos la duan parton.
PSS La artikolo estas por informaj celoj, mi decidis dividi ĝin ĉar estas tre malmulte da informoj en la Interreto. Eble ĝi interesos iun. Bonan tagon karaj amikoj
Pri la Rajtoj de Reklamado
Epopeaj serviloj Estas aŭ Vindozo kun potencaj AMD EPYC-familiaj procesoroj kaj tre rapidaj Intel NVMe-diskoj. Rapidu mendi!
fonto: www.habr.com
