Eessõna
Meie "sõprus" sai alguse kaks aastat tagasi. Tulin uude töökohta, kuhu eelmine administraator selle tarkvara vabalt mulle pärandiks jättis. Internetist peale ametliku dokumentatsiooni ei leitud midagi. Isegi praegu, kui guugeldada “rudder”, annab see 99% juhtudest välja: laevatüürid ja kvadrokopterid. Mul õnnestus leida viis selleni. Kuna selle tarkvara kogukond on tühine, otsustasin jagada oma kogemusi ja reha. Ma arvan, et see on kellelegi kasulik.
Nii et Rool
Rudder on avatud lähtekoodiga auditi- ja konfiguratsioonihalduse utiliit, mis aitab automatiseerida süsteemi konfigureerimist. See toimib põhimõttel, et iga lõppkasutaja jaoks installitakse agent. Kasutajasõbraliku liidese kaudu saame jälgida, kuidas meie infrastruktuur järgib kõiki määratud eeskirju.
Kasutama
Allpool loetlen, milleks ma Rooli kasutan.
-
Faili ja konfiguratsiooni juhtimine: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (ja kuhu siis fantaasia viib)
-
Installitud pakettide juhtimine: zabbix.agent või mõni muu tarkvara
Serveri installimine
Teisel päeval uuendasin versioonilt 5 versioonilt 6.1, kõik läks hästi. Allpool on käsud Debani / Ubuntu jaoks, kuid ka tugi:
Peidan installi spoileritesse, et teie tähelepanu mitte häirida.
Spoiler
Sõltuvused
rooliserver nõuab vähemalt Java RE versiooni 8, saab installida standardhoidlast:
Kontrollige, kas see on installitud
java -version
kui väljund
-bash: java: command not found
seejärel installige
apt install default-jre
Server
Võtme importimine
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -
Siin on jäljend
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8
Kuna meil pole tasulist tellimust, lisame järgmise hoidla
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list
Värskendage hoidlate loendit ja installige server
apt update
apt install rudder-server-root
Looge administraatorist kasutaja
rudder server create-user -u admin -p "Ваш Пароль"
Tulevikus saame kasutajaid hallata konfiguratsiooni kaudu
Kõik, server on valmis.
Serveri häälestamine
Nüüd peate rooliagendile lisama agentide IP-aadressid või terve alamvõrgu, keskendudes turvapoliitikale.
Seaded -> Üldine
Väljale "Lisa võrk" Sisestage aadress ja mask vormingus xxxx/xx . Sisevõrgu kõigilt aadressidelt juurdepääsu lubamiseks (kui see on muidugi testvõrk ja olete NAT-i taga), sisestage: 0.0.0.0/0
Tähtis - pärast IP-aadressi lisamist ärge unustage klõpsata nuppu Salvesta muudatused, vastasel juhul ei salvestata midagi.
Порты
Avage serveris järgmised pordid
-
443-tcp
-
5309-tcp
-
514-udp
Arvutasime serveri esialgse seadistuse.
Agendi installimine
Spoiler
Võtme lisamine
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -
Võtme sõrmejälg
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8
Hoidla lisamine
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list
Agendi installimine
apt update
apt install rudder-agent
Agendi seadistamine
Määrake agendile poliitikaserveri IP-aadress
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя
Järgmise käsu käivitamisel saadame serverisse uue agendi lisamise taotluse, paari minuti pärast ilmub see uute agentide loendisse, kuidas lisada, selgitan järgmises jaotises
rudder agent inventory
Samuti võime agenti käivitama sundida ja see saadab koheselt päringu
rudder agent run
Meie agent on valmis, lähme edasi.
Agentide lisamine
Logi sisse
https://127.0.0.1/rudder/index.html
Teie agent kuvatakse jaotises "Nõustu uute sõlmedega", märkige ruut ja klõpsake nuppu Nõustu
Süsteemil peaks kuluma veidi aega, et kontrollida serveri vastavust
Looge serverirühmad
Loome grupi (see on ikkagi meelelahutus), ilma et oleks aimugi, miks arendajad sellise hemorroidide moodustamise gruppidest tegid, aga nagu ma aru saan, pole muud võimalust. Minge jaotisse Sõlmehaldus -> Grupid ja klõpsake nuppu Loo, valige staatiline rühm ja nimi.
Filtreerime meile vajaliku serveri spetsiaalsete märkide järgi, näiteks IP-aadressi järgi, ja salvestame
Grupp on loodud.
Reeglite paika panemine
Avage Konfiguratsioonipoliitika → Reeglid ja looge uus reegel
Lisage varem ettevalmistatud rühm (seda saab teha hiljem)
Ja me koostame uue direktiivi
Loome käskkirja avalike võtmete lisamiseks failile .ssh/authorized_keys. Kasutan seda uue töötaja lahkumisel või näiteks edasikindlustuseks, kui keegi kogemata mu võtme välja lõikab.
Minge jaotisse Konfiguratsioonipoliitika → Direktiivid vasakul näeme "Direktiivide teek" Otsige üles "Kaugjuurdepääs → SSH volitatud võtmed", paremal klõpsake nuppu Loo direktiiv
Sisestame andmed kasutaja kohta ja lisame tema võtme. Järgmisena valige rakenduseeskirjad
-
Globaalne – vaikepoliitika
-
Jõusta – käivitage valitud serverites
-
Audit – viige läbi audit ja öelge, millistel klientidel on võti
Täpsustage kindlasti meie reegel
Seejärel salvestage ja oletegi valmis.
Kontrollige
Võtme lisamine õnnestus
Kuklid
Agent annab serveri kohta täielikku teavet. Installitud pakettide, liideste, avatud portide ja palju muu loendid, mida näete alloleval ekraanipildil
Tarkvara saab installida ja juhtida ka mitte ainult linuxile vaid ka windowsile, viimast ma ei kontrollinud, polnud vaja ..
Autorilt
Kindlasti küsite, miks leiutada ratast, kui ansible ja nukk on juba ammu leiutatud?
Vastan: Ansiblel on miinuseid, näiteks me ei näe, mis seisus see konfig praegu on või siis kõik teavad olukorda, kui paned rolli või mänguraamatu käima ja krahhi vead lendavad ning hakkad serverisse ronima ja näed. milline pakett kus on uuendatud. Ja ma lihtsalt ei töötanud nukuga..
Kas Roolil on mingeid miinuseid? Väga palju .. Alustades sellest, et agendid kukuvad maha ja sa pead need uuesti installima või kasutama rooli lähtestamise käsku. (aga muide, ma pole seda veel versioonis 6 näinud), lõpetades äärmiselt keerulise seadistuse ja ebaloogilise liidesega.
Kas on mingeid eeliseid? Ja plusse on ka palju: erinevalt tuntud ansible-st on meil veebiliides, milles näeme meie poolt rakendatavat vastavust. Näiteks kas pordid paistavad maailma, mis olekus on tulemüür, kas on paigaldatud turvaagendid või muud hulkuvad.
See tarkvara sobib suurepäraselt infoturbe osakonnale, kuna infrastruktuuri olukord on alati teie silme ees ja kui mõni reegel põleb punaselt, on see põhjus serveri külastamiseks. Nagu öeldud, olen Rooli kasutanud juba 2 aastat ja kui seda natuke suitsetada, siis läheb elu paremaks. Suure infrastruktuuri puhul on kõige keerulisem see, et te ei mäleta, mis seisus server on, kas June jättis turvaagentide installimise või iptable’id õigesti konfigureeritud, tüür aitab teil kõikide sündmustega kursis olla. Teadlik tähendab relvastatud! )
PS Selgus palju rohkem, kui plaanisin, pakettide installimist ma ei kirjelda, kui on soove, siis kirjutan teise osa.
PSS Artikkel on informatiivsel eesmärgil, otsustasin seda jagada, kuna Internetis on väga vähe teavet. Ehk pakub see kellelegi huvi. Ilusat päeva kallid sõbrad
Reklaamide õiguste kohta
Eepilised serverid - Kas
Allikas: www.habr.com