Rooli paigaldamine ja kasutamine

Eessõna

Meie "sõprus" sai alguse kaks aastat tagasi. Tulin uude töökohta, kuhu eelmine administraator selle tarkvara vabalt mulle pärandiks jättis. Internetist peale ametliku dokumentatsiooni ei leitud midagi. Isegi praegu, kui guugeldada “rudder”, annab see 99% juhtudest välja: laevatüürid ja kvadrokopterid. Mul õnnestus leida viis selleni. Kuna selle tarkvara kogukond on tühine, otsustasin jagada oma kogemusi ja reha. Ma arvan, et see on kellelegi kasulik.

Nii et Rool

Rudder on avatud lähtekoodiga auditi- ja konfiguratsioonihalduse utiliit, mis aitab automatiseerida süsteemi konfigureerimist. See toimib põhimõttel, et iga lõppkasutaja jaoks installitakse agent. Kasutajasõbraliku liidese kaudu saame jälgida, kuidas meie infrastruktuur järgib kõiki määratud eeskirju.

Kasutama

Allpool loetlen, milleks ma Rooli kasutan.

• Faili ja konfiguratsiooni juhtimine: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (ja kuhu siis fantaasia viib)

• Installitud pakettide juhtimine: zabbix.agent või mõni muu tarkvara

Serveri installimine

Teisel päeval uuendasin versioonilt 5 versioonilt 6.1, kõik läks hästi. Allpool on käsud Debani / Ubuntu jaoks, kuid ka tugi: RHEL/CentOS и Sles.

Peidan installi spoileritesse, et teie tähelepanu mitte häirida.

Spoiler

Sõltuvused

rooliserver nõuab vähemalt Java RE versiooni 8, saab installida standardhoidlast:

Kontrollige, kas see on installitud

java -version

kui väljund

-bash: java: command not found

seejärel installige

apt install default-jre

Server

Võtme importimine

wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -

Siin on jäljend

pub  4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
      Key fingerprint = 7C16 9817 7904 212D D58C  B4D1 9322 C330 474A 19E8

Kuna meil pole tasulist tellimust, lisame järgmise hoidla

echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list

Värskendage hoidlate loendit ja installige server

apt update
apt install rudder-server-root

Looge administraatorist kasutaja

rudder server create-user -u admin -p "Ваш Пароль"

Tulevikus saame kasutajaid hallata konfiguratsiooni kaudu

Kõik, server on valmis.

Serveri häälestamine

Nüüd peate rooliagendile lisama agentide IP-aadressid või terve alamvõrgu, keskendudes turvapoliitikale.

Seaded -> Üldine

Väljale "Lisa võrk" Sisestage aadress ja mask vormingus xxxx/xx . Sisevõrgu kõigilt aadressidelt juurdepääsu lubamiseks (kui see on muidugi testvõrk ja olete NAT-i taga), sisestage: 0.0.0.0/0

Tähtis - pärast IP-aadressi lisamist ärge unustage klõpsata nuppu Salvesta muudatused, vastasel juhul ei salvestata midagi.

Порты

Avage serveris järgmised pordid

• 443-tcp

• 5309-tcp

• 514-udp

Arvutasime serveri esialgse seadistuse.

Agendi installimine

Spoiler

Võtme lisamine

wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -

Võtme sõrmejälg

pub  4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
      Key fingerprint = 7C16 9817 7904 212D D58C  B4D1 9322 C330 474A 19E8

Hoidla lisamine

echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list

Agendi installimine

apt update
apt install rudder-agent

Agendi seadistamine

Määrake agendile poliitikaserveri IP-aadress

rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя 

Järgmise käsu käivitamisel saadame serverisse uue agendi lisamise taotluse, paari minuti pärast ilmub see uute agentide loendisse, kuidas lisada, selgitan järgmises jaotises

rudder agent inventory

Samuti võime agenti käivitama sundida ja see saadab koheselt päringu

rudder agent run

Meie agent on valmis, lähme edasi.

Agentide lisamine

Logi sisse

https://127.0.0.1/rudder/index.html

Teie agent kuvatakse jaotises "Nõustu uute sõlmedega", märkige ruut ja klõpsake nuppu Nõustu

Süsteemil peaks kuluma veidi aega, et kontrollida serveri vastavust

Looge serverirühmad

Loome grupi (see on ikkagi meelelahutus), ilma et oleks aimugi, miks arendajad sellise hemorroidide moodustamise gruppidest tegid, aga nagu ma aru saan, pole muud võimalust. Minge jaotisse Sõlmehaldus -> Grupid ja klõpsake nuppu Loo, valige staatiline rühm ja nimi.

Filtreerime meile vajaliku serveri spetsiaalsete märkide järgi, näiteks IP-aadressi järgi, ja salvestame

Grupp on loodud.

Reeglite paika panemine

Avage Konfiguratsioonipoliitika → Reeglid ja looge uus reegel

Lisage varem ettevalmistatud rühm (seda saab teha hiljem)

Ja me koostame uue direktiivi

Loome käskkirja avalike võtmete lisamiseks failile .ssh/authorized_keys. Kasutan seda uue töötaja lahkumisel või näiteks edasikindlustuseks, kui keegi kogemata mu võtme välja lõikab.

Minge jaotisse Konfiguratsioonipoliitika → Direktiivid vasakul näeme "Direktiivide teek" Otsige üles "Kaugjuurdepääs → SSH volitatud võtmed", paremal klõpsake nuppu Loo direktiiv

Sisestame andmed kasutaja kohta ja lisame tema võtme. Järgmisena valige rakenduseeskirjad

• Globaalne – vaikepoliitika

• Jõusta – käivitage valitud serverites

• Audit – viige läbi audit ja öelge, millistel klientidel on võti

Täpsustage kindlasti meie reegel

Seejärel salvestage ja oletegi valmis.

Kontrollige

Võtme lisamine õnnestus

Kuklid

Agent annab serveri kohta täielikku teavet. Installitud pakettide, liideste, avatud portide ja palju muu loendid, mida näete alloleval ekraanipildil

Tarkvara saab installida ja juhtida ka mitte ainult linuxile vaid ka windowsile, viimast ma ei kontrollinud, polnud vaja ..

Autorilt

Kindlasti küsite, miks leiutada ratast, kui ansible ja nukk on juba ammu leiutatud?

Vastan: Ansiblel on miinuseid, näiteks me ei näe, mis seisus see konfig praegu on või siis kõik teavad olukorda, kui paned rolli või mänguraamatu käima ja krahhi vead lendavad ning hakkad serverisse ronima ja näed. milline pakett kus on uuendatud. Ja ma lihtsalt ei töötanud nukuga..

Kas Roolil on mingeid miinuseid? Väga palju .. Alustades sellest, et agendid kukuvad maha ja sa pead need uuesti installima või kasutama rooli lähtestamise käsku. (aga muide, ma pole seda veel versioonis 6 näinud), lõpetades äärmiselt keerulise seadistuse ja ebaloogilise liidesega.

Kas on mingeid eeliseid? Ja plusse on ka palju: erinevalt tuntud ansible-st on meil veebiliides, milles näeme meie poolt rakendatavat vastavust. Näiteks kas pordid paistavad maailma, mis olekus on tulemüür, kas on paigaldatud turvaagendid või muud hulkuvad.

See tarkvara sobib suurepäraselt infoturbe osakonnale, kuna infrastruktuuri olukord on alati teie silme ees ja kui mõni reegel põleb punaselt, on see põhjus serveri külastamiseks. Nagu öeldud, olen Rooli kasutanud juba 2 aastat ja kui seda natuke suitsetada, siis läheb elu paremaks. Suure infrastruktuuri puhul on kõige keerulisem see, et te ei mäleta, mis seisus server on, kas June jättis turvaagentide installimise või iptable’id õigesti konfigureeritud, tüür aitab teil kõikide sündmustega kursis olla. Teadlik tähendab relvastatud! )

PS Selgus palju rohkem, kui plaanisin, pakettide installimist ma ei kirjelda, kui on soove, siis kirjutan teise osa.

PSS Artikkel on informatiivsel eesmärgil, otsustasin seda jagada, kuna Internetis on väga vähe teavet. Ehk pakub see kellelegi huvi. Ilusat päeva kallid sõbrad

Reklaamide õiguste kohta

Eepilised serverid - Kas VPS Linuxis või Windows võimsate AMD EPYC perekonna protsessorite ja väga kiirete Inteli NVMe draividega. Kiirusta tellima!

Allikas: www.habr.com