hitzaurrea
Gure “adiskidetasuna” duela bi urte hasi zen. Lan leku berri batera iritsi nintzen, non aurreko administratzaileak kasualitatez utzi zidan software hau herentzia gisa. Ezin izan dut Interneten dokumentazio ofiziala ez den ezer aurkitu. Orain ere, "lema" Googlen sartzen baduzu, kasuen % 99an aterako da: itsasontzien lema eta quadcopters. Berarenganako hurbilketa bat aurkitzea lortu nuen. Software honen komunitatea hutsala denez, nire esperientzia eta arrastoa partekatzea erabaki nuen. Uste dut hau norbaitentzat erabilgarria izango dela.
Beraz, Lema
Rudder sistemaren konfigurazioa automatizatzen laguntzen duen kode irekiko auditoria eta konfigurazioa kudeatzeko utilitate bat da. Azken erabiltzaile bakoitzeko agente bat instalatzearen printzipioan funtzionatzen du. Interfaze eroso baten bidez, gure azpiegiturak zehaztutako politika guztiak zenbateraino betetzen dituen kontrolatu dezakegu.
Erabili
Jarraian Rudder zertarako erabiltzen dudan zerrendatuko dut.
-
Fitxategien eta konfigurazioen kontrola: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (eta gero zure irudimenak nora eramaten duen)
-
Instalatutako paketeen kontrola: zabbix.agent edo beste edozein software
Zerbitzariaren instalazioa
Duela gutxi 5. bertsiotik 6.1era eguneratu nuen, dena ondo joan zen. Jarraian Deban/Ubuntu-rako komandoak daude, baina laguntza ere badago:
Instalazioa spoileretan ezkutatuko dut, zu distraitzeko.
Spoiler
Mendekotasunak
rudder-server-ek Java RE gutxienez 8 bertsioa behar du, biltegi estandarretik instalatu daiteke:
Instalatuta dagoen ikusteko
java -version
ondorioa bada
-bash: java: command not found
ondoren instalatu
apt install default-jre
zerbitzaria
Gakoa inportatzea
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -
Hona hemen inprimaketa bera
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8
Ordaindutako harpidetzarik ez dugunez, hurrengo biltegia gehitzen dugu
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list
Eguneratu biltegien zerrenda eta instalatu zerbitzaria
apt update
apt install rudder-server-root
Sortu erabiltzaile-administratzailea
rudder server create-user -u admin -p "Ваш Пароль"
Etorkizunean erabiltzaileak kudea ditzakegu konfigurazioaren bidez
Hori da, zerbitzaria prest dago.
Zerbitzariaren sintonizazioa
Orain agenteen IP helbideak edo azpisare oso bat gehitu behar dizkiozu lema-agenteari, segurtasun politikan zentratzen gara.
Ezarpenak -> Orokorra
"Gehitu sare bat" eremuan, sartu helbidea eta maskara xxxx/xx formatuan. Barne-sareko helbide guztietatik sarbidea ahalbidetzeko (jakina, proba-sare bat ez bada eta NAT atzean zaudenean) sartu: 0.0.0.0/0
Garrantzitsua - ip helbidea gehitu ondoren, ez ahaztu Gorde aldaketak sakatzea, bestela ez da ezer gordeko.
portuak
Ireki zerbitzarian ondoko atakak
-
443 - tcp
-
5309 - tcp
-
514 - udp
Hasierako zerbitzariaren konfigurazioa konpondu dugu.
Agentearen instalazioa
Spoiler
Gako bat gehitzea
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -
Giltza-marka
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8
Biltegi bat gehitzea
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list
Agentea instalatzea
apt update
apt install rudder-agent
Agentearen konfigurazioa
Agenteari politika zerbitzariaren IP helbidea adierazten diogu
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя
Hurrengo komandoa exekutatuz zerbitzariari agente berri bat gehitzeko eskaera bidaliko dugu, minutu pare batean agente berrien zerrendan agertuko da, hurrengo atalean azalduko dut nola gehitu
rudder agent inventory
Era berean, agentea abiarazteko behartu dezakegu eta berehala bidaliko du eskaera
rudder agent run
Gure agentea sortu da, goazen aurrera.
Eragileak gehitzea
Saioa hasi
https://127.0.0.1/rudder/index.html
Zure agentea "Onartu nodo berriak" atalean agertuko da, markatu laukia eta sakatu Onartu
Denbora pixka bat beharko luke sistemak zerbitzaria betetzen duen egiaztatzen duen arte
Zerbitzari-taldeak sortzea
Sortu dezagun talde bat (hori entretenimendua da oraindik), ez dago ideiarik gabe garatzaileek zergatik egin zuten hain talde ikaragarria, baina ulertzen dudanez, ez dago beste biderik. Joan Nodoen kudeaketa -> Taldeak atalera eta egin klik Sortu aukeran, hautatu talde estatiko bat eta izena.
Behar dugun zerbitzaria ezaugarri berezien arabera iragazten dugu, adibidez, ip helbidearen arabera, eta gorde
Taldea eratu da.
Arauak ezartzea
Joan Konfigurazio politika → Arauak eta sortu arau berri bat
Gehitu lehenago prestatutako taldea (geroago egin daiteke)
Eta zuzentarau berri bat osatzen dugu
Sortu dezagun zuzentarau bat .ssh/authorized_keys-i gako publikoak gehitzeko. Langile berri bat ateratzen denean erabiltzen dut hau, edo berrasegururako, adibidez, norbaitek ustekabean giltza mozten badu.
Joan Konfigurazio politika → Ezkerrean Zuzentarauak "Zuzendari liburutegia" Ikusi "Urrutiko sarbidea → SSH baimendutako gakoak", eskuineko botoian Sortu zuzentaraua.
Erabiltzaileari buruzko informazioa sartzen dugu eta bere giltza gehitzen dugu. Ondoren, hautatu aplikazioaren politika
-
Globala - Politika lehenetsia
-
Ezarri - Exekutatu hautatutako zerbitzarietan
-
Ikuskaritza - Auditoria bat egingo du eta giltza zein bezero duten esango du
Ziurtatu gure araua adierazten duzula
Ondoren, gorde eta listo.
check
Gakoa ondo gehitu da
Opilak
Agenteak zerbitzariari buruzko informazio osoa ematen du. Instalatutako paketeen, interfazeen, portu irekien eta askoz gehiagoren zerrendak, beheko pantaila-argazkian ikus ditzakezunak
Linux-en ez ezik Windows-en ere instalatu eta kontrola dezakezu softwarea, azken hau ez nuen egiaztatu, ez zegoen beharrik..
Egilearen aldetik
Galdetuko zenuke, zergatik berrasmatu gurpila ansiblea eta txotxongiloa aspaldi asmatu bada?
Erantzuten dut: Ansiblek eragozpen batzuk ditu, adibidez, ez dugu ikusten orain konfigurazio hau zein egoeratan dagoen, edo rol edo playbook bat abiarazten duzunean eta hutsegite-erroreak agertzen diren egoera ezaguna, eta zerbitzarira igotzen hasten zarenean eta ikusten duzunean. zer pakete eguneratu den non. Eta ez nuen txotxongiloarekin lan egin...
Ba al dago desabantailarik Rudder-ek? Asko... Agenteak erori eta berriro instalatu edo lema berrezartzeko komandoa erabili behar dituzunetik hasita. (baina, bide batez, oraindik ez dut hau ikusi 6. bertsioan), konfigurazio oso konplexua eta interfaze ilogikoa izatearen ondorioz.
Ba al dago abantailarik? Eta abantaila asko ere badaude: Ansible ezaguna ez bezala, web-interfaze bat dugu eta bertan ikusi ahal izango duzu aplikatu dugun betetzea. Adibidez, portuak mundura irteten diren, zein den suebakiaren egoera, instalatutako segurtasun-agenteak edo bestelako tramankuluak.
Software hau ezin hobea da informazioaren segurtasun sailerako, azpiegituraren egoera beti izango baita zure begien aurrean, eta arauren bat gorriz argitzen bada, zerbitzaria bisitatzeko arrazoia da. Esan bezala, orain 2 urte daramatzat Rudder erabiltzen, eta pixka bat erretzen baduzu, bizitza hobetzen da. Azpiegitura handi batean zailena zerbitzaria zer egoeratan dagoen ez duzula gogoratzen da, Junek segurtasun-agenteak instalatzea galdu duen edo iptables behar bezala konfiguratu duen ala ez, baina rudder-ek gertaera guztien berri izaten lagunduko dizu. Jakitun esan nahi du armatuta! )
PS Aurreikusi nuena baino askoz gehiago atera zen, ez dut paketeak nola instalatu deskribatuko, bat-batean eskaerak badaude, bigarren zati bat idatziko dut.
PSS Artikulua helburu informatiboa da, Interneten oso informazio gutxi dagoenez partekatzea erabaki dut. Agian hau norbaitentzat interesgarria izango da. Egun ona izan, lagun maiteak)
Publizitatearen Eskubideei buruz
Zerbitzari epikoak - Is
Iturria: www.habr.com