Foarwurd
Us "freonskip" begon twa jier lyn. Ik kaam nei in nij plak fan wurk, dêr't de foarige admin tafallich liet my dizze software as in erfskip. Ik koe neat fine op it ynternet oars as offisjele dokumintaasje. Sels no, as jo "roer" googleje, sil it yn 99% fan 'e gefallen komme mei: skipshelmen en quadcopters. Ik wist in oanpak foar him te finen. Sûnt de mienskip fan dizze software is negligible, Ik besletten om te dielen myn ûnderfining en rake. Ik tink dat dit sil wêze nuttich foar immen.
Rudder dus
Rudder is in iepen boarne auditing- en konfiguraasjebehearprogramma dat helpt om systeemkonfiguraasje te automatisearjen. It wurket op it prinsipe fan it ynstallearjen fan in agint foar elke ein brûker. Troch in handige ynterface kinne wy kontrolearje hoefolle ús ynfrastruktuer foldocht oan alle spesifisearre belied.
Gebrûk
Hjirûnder sil ik list wat ik brûk Rudder foar.
-
Kontrôle fan triemmen en konfiguraasjes: ./ssh/authorized_keys; /etc/hosts; iptables haadwurd ; (en dan wêr't jo ferbylding liedt)
-
Kontrôle fan ynstallearre pakketten: zabbix.agent of in oare software
Server ynstallaasje
Koartlyn haw ik bywurke fan ferzje 5 nei 6.1, alles gie goed. Hjirûnder binne de kommando's foar Deban/Ubuntu, mar d'r is ek stipe: и .
Ik sil de ynstallaasje ferbergje yn spoilers om jo net ôf te lieden.
spoiler
Ofhinklikens
rudder-tsjinner fereasket Java RE op syn minst ferzje 8, kin ynstalleare wurde fanút it standert repository:
Kontrolearje om te sjen oft it is ynstalleare
java -versionas de konklúzje
-bash: java: command not founddan ynstallearje
apt install default-jreTsjinner
It ymportearjen fan de kaai
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Hjir is de print sels
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Om't wy gjin betelle abonnemint hawwe, foegje wy it folgjende repository ta
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listUpdate de list mei repositories en ynstallearje de tsjinner
apt update
apt install rudder-server-rootMeitsje brûker admin
rudder server create-user -u admin -p "Ваш Пароль"Yn 'e takomst kinne wy brûkers beheare fia de konfiguraasje
Dat is it, de tsjinner is klear.
Tsjinner Tuning
No moatte jo de IP-adressen fan 'e aginten of in folslein subnet tafoegje oan' e roeragent, wy rjochtsje ús op it feiligensbelied.
Ynstellings -> Algemien
Fier yn it fjild "Netwurk taheakje" it adres en masker yn yn it formaat xxxx/xx. Om tagong te krijen fan alle adressen fan it ynterne netwurk (útsein as dit fansels in testnetwurk is en jo efter NAT binne) ynfiere: 0.0.0.0/0
Wichtich - ferjit net nei it tafoegjen fan it ip-adres te klikken op Bewarje feroarings, oars sil neat wurde bewarre.
Ports
Iepenje de folgjende havens op de tsjinner
-
443 - tcp
-
5309 - tcp
-
514 - op
Wy hawwe de earste tsjinner opset regele.
Agent Ynstallaasje
spoiler
It tafoegjen fan in kaai
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Key fingerprint
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8It tafoegjen fan in repository
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listYnstallaasje fan de agent
apt update
apt install rudder-agentAgent opset
Wy jouwe de agint it IP-adres fan de beliedstsjinner oan
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Troch it folgjende kommando út te fieren sille wy in fersyk stjoere om in nije agint ta te foegjen oan de tsjinner, yn in pear minuten sil it ferskine yn 'e list mei nije aginten, ik sil útlizze hoe't jo kinne tafoegje yn 'e folgjende seksje
rudder agent inventoryWy kinne de agint ek twinge om te begjinnen en it sil it fersyk direkt stjoere
rudder agent runUs agent is opset, lit ús fierder gean.
It tafoegjen fan aginten
Oanmelde
https://127.0.0.1/rudder/index.html
Jo agint sil ferskine yn 'e seksje "Nije knooppunten akseptearje", selektearje it fakje en klikje op Akseptearje
It moat in bytsje tiid duorje oant it systeem de tsjinner kontroleart op neilibjen
Servergroepen oanmeitsje
Litte wy in groep meitsje (dat is noch altyd fermaak), gjin idee wêrom't de ûntwikkelders sa'n ôfgryslike groepfoarming diene, mar sa't ik it begryp, is d'r gjin oare manier. Gean nei de seksje Knooppuntbehear -> Groepen en klikje op Meitsje, selektearje in statyske groep en namme.
Wy filterje de tsjinner dy't wy nedich binne troch spesjale funksjes, bygelyks troch ip-adres, en bewarje
De groep is opset.
Regels ynstelle
Gean nei Konfiguraasjebelied → Regels en meitsje in nije regel
Foegje de earder tariede groep ta (dit kin letter dien wurde)
En wy foarmje in nije rjochtline
Litte wy in rjochtline meitsje foar it tafoegjen fan iepenbiere kaaien oan .ssh/authorized_keys. Ik brûk dit as in nije meiwurker fuortgiet, of foar herfersekering, bygelyks, as immen by ûngelok myn kaai útknipt.
Gean nei Konfiguraasjebelied → Rjochtlinen oan 'e lofterkant sjogge wy "Directive bibleteek" Fyn "tagong op ôfstân → SSH autorisearre kaaien", op 'e rjochterklikke rjochtsje oanmeitsje
Wy ynfiere ynformaasje oer de brûker en foegje syn kaai ta. Selektearje dêrnei it applikaasjebelied
-
Global - Standert belied
-
Enforce - Útfiere op selektearre tsjinners
-
Audit - Sil in kontrôle útfiere en fertelle hokker kliïnten de kaai hawwe
Wês wis dat jo ús regel oanjaan
Dan bewarje en jo binne klear.
Kontrolearje
Kaai mei súkses tafoege
Buns
De agint jout folsleine ynformaasje oer de tsjinner. Listen mei ynstalleare pakketten, ynterfaces, iepen havens en folle mear, dy't jo kinne sjen yn 'e skermprint hjirûnder
Jo kinne de software ek ynstallearje en kontrolearje net allinich op Linux, mar ek op Windows, ik haw it lêste net kontroleare, d'r wie gjin need ..
Fan de auteur
Jo kinne freegje, wêrom it tsjil opnij útfine as ansible en marionet al lang lyn útfûn binne?
Ik antwurdzje: Ansible hat wat tekoarten, wy sjogge bygelyks net yn hokker steat dizze konfiguraasje no is, of de bekende situaasje as jo in rol of playbook starte en crashflaters ferskine, en jo begjinne op 'e tsjinner te klimmen en te sjen hokker pakket is bywurke wêr. En ik wurke gewoan net mei marionet..
Binne der gjin neidielen foar Rudder? In protte ... Utgeande fan it feit dat aginten falle ôf en jo moatte opnij ynstallearje of brûk it roer reset kommando. (mar trouwens, ik haw dit noch net sjoen yn ferzje 6), wat resulteart yn ekstreem komplekse opset en in ûnlogyske ynterface.
Binne d'r foardielen? En d'r binne ek in protte foardielen: Oars as de bekende Ansible, hawwe wy in webynterface wêryn jo de neilibjen kinne sjen dy't wy hawwe tapast. Bygelyks binne de havens dy't yn 'e wrâld stekke, wat is de steat fan' e brânmuorre, binne feiligensaginten ynstalleare of oare gadgets.
Dizze software is perfekt foar de ôfdieling foar ynformaasjefeiligens, om't de steat fan 'e ynfrastruktuer altyd foar jo eagen sil wêze, en as ien fan' e regels yn read ljochtet, dan is dit in reden om de tsjinner te besykjen. Lykas ik sei, ik haw no 2 jier Rudder brûkt, en as jo it in bytsje smoke, wurdt it libben better. It dreechste ding yn in grutte ynfrastruktuer is dat jo net ûnthâlde hokker steat de tsjinner is yn, oft June miste ynstallaasje fan feiligens aginten of oft hy konfigurearre iptables korrekt, mar roer sil helpe jo op 'e hichte fan alle eveneminten. Bewust betsjut bewapene! )
PS It die bliken folle mear as ik plande, ik sil net beskriuwe hoe't jo pakketten ynstallearje, as d'r ynienen oanfragen binne, sil ik in twadde diel skriuwe.
PSS It artikel is foar ynformative doelen, ik besleat it te dielen, om't d'r heul min ynformaasje is op it ynternet. Miskien dit sil wêze nijsgjirrich foar immen. In moaie dei, leave freonen)
Oer de rjochten fan 'e advertinsje
Epyske tsjinners Is of Windows mei krêftige AMD EPYC-famyljeprozessors en heul rappe Intel NVMe-skiven. Haast om te bestellen!
Boarne: www.habr.com