Avètisman
"Lamitye" nou an te kòmanse dezan de sa. Mwen te vin nan yon nouvo kote nan travay, kote admin anvan an dekontrakte kite m 'lojisyel sa a kòm yon eritaj. Mwen pa t 'kapab jwenn anyen sou Entènèt la ki pa dokiman ofisyèl. Menm kounye a, si ou google "gouvèn", nan 99% nan ka li pral vini ak: bato Helms ak quadcopters. Mwen te rive jwenn yon apwòch pou li. Depi kominote a nan lojisyèl sa a se neglijab, mwen deside pataje eksperyans mwen ak rato. Mwen panse ke sa a pral itil yon moun.
Se konsa, Rudder
Rudder se yon sous louvri odit ak jesyon konfigirasyon sèvis piblik ki ede otomatize konfigirasyon sistèm lan. Li travay sou prensip enstale yon ajan pou chak itilizatè fen. Atravè yon koòdone pratik, nou ka kontwole konbyen enfrastrikti nou an konfòme ak tout règleman espesifye.
Sèvi ak
Anba a mwen pral lis sa mwen itilize Rudder pou.
-
Kontwòl dosye ak konfigirasyon: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (ak Lè sa a, kote imajinasyon ou mennen)
-
Kontwòl pakè enstale: zabbix.agent oswa nenpòt lòt lojisyèl
Enstalasyon sèvè
Dènyèman mwen mete ajou soti nan vèsyon 5 a 6.1, tout bagay ale byen. Anba a se kòmandman yo pou Deban/Ubuntu men gen sipò tou: и .
Mwen pral kache enstalasyon an nan spoiler pou pa distrè ou.
beke
Depandans
rudder-sèvè mande pou Java RE omwen vèsyon 8, yo ka enstale nan depo estanda a:
Tcheke pou wè si li enstale
java -versionsi konklizyon an
-bash: java: command not foundLè sa a, enstale
apt install default-jreSèvè
Enpòte kle a
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Isit la se enprime nan tèt li
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Kòm nou pa gen yon abònman peye, nou ajoute repozitwa sa a
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listMete ajou lis depo yo epi enstale sèvè a
apt update
apt install rudder-server-rootKreye admin itilizatè
rudder server create-user -u admin -p "Ваш Пароль"Nan lavni an, nou ka jere itilizatè yo atravè konfigirasyon an
Sa a, sèvè a pare.
Akor sèvè
Koulye a, ou bezwen ajoute adrès IP ajan yo oswa yon subnet antye nan ajan an rudder, nou konsantre sou politik sekirite a.
Anviwònman -> Jeneral
Nan jaden an "Ajoute yon rezo", antre adrès la ak mask nan fòma xxxx/xx. Yo nan lòd yo pèmèt aksè nan tout adrès nan rezo entèn la (Sòf si nan kou sa a se yon rezo tès epi ou dèyè NAT) antre: 0.0.0.0/0
Enpòtan - apre yo fin ajoute adrès IP la, pa bliye klike sou Save chanjman yo, otreman pa gen anyen yo pral sove.
Pò
Louvri pò sa yo sou sèvè a
-
443 - tcp
-
5309 - tcp
-
514 - udp
Nou te regle konfigirasyon premye sèvè a.
Enstalasyon ajan
beke
Ajoute yon kle
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Anprent kle
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Ajoute yon depo
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listEnstale ajan an
apt update
apt install rudder-agentKonfigirasyon ajan
Nou endike ajan an adrès IP sèvè politik la
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Lè nou kouri lòd sa a nou pral voye yon demann pou ajoute yon nouvo ajan sou sèvè a, nan yon koup de minit li pral parèt nan lis nouvo ajan yo, mwen pral eksplike kijan pou ajoute nan pwochen seksyon an.
rudder agent inventoryNou kapab tou fòse ajan an kòmanse epi li pral voye demann lan imedyatman
rudder agent runAjan nou an mete kanpe, ann avanse.
Ajoute ajan yo
Ouvri sesyon an
https://127.0.0.1/rudder/index.html
Ajan ou a ap parèt nan seksyon "Aksepte nouvo nœuds", tcheke ti bwat la epi klike sou Aksepte
Li ta dwe pran yon ti tan jiskaske sistèm nan tcheke sèvè a pou konfòmite
Kreye gwoup sèvè
Ann kreye yon gwoup (sa toujou amizman), pa gen okenn lide poukisa devlopè yo te fè tankou yon fòmasyon gwoup odiyan, men jan mwen konprann li, pa gen okenn lòt fason. Ale nan seksyon jesyon Node -> Gwoup epi klike sou Kreye, chwazi yon gwoup estatik ak non.
Nou filtre sèvè nou bezwen an pa karakteristik espesyal, pou egzanp, pa adrès ip, epi sove
Gwoup la mete kanpe.
Mete kanpe règ yo
Ale nan Règleman Konfigirasyon → Règ epi kreye yon nouvo règ
Ajoute gwoup ki te prepare pi bonè (sa a ka fè pita)
Epi nou fòme yon nouvo direktiv
Ann kreye yon direktiv pou ajoute kle piblik nan .ssh/authorized_keys. Mwen sèvi ak sa a lè yon nouvo anplwaye kite, oswa pou reasurance, pou egzanp, si yon moun aksidantèlman koupe soti kle mwen an.
Ale nan Règleman Konfigirasyon → Direktiv sou bò gòch la nou wè "Bibliyotèk Direktiv" Jwenn "Aksè Remote → SSH kle otorize", sou dwa klike sou Kreye Directive
Nou antre enfòmasyon sou itilizatè a epi ajoute kle li. Apre sa, chwazi politik aplikasyon an
-
Global - Default politik
-
Anfòse - Egzekite sou sèvè chwazi yo
-
Odit - Pral fè yon odit epi di ki kliyan ki gen kle a
Asire w ou endike règ nou an
Lè sa a, sove epi w ap fini.
Tcheke
Kle te ajoute avèk siksè
Pen
Ajan an bay enfòmasyon konplè sou sèvè a. Lis pakè enstale, koòdone, pò louvri ak plis ankò, ke ou ka wè nan ekran ki anba a.
Ou kapab tou enstale ak kontwole lojisyèl an pa sèlman sou Linux, men tou sou Windows, mwen pa t 'tcheke lèt la, pa te gen okenn bezwen.
Soti nan otè a
Ou ta ka mande, poukisa reenvante wou an si ansible ak mannken te deja envante yon bon bout tan de sa?
Mwen reponn: Ansible gen kèk dezavantaj, pou egzanp, nou pa wè nan ki eta konfigirasyon sa a nan kounye a, oswa sitiyasyon abitye lè ou lanse yon wòl oswa playbook ak erè aksidan parèt, epi ou kòmanse monte sou sèvè a epi wè. ki pakè ki te mete ajou kote. Apre sa, mwen jis pa t 'travay ak mannken ..
Èske gen nenpòt dezavantaj nan Rudder? Yon anpil .. Kòmanse nan lefèt ke ajan tonbe epi ou dwe réinstaller yo oswa itilize kòmandman an reset rudder. (men nan chemen an, mwen pa te wè sa a nan vèsyon 6 ankò), sa ki lakòz konfigirasyon trè konplèks ak yon koòdone ki pa lojik.
Èske gen nenpòt avantaj? Epi gen tou yon anpil nan avantaj: Kontrèman ak byen li te ye Ansible a, nou gen yon koòdone entènèt nan ki ou ka wè konfòmite nou te aplike. Pou egzanp, se pò yo rete soude nan mond lan, ki sa ki eta a nan firewall la, se ajan sekirite enstale oswa lòt gadjèt.
Lojisyèl sa a se pafè pou depatman sekirite enfòmasyon an, depi eta a nan enfrastrikti a ap toujou devan je ou, epi si nenpòt nan règ yo limen an wouj, Lè sa a, sa a se yon rezon ki fè yo vizite sèvè a. Kòm mwen te di, mwen te itilize Rudder pou 2 ane kounye a, epi si ou fimen li yon ti kras, lavi vin pi bon. Bagay ki pi difisil nan yon gwo enfrastrikti se ke ou pa sonje nan ki eta sèvè a ye, si wi ou non June te rate enstale ajan sekirite oswa si li configured iptables kòrèkteman, men rudder ap ede ou kenbe okouran de tout evènman yo. Konsyan vle di ame! )
PS Li te vin pi plis pase sa mwen te planifye, mwen pa pral dekri ki jan yo enstale pakè, si toudenkou gen demann, mwen pral ekri yon dezyèm pati.
PSS Atik la se pou rezon enfòmasyon, mwen deside pataje li paske gen anpil enfòmasyon sou entènèt la. Petèt sa a pral enteresan pou yon moun. Pase yon bon jounen mezanmi)
Sou Dwa yo nan Piblisite
Sèvè sezon - Eske oswa Windows ak pwisan processeurs fanmi AMD EPYC ak kondui Intel NVMe trè vit. Prese pase lòd!
Sous: www.habr.com