ポート 80 経由の Linux/OpenWrt/Lede ベースのデバイスのリモート監視と管理 (続き)

これが記事の最後の部分です、ここからが始まりです habr.com/ru/post/445568
前回はデバイス監視の実装方法について書きましたが、今回は管理について説明します。 お客様側の「技術者」との話し合いの中で、このような小型デバイス (メモリ リソースやパフォーマンスが低い) の機能についての認識が限られていることによく遭遇します。多くの人は、「必要なのは再起動を送信することだけで、さらに何かを行うことです」と考えています。真剣にチームを送ります。」
しかし、実際にやってみると、これが完全に真実ではないことがわかります。 一般的な典型的なタスクの小さなリストを次に示します。

1. ネットワークの診断とトラブルシューティング。 通常、ルーターのイーサネット ポートの背後には、独自の内部 IP アドレスを持つ別のハードウェアがあります。 場合によっては、「ping」を実行できる (する必要がある) こともあります。 または、トンネル管理 - 3G モデムを介して動作しているルーターでトンネルが突然立ち上がらなくなった場合でも、ルーター自体は確認できます。
2. システム・メンテナンス。 ファームウェアのアップデート、サービス スクリプトのアップグレード。
3. 綱渡り。 これは「倒錯」とも言えますが、「均衡主義」の概念は次のように引用します。 「不安定な体の位置でもバランスを維持するサーカスのパフォーマーの能力」 - よりフィットします。 このような状況は、顧客の予算が限られているために発生します。 以下にいくつか例を挙げましたが… 物語のテーマとは直接関係ないのでメモに残しておきます

Wi-Fi監視過去XNUMX年間、主に連邦小売チェーンの間で流行した話題。 あなたがトレーディングフロアをのんびり散歩していると、Wi-Fi をオンにした携帯電話が、ネットワークのスレッドに「くっつこう」として定期的にプローブ リクエスト パケットを送信します。このパケットは、次のことを計算するために分析できます。あなた: この店にどのくらいの頻度で来ますか? どのような理由で来ますか? 軌跡に沿って歩きます。 その後、データが収集、分析され、ヒート マップが作成され、管理者はそのような画像のために経営陣や投資家から金銭を「強要」します。 まあ、今のところは...「お金はないけど、ちょっと待ってください...」そして、結果（現実）はすでに示されている必要があり、古き良き歌が始まります：「はい、はい、それならもちろん私たちは」 cis と必要なものすべてをインストールしますが、今度はお客様に結果を示す必要があります。 ところで、言い忘れていましたが、お客様は、あたかもゲスト クライアントであるかのように、Wi-Fi 経由で私たちの機器をホットスポットに接続することを許可してくれました。」 そこで、バランシング ルーターを作成する必要があります。いくつかの WiFi サブインターフェイスが起動され、そのうちの XNUMX つはホットスポットにしがみつき、XNUMX つ目は環境を監視し、必死に tcpdump の結果を自分自身にアップロードし、ファイルの内容をアーカイブにパックしてリスクを負います。 「過食」で死にそうな人は、FTPサーバー上に内容を吐き出そうとします。 バランシング ルーターが頻繁に「故障」し、何らかの方法で遠隔から「復活」させる必要があるのは驚くべきことではありません。

半径ここでの状況は、お客様の次のような発言で説明する方が簡単です。 「私たちは、モデルが事前にわかっていない機器でも、チャネルを通じて機能するホットスポットの分散型ネットワークを望んでいますが、どのチャネルかはまだわかっていません。 ああ、言い忘れていましたが、私たちはクライアントに広告を表示するだけでなく、ホットスポットが設置されている場所の周囲のあらゆるものを分析したいと考えています。 いいえ、理由はまだわかりませんが、私たちはそれを理解します、疑う必要はありません、私たちはこのアイデアを思いつくことができました。」

そして、これまで知られていなかった多くの状況により、IP: ポートを介してルーターに直接接続できず、ルーターからのアクティビティを単に待機する必要がある場合、制御は非標準的な条件で実行されなければならないことを忘れてはなりません。 自分自身を抽象化すると、サーバーとルーター間の対話は次のように表すことができます。

• ルーター： こんにちは。 私はこれこれのルーターですが、何かタスクはありますか?
• Сервер: ルーターあれこれ、あなたが生きていることを登録しました。 ここで課題があります。ifconfig コマンドの結果を見せてください。
• ルーター： こんにちは。 私はこれこれのルーターです。前回、ifconfig の結果を表示するように要求されましたが、これがその結果です。 私に何か仕事はありますか？
• Сервер: ルーターあれこれ、あなたが生きていることを登録しました。 あなたに課せられるタスクはありません。

最も興味深い質問は、リモート ルーターはどのようにして一定量の情報を送信できるのかということです。 最後の部分で、リソースが限られているため、ルーターには「必要なものを取り除いた」wget だけがあり、GET 経由でのみ機能し、他には何も機能せず、FTP クライアントやカールは存在しないと説明しました。 より正確には、画像アセンブリの機能に関係なく、普遍的な方法が必要です。 wgetを使うことにしました。 もっと正確に言えば、どうやって「やめた」かというと、単に選択肢がなかったのです:)

ただの免責事項私の管理ソリューションは機能しており、それほど制限はありませんが、たとえほとんどの顧客に適しているとしても、それが歪んでいることは確かです。 どうすれば賢明に実行できるでしょうか。ポート 80 経由で POST バイナリ データを送信する小さなユーティリティを作成するのです。 これ (ユーティリティ) をルーターのファームウェアに組み込み、bash を使用してアクセスします。 しかし現実は次のとおりです: a) すぐに行う必要がある b) おそらく既存の「ルーターの動物園」ですべてを行う必要がある c) 「危害を加えないでください!」 — ルーターが動作しており、他のタスクを実行している場合は、既存の機能に影響を与えない変更を加えてみてください。

実装に移りましょう。 顧客が「マウスのクリック」だけで簡単かつ自然にルーターを zabbix から再起動したいと考えているとします。 今日はZabbixを使った実装について説明していきます。
「管理」→「スクリプト」メニューで、新しいスクリプトを追加します。 これを「再起動」と呼びます。コマンドとして「php /usr/share/zabbix/reboot.php {HOST.HOST}」を入力します。

次に、メニュー「監視」→「最新データ」→「目的のネットワークノードを右クリック」します。 スクリプトを追加すると、メニューは次のようになります。

したがって、reboot.php スクリプトを /usr/share/zabbix ディレクトリに置きます (実際のディレクトリとは異なる場合があります。私は zabbixa ルート ディレクトリを使用します)。

安全上の免責事項スクリプト内の説明をわかりやすくするために、ルーター ID のみを使用し、パスワードは使用しません。 製品版ではこれを行うことはお勧めできません。 なぜこんなことをしたのかというと、ルーターのパスワードをどこに保存するかが大きな問題だからです。 zabbixe自体の「インベントリデータ」にあるのでしょうか？ 物議を醸す実践。 あるいは、reboot.php ファイル自体への外部アクセスを制限します。

ファイルreboot.php

<?php
	// присваиваем параметры с консоли переменным
	$user = $argv[1];
	// ВНИМАНИЕ. Вот здесь в целях безопасности все-таки прописывать пароль устройства! Но для демонстрации мы будем обращаться к базе данных без использования пароля. 
	//$password = $argv[2];
		
	$conn=new mysqli("localhost","db_user","db_password","db_name");
	if (mysqli_connect_errno()) {
		exit();
	}
	$conn->set_charset("utf8");
			
	// "Отправляем" команду reboot за счет изменения поля task таблицы users. В поле task можно отправлять любую команду.
	$sql_users=$conn->prepare("UPDATE users SET task='reboot' WHERE id=? AND status='active';");
	$sql_users->bind_param('s', $user);
	$sql_users->execute();
	$sql_users->close();
?>

それだけです。 「デバイスからコマンドを実行した結果をどのように取得するか」という疑問は未解決のままです。 ifconfig コマンドを例として使用してタスクを見てみましょう。 このコマンドはデバイスに送信できます。

message=`ifconfig`; wget "http://xn--80abgfbdwanb2akugdrd3a2e5gsbj.xn--p1ai/a.php?u=user&p=password!&m=$message" -O /tmp/out.txt

ここで、
メッセージ=`ifconfig` — ifconfig コマンド出力の結果を $message 変数に代入します
ウィゲット」xn--80abgfbdwanb2akugdrd3a2e5gsbj.xn--p1ai/a.php — ルーターを登録し、ルーターからメッセージを受信する a.php スクリプト
u=ユーザー&p=パスワード!&m=$メッセージ — 認証情報とリクエスト変数 m の値 — $message 変数の内容を割り当てます
-O /tmp/out.txt — この場合、ファイル /tmp/out.txt に出力する必要はありませんが、このパラメーターが指定されていない場合、wget は機能しません。

なぜこれが機能しないのでしょうか?それは潜在的なセキュリティホールだからです。 発生する可能性のある最も無害なエラーは、たとえば、コマンドの出力に「&」文字が含まれる場合です。 したがって、ルーターから送信されるすべてのものとサーバーに送信されるすべてのものの両方をフィルタリングする必要があります。 ええ、本当に恥ずかしいです。 私の弁護としては、この記事全体が、事前に定義されたファームウェアと、事前に定義されていない通信チャネルを備えたルーターを管理する方法に専念しているとしか書くことができません。

さて、将来へのスタートです。標準の zabbix ツールを使用して、サーバーに届く結果 (コマンドの実行結果など) を反映する方法がまだわかりません。

すべてのソースは次の Git リポジトリから取得できることを思い出してください。 github.com/BazDen/iotnet.online.git

出所： habr.com