Pambuka
"Persahabatan" kita wiwit rong taun kepungkur. Aku teka ing papan kerja anyar, ing ngendi admin sadurunge ninggalake kula piranti lunak iki minangka warisan. Aku ora bisa nemokake apa-apa ing Internet kajaba dokumentasi resmi. Malah saiki, yen sampeyan google "rudder", ing 99% kasus bakal teka karo: helms kapal lan quadcopters. Aku bisa nemokake pendekatan kanggo dheweke. Wiwit masyarakat lunak iki diabaikan, Aku mutusakΓ© kanggo nuduhake pengalaman lan rake. Aku iki bakal migunani kanggo wong.
Dadi Rudder
Rudder minangka sarana audit sumber terbuka lan manajemen konfigurasi sing mbantu ngotomatisasi konfigurasi sistem. Kerjane ing prinsip nginstal agen kanggo saben pangguna pungkasan. Liwat antarmuka sing trep, kita bisa ngawasi sepira infrastruktur kita tundhuk karo kabeh kabijakan sing ditemtokake.
Gunakake
Ing ngisor iki aku bakal dhaftar apa aku nggunakake Rudder kanggo.
-
Kontrol file lan konfigurasi: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (banjur menyang endi imajinasi sampeyan)
-
Kontrol paket sing diinstal: zabbix.agent utawa piranti lunak liyane
Instalasi server
Bubar aku nganyari saka versi 5 kanggo 6.1, kabeh dadi apik. Ing ngisor iki prentah kanggo Deban/Ubuntu nanging uga ana dhukungan: ΠΈ .
Aku bakal ndhelikake instalasi ing spoiler supaya ora ngganggu sampeyan.
Spoiler
Ketergantungan
rudder-server mbutuhake Java RE paling versi 8, bisa diinstal saka gudang standar:
Priksa manawa wis diinstal
java -versionyen kesimpulan
-bash: java: command not foundbanjur nginstal
apt install default-jreServer
Ngimpor kunci
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Punika print dhewe
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Amarga ora duwe langganan mbayar, kita nambahake repositori ing ngisor iki
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listNganyari dhaptar repositori lan instal server
apt update
apt install rudder-server-rootNggawe admin pangguna
rudder server create-user -u admin -p "ΠΠ°Ρ ΠΠ°ΡΠΎΠ»Ρ"Ing mangsa ngarep kita bisa ngatur pangguna liwat config
Mekaten, server siap.
Server Tuning
Saiki sampeyan kudu nambah alamat IP saka agen utawa kabeh subnet menyang agen rudder, kita fokus ing kabijakan keamanan.
Setelan -> Umum
Ing lapangan "Tambah jaringan", ketik alamat lan topeng ing format xxxx/xx. Kanggo ngidini akses saka kabeh alamat jaringan internal (Kajaba mesthi iki jaringan test lan sampeyan ana ing mburi NAT) ketik: 0.0.0.0/0
Penting - sawise nambahake alamat ip, aja lali klik Simpen owah-owahan, yen ora, ora ana sing bakal disimpen.
Pelabuhan
Bukak port ing ngisor iki ing server
-
443 - tcp
-
5309 - tcp
-
514 - udp
Kita wis ngurutake persiyapan server awal.
Instalasi Agen
Spoiler
Nambahake kunci
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -sidik jari kunci
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Nambah repositori
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listNginstal agen
apt update
apt install rudder-agentSetelan agen
We nunjukakΓ© kanggo agen alamat IP saka server privasi
rudder agent policy-server <rudder server ip or hostname> #ΠΠ΅Π· ΡΠΊΠΎΠ±ΠΎΠΊ. ΠΠΎΠΆΠ½ΠΎ ΡΠ°ΠΊΠΆΠ΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠ΅ ΠΈΠΌΡ Kanthi nglakokake perintah ing ngisor iki, kita bakal ngirim panjaluk kanggo nambah agen anyar menyang server, ing sawetara menit bakal katon ing dhaptar agen anyar, aku bakal nerangake carane nambah ing bagean sabanjure
rudder agent inventoryKita uga bisa meksa agen kanggo miwiti lan bakal ngirim panjalukan langsung
rudder agent runAgen kita wis diatur, ayo maju.
Nambah agen
mlebu
https://127.0.0.1/rudder/index.html
Agen sampeyan bakal katon ing bagean "Nampa simpul anyar", mriksa kothak banjur klik Nampa
Perlu sawetara wektu nganti sistem mriksa kepatuhan server
Nggawe grup server
Ayo nggawe grup (sing isih dadi hiburan), ora ngerti kenapa para pangembang nggawe formasi grup sing nggegirisi, nanging aku ngerti, ora ana cara liya. Pindhah menyang Manajemen Node -> bagean Grup banjur klik Gawe, pilih grup statis lan jeneng.
Kita nyaring server sing dibutuhake kanthi fitur khusus, contone, kanthi alamat ip, lan simpen
Klompok wis diatur.
Nyetel aturan
Pindhah menyang Kabijakan konfigurasi β Aturan lan gawe aturan anyar
Tambahake klompok sing wis disiapake sadurunge (iki bisa ditindakake mengko)
Lan kita nggawe arahan anyar
Ayo nggawe arahan kanggo nambah kunci umum menyang .ssh/authorized_keys. Aku nggunakake iki nalika karyawan anyar ninggalake, utawa kanggo reinsurance, contone, yen wong ora sengaja Cut metu kunci sandi.
Pindhah menyang Kabijakan Konfigurasi β Petunjuk ing sisih kiwa kita ndeleng "Perpustakaan Direktif" Temokake "Akses remot β Kunci sah SSH", ing sisih tengen klik Gawe Arahan
Kita ngetik informasi babagan pangguna lan nambah kunci. Sabanjure, pilih kabijakan aplikasi
-
Global - Kebijakan standar
-
Enforce - Eksekusi ing server sing dipilih
-
Audit - Bakal nganakake audit lan ngandhani klien sing duwe kunci
Dadi manawa kanggo nuduhake aturan kita
Banjur simpen lan sampeyan wis rampung.
Mriksa
Tombol kasil ditambahake
roti
Agen menehi informasi lengkap babagan server. Dhaptar paket sing diinstal, antarmuka, port mbukak lan liya-liyane, sing bisa dideleng ing gambar ing ngisor iki
Sampeyan uga bisa nginstal lan ngontrol piranti lunak ora mung ing Linux nanging uga ing Windows, aku ora mriksa sing terakhir, ora perlu.
Saka pengarang
Sampeyan bisa uga takon, kenapa nyipta maneh roda yen ansible lan wayang wis diciptakake biyen?
Aku njawab: Ansible wis sawetara drawbacks, Contone, kita ora weruh apa negara config iki saiki, utawa kahanan menowo nalika sampeyan miwiti peran utawa playbook lan kasalahan kacilakan katon, lan sampeyan miwiti menek menyang server lan ndeleng. paket apa wis dianyari ngendi. Lan aku mung ora nggarap wayang..
Apa ana kekurangan kanggo Rudder? A akèh .. Miwiti saka kasunyatan sing agen tiba mati lan sampeyan kudu instal maneh utawa nggunakake printah reset rudder. (nanging kanthi cara iki, aku durung weruh iki ing versi 6), nyebabake persiyapan sing rumit lan antarmuka sing ora logis.
Apa ana kaluwihan? Lan ana uga akeh kaluwihan: Ora kaya Ansible sing kondhang, kita duwe antarmuka web sing bisa ndeleng kepatuhan sing wis ditrapake. Contone, apa port tancep ing donya, apa negara firewall, agen keamanan diinstal utawa gadget liyane.
Piranti lunak iki cocog kanggo departemen keamanan informasi, amarga kahanan infrastruktur bakal tansah ana ing ngarepe mripatmu, lan yen ana aturan cahya abang, iki minangka alesan kanggo ngunjungi server. Nalika aku ngandika, Aku wis nggunakake Rudder kanggo 2 taun saiki, lan yen ngrokok iku sethitik, urip dadi luwih apik. Wangsulan: Bab ingkang paling angel ing infrastruktur gedhe iku sampeyan ora ngelingi apa negara server ing, apa Juni ora kejawab nginstal agen keamanan utawa apa kang diatur iptables bener, nanging rudder bakal mbantu supaya abreast kabeh acara. Sadar tegese bersenjata! )
PS Ternyata luwih akeh tinimbang sing dakrencanakake, aku ora bakal nerangake carane nginstal paket, yen dumadakan ana panjaluk, aku bakal nulis bagean liya.
PSS Artikel iki kanggo tujuan informasi, Aku mutusakΓ© kanggo nuduhake amarga ana sethitik banget informasi ing Internet. Mungkin iki bakal menarik kanggo wong. Sugeng dina, kanca-kanca sing dikasihi)
Ing Hak Iklan
Server epik Punika utawa Windows karo prosesor kulawarga AMD EPYC kuat lan drive Intel NVMe cepet banget. Cepet-cepet pesen!
Source: www.habr.com