Viruerteel
Eis "Frëndschaft" huet virun zwee Joer ugefaang. Ech sinn op eng nei Aarbechtsplaz komm, wou de fréiere Administrateur dës Software als Ierfschaft fir mech fräi hannerlooss huet. Um Internet konnt, ausser offizieller Dokumentatioun, näischt fonnt ginn. Och elo, wann Dir "Rudder" googlet, gëtt et an 99% vun de Fäll erausginn: Schëffsridder a Quadrokopter. Ech hunn et fäerdeg bruecht e Wee ze fannen. Well d'Gemeinschaft vun dëser Software vernoléisseg ass, hunn ech beschloss meng Erfahrung ze deelen an ze rake. Ech mengen et wäert nëtzlech sinn fir een.
Also Rudder
Rudder ass en Open Source Audit a Konfiguratiounsmanagement Utility deen hëlleft d'Systemkonfiguratioun ze automatiséieren. Et funktionnéiert um Prinzip fir en Agent fir all Endbenotzer z'installéieren. Duerch eng userfrëndlech Interface kënne mir beobachten wéi eis Infrastruktur all spezifizéierter Politik entsprécht.
Benotzt
Drënner wäert ech Lëscht wat ech Rudder fir benotzen.
-
Datei- a Konfiguratiounskontroll: ./ssh/authorized_keys ; /etc/hosts; iptables ; (an dann wou d'Fantasie féiert)
-
Kontroll vun installéiert Packagen: zabbix.agent oder all aner Software
Server Installatioun
Den aneren Dag hunn ech vun der Versioun 5 op 6.1 upgraden, alles ass gutt gaangen. Drënner sinn d'Befehle fir Deban / Ubuntu awer och ënnerstëtzen: и .
Ech verstoppen d'Installatioun a Spoiler fir Iech net ze distractéieren.
Spoiler
Ofhängegkeeten
Rudder-Server erfuerdert op d'mannst Java RE Versioun 8, kann aus dem Standard Repository installéiert ginn:
Kuckt ob et installéiert ass
java -versionwann Ausgang
-bash: java: command not founddann installéieren
apt install default-jreServer
De Schlëssel importéieren
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Hei ass den Impressum
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Well mir keen bezuelten Abonnement hunn, addéiere mir de folgende Repository
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listUpdate d'Lëscht vun de Repositories an installéiert de Server
apt update
apt install rudder-server-rootErstellt en Administrateur Benotzer
rudder server create-user -u admin -p "Ваш Пароль"An Zukunft kënne mir Benotzer duerch d'Konfiguratioun verwalten
Alles, de Server ass prett.
Server Tuning
Elo musst Dir d'IP Adressen vun Agenten oder e ganze Subnet zum Rudderagent addéieren, mat Fokus op d'Sécherheetspolitik.
Astellungen -> Allgemeng
Am Feld "Netzwierk addéieren" Gitt d'Adress an d'Mask am Format xxxx/xx . Fir Zougang vun allen Adressen vum internen Netzwierk z'erméiglechen (Wann dëst natierlech en Testnetz ass an Dir hannert NAT sidd), gitt: 0.0.0.0/0
Wichteg - nodeems Dir d'IP Adress bäigefüügt hutt, vergiesst net d'Ännerungen späicheren ze klicken, soss gëtt näischt gespäichert.
Häfen
Öffnen déi folgend Ports um Server
-
443-tp
-
5309-tcp
-
514-dp
Mir hunn den initialen Server Setup erausfonnt.
Installatioun vum Agent
Spoiler
E Schlëssel derbäi
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Schlëssel Fangerofdrock
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Dobäizemaachen vun engem Repository
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listInstallatioun vum Agent
apt update
apt install rudder-agentAgent Setup
Gitt d'IP Adress vum Politikserver un den Agent un
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Andeems Dir de folgende Kommando ausféiert, wäerte mir eng Ufro schécken fir en neien Agent op de Server ze addéieren, an e puer Minutten erschéngt et an der Lëscht vun den neien Agenten, ech erkläre wéi ech an der nächster Sektioun addéieren
rudder agent inventoryMir kënnen den Agent och forcéieren fir unzefänken an et wäert eng Ufro direkt schécken
rudder agent runEisen Agent ass opgestallt, loosst eis weidergoen.
Dobäizemaachen Agenten
Login
https://127.0.0.1/rudder/index.html
Ären Agent erschéngt an der Rubrik "Acceptéieren nei Noden", markéiert d'Këscht a klickt Akzeptéieren
Et sollt e puer Zäit daueren fir de System de Server fir d'Konformitéit z'iwwerpréiwen
Schafen Server Gruppen
Loosst eis e Grupp erstellen (dat ass nach ëmmer Ënnerhalung), ouni Hiweis firwat d'Entwéckler sou eng Hämorrhoidbildung vu Gruppen gemaach hunn, awer wéi ech et verstinn, gëtt et keng aner Manéier. Gitt an d'Node Management -> Groups Sektioun a klickt op Create, wielt eng statesch Grupp an en Numm.
Mir filteren de Server dee mir brauchen no spezielle Schëlder, zum Beispill duerch IP Adress, a späicheren
De Grupp ass opgestallt.
Regelen opstellen
Gitt op d'Konfiguratiounspolitik → Regelen a erstellt eng nei Regel
Füügt e Grupp virbereet fréier Grupp (dëst kann méi spéit gemaach ginn)
A mir bilden eng nei Direktiv
Loosst eis eng Direktiv erstellen fir ëffentlech Schlësselen op .ssh/authorized_keys ze addéieren. Ech benotzen dat wann en neien Employé verléisst, oder fir d'Wiederversécherung, zum Beispill, wann een zoufälleg mäi Schlëssel erauskënnt.
Gitt op d'Konfiguratiounspolitik → Direktiven op der lénker Säit gesinn mir "Direktivbibliothéik" Fannt "Fernzougang → SSH autoriséiert Schlësselen", op der rietser klickt Dir Direktiv erstellen
Mir gitt Daten iwwer de Benotzer a fügen säi Schlëssel dobäi. Als nächst, wielt eng Applikatiounspolitik
-
Global - Standardpolitik
-
Duerchsetze - Ausféieren op ausgewielte Serveren
-
Audit - Maacht en Audit a sot wéi eng Clienten de Schlëssel hunn
Gitt sécher eis Regel ze spezifizéieren
Da späichert an Dir sidd fäerdeg.
Iwwerpréiwen
Schlëssel erfollegräich dobäigesat
Buns
Den Agent gëtt komplett Informatioun iwwer de Server. Lëschte vun installéierten Packagen, Interfaces, Open Ports a vill méi, déi Dir am Screenshot hei drënner kënnt gesinn
Dir kënnt och Software installéieren a kontrolléieren net nëmmen op Linux awer och op Windows, ech hunn déi lescht net gepréift, et war kee Besoin ..
Vum Auteur
Dir musst froen, firwat d'Rad nei erfannen wann Ansible a Marionett scho laang erfonnt ginn?
Ech äntweren: Ansible huet Nodeeler, zum Beispill, mir gesinn net wat Staat dëser Configuratioun elo ass, oder jidderee weess d'Situatioun wann Dir eng Roll oder Playbook ufänken an Crash Feeler fléien, an Dir fänkt op de Server ze klammen a gesinn wat Package gouf aktualiséiert wou. An ech hu just net mat Marionett geschafft ..
Ginn et Nodeeler ze Rudder? Vill .. Start vun der Tatsaach, datt Agenten falen an Dir musst se nei installéieren oder de Kommando Rudder zrécksetzen. (mee iwwregens, ech hunn dat nach net an der Versioun 6 gesinn), op en Enn mat engem extrem komplexe Setup an engem onlogeschen Interface.
Ginn et Virdeeler? An et ginn och vill Pluses: Am Géigesaz zum bekannten Ansible hu mir e Webinterface an deem mir d'Konformitéit gesinn, déi vun eis applizéiert gëtt. Zum Beispill, ob Häfen an d'Welt stinn, a wéi engem Zoustand d'Firewall ass, ob Sécherheetsagenten oder aner Sträifen installéiert sinn.
Dës Software ass perfekt fir d'Informatiounssécherheetsdepartement, well den Zoustand vun der Infrastruktur ëmmer virun Ären Ae steet, a wann ee vun de Regele rout opléist, dann ass dat e Grond fir de Server ze besichen. Wéi gesot, ech benotzen Rudder scho 2 Joer, a wann Dir et e bësse fëmmt, da gëtt d'Liewen besser. Déi schwieregst Saach an enger grousser Infrastruktur ass datt Dir Iech net erënnert wat den Zoustand vum Server ass, egal ob Juni d'Installatioun vu Sécherheetsagenten oder konfiguréiert iptables korrekt verpasst huet, Rudder hëlleft Iech mat all Eventer ze halen. Bewosst heescht bewaffnet! )
PS Et huet sech vill méi erausgestallt wéi ech geplangt hunn, ech wäert net beschreiwen wéi ech Packagen installéiere kënnen, wann et Ufroe gëtt, schreiwen ech den zweeten Deel.
PSS Den Artikel ass fir Informatiounszwecker, ech hu beschloss et ze deelen well et ganz wéineg Informatioun um Internet gëtt. Vläicht wäert et fir een interesséieren. Schéinen Dag léif Frënn
Iwwer d'Rechter vu Reklammen
Epic Serveren Ass oder Windows mat mächtegen AMD EPYC Famill Prozessoren a ganz séier Intel NVMe fiert. Maacht séier fir ze bestellen!
Source: will.com