Perutusan
"Persahabatan" kami bermula dua tahun lalu. Saya datang ke tempat kerja baru, di mana admin sebelum ini secara santai meninggalkan saya perisian ini sebagai warisan. Saya tidak dapat mencari apa-apa di Internet selain daripada dokumentasi rasmi. Malah sekarang, jika anda google "kemudi", dalam 99% kes ia akan menghasilkan: helm kapal dan quadcopter. Saya berjaya mencari pendekatan kepadanya. Memandangkan komuniti perisian ini boleh diabaikan, saya memutuskan untuk berkongsi pengalaman dan mencari. Saya fikir ini akan berguna kepada seseorang.
Jadi Kemudi
Rudder ialah utiliti pengauditan dan pengurusan konfigurasi sumber terbuka yang membantu mengautomasikan konfigurasi sistem. Ia berfungsi berdasarkan prinsip memasang ejen untuk setiap pengguna akhir. Melalui antara muka yang mudah, kami boleh memantau sejauh mana infrastruktur kami mematuhi semua dasar yang ditentukan.
Gunakan
Di bawah saya akan menyenaraikan apa yang saya gunakan untuk Kemudi.
-
Kawalan fail dan konfigurasi: ./ssh/authorized_keys ; /etc/hosts ; iptables ; (dan kemudian ke mana imaginasi anda membawa)
-
Kawalan pakej yang dipasang: zabbix.agent atau mana-mana perisian lain
Pemasangan pelayan
Baru-baru ini saya mengemas kini dari versi 5 hingga 6.1, semuanya berjalan lancar. Di bawah adalah arahan untuk Deban/Ubuntu tetapi terdapat juga sokongan: ΠΈ .
Saya akan menyembunyikan pemasangan dalam spoiler supaya tidak mengganggu anda.
Spoiler
Kebergantungan
rudder-server memerlukan Java RE sekurang-kurangnya versi 8, boleh dipasang dari repositori standard:
Menyemak untuk melihat sama ada ia dipasang
java -versionjika kesimpulannya
-bash: java: command not foundkemudian pasang
apt install default-jrepelayan
Mengimport kunci
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Berikut adalah cetakan itu sendiri
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Memandangkan kami tidak mempunyai langganan berbayar, kami menambah repositori berikut
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listKemas kini senarai repositori dan pasang pelayan
apt update
apt install rudder-server-rootBuat pentadbir pengguna
rudder server create-user -u admin -p "ΠΠ°Ρ ΠΠ°ΡΠΎΠ»Ρ"Pada masa hadapan kami boleh menguruskan pengguna melalui konfigurasi
Itu sahaja, pelayan sudah siap.
Penalaan Pelayan
Kini anda perlu menambah alamat IP ejen atau keseluruhan subnet pada ejen kemudi, kami memberi tumpuan kepada dasar keselamatan.
Tetapan -> Umum
Dalam medan "Tambah rangkaian", masukkan alamat dan topeng dalam format xxxx/xx. Untuk membenarkan akses daripada semua alamat rangkaian dalaman (Melainkan sudah tentu ini adalah rangkaian ujian dan anda berada di belakang NAT) masukkan: 0.0.0.0/0
Penting - selepas menambah alamat ip, jangan lupa klik Simpan perubahan, jika tidak, tiada apa yang akan disimpan.
Pelabuhan
Buka port berikut pada pelayan
-
443 - tcp
-
5309 - tcp
-
514 - udp
Kami telah menyelesaikan persediaan pelayan awal.
Pemasangan Ejen
Spoiler
Menambah kunci
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Cap jari kunci
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Menambah repositori
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listMemasang ejen
apt update
apt install rudder-agentPersediaan ejen
Kami menunjukkan kepada ejen alamat IP pelayan dasar
rudder agent policy-server <rudder server ip or hostname> #ΠΠ΅Π· ΡΠΊΠΎΠ±ΠΎΠΊ. ΠΠΎΠΆΠ½ΠΎ ΡΠ°ΠΊΠΆΠ΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠ΅ ΠΈΠΌΡ Dengan menjalankan arahan berikut kami akan menghantar permintaan untuk menambah ejen baru ke pelayan, dalam beberapa minit ia akan muncul dalam senarai ejen baru, saya akan menerangkan bagaimana untuk menambah di bahagian seterusnya
rudder agent inventoryKami juga boleh memaksa ejen untuk memulakan dan ia akan menghantar permintaan serta-merta
rudder agent runEjen kami sudah sedia, mari teruskan.
Menambah ejen
Log masuk
https://127.0.0.1/rudder/index.html
Ejen anda akan muncul dalam bahagian "Terima nod baharu", tandai kotak dan klik Terima
Ia perlu mengambil sedikit masa sehingga sistem menyemak pelayan untuk pematuhan
Mencipta kumpulan pelayan
Mari kita buat kumpulan (itu masih hiburan), tidak tahu mengapa pembangun melakukan pembentukan kumpulan yang keji, tetapi seperti yang saya faham, tidak ada cara lain. Pergi ke bahagian Pengurusan Nod -> Kumpulan dan klik pada Buat, pilih kumpulan dan nama statik.
Kami menapis pelayan yang kami perlukan dengan ciri khas, contohnya, dengan alamat ip, dan simpan
Kumpulan itu ditubuhkan.
Menetapkan peraturan
Pergi ke Dasar konfigurasi β Peraturan dan buat peraturan baharu
Tambah kumpulan yang disediakan lebih awal (ini boleh dilakukan kemudian)
Dan kami membentuk arahan baharu
Mari buat arahan untuk menambahkan kunci awam pada .ssh/authorized_keys. Saya menggunakan ini apabila pekerja baharu keluar, atau untuk insurans semula, contohnya, jika seseorang memotong kunci saya secara tidak sengaja.
Pergi ke Dasar konfigurasi β Arahan di sebelah kiri kita lihat "Perpustakaan arahan" Cari "Akses jauh β kunci dibenarkan SSH", di sebelah kanan klik Cipta Arahan
Kami memasukkan maklumat tentang pengguna dan menambah kuncinya. Seterusnya, pilih dasar aplikasi
-
Global - Dasar lalai
-
Kuatkuasa - Laksanakan pada pelayan yang dipilih
-
Audit - Akan menjalankan audit dan memberitahu pelanggan mana yang mempunyai kunci
Pastikan anda menunjukkan peraturan kami
Kemudian simpan dan anda selesai.
Memeriksa
Kunci berjaya ditambahkan
Roti
Ejen menyediakan maklumat lengkap tentang pelayan. Senarai pakej yang dipasang, antara muka, port terbuka dan banyak lagi, yang boleh anda lihat dalam tangkapan skrin di bawah
Anda juga boleh memasang dan mengawal perisian bukan sahaja pada Linux tetapi juga pada Windows, saya tidak menyemak yang terakhir, tidak perlu..
Dari pengarang
Anda mungkin bertanya, mengapa mencipta semula roda jika ansible dan boneka telah dicipta lama dahulu?
Saya menjawab: Ansible mempunyai beberapa kelemahan, contohnya, kami tidak melihat keadaan konfigurasi ini sekarang, atau situasi biasa apabila anda melancarkan peranan atau buku main dan ralat ranap muncul, dan anda mula naik ke pelayan dan melihat pakej apa yang telah dikemaskini di mana. Dan saya tidak bekerja dengan boneka..
Adakah terdapat sebarang kelemahan pada Rudder? Banyak.. Bermula dari fakta bahawa ejen jatuh dan anda perlu memasang semula mereka atau menggunakan arahan set semula kemudi. (tetapi dengan cara ini, saya belum melihat ini dalam versi 6 lagi), menghasilkan persediaan yang sangat kompleks dan antara muka yang tidak logik.
Adakah terdapat sebarang kelebihan? Dan terdapat juga banyak kelebihan: Tidak seperti Ansible yang terkenal, kami mempunyai antara muka web yang membolehkan anda melihat pematuhan yang telah kami gunakan. Sebagai contoh, adakah port yang menonjol ke dunia, apakah keadaan firewall, adakah ejen keselamatan dipasang atau alat lain.
Perisian ini sesuai untuk jabatan keselamatan maklumat, kerana keadaan infrastruktur akan sentiasa berada di hadapan mata anda, dan jika mana-mana peraturan menyala merah, maka ini adalah sebab untuk melawat pelayan. Seperti yang saya katakan, saya telah menggunakan Rudder selama 2 tahun sekarang, dan jika anda menghisapnya sedikit, kehidupan menjadi lebih baik. Perkara yang paling sukar dalam infrastruktur yang besar ialah anda tidak ingat keadaan pelayan itu, sama ada Jun terlepas memasang ejen keselamatan atau sama ada dia mengkonfigurasi iptables dengan betul, tetapi kemudi akan membantu anda mengikuti semua acara. Sedar bermakna bersenjata! )
PS Ternyata lebih daripada yang saya rancangkan, saya tidak akan menerangkan cara memasang pakej, jika tiba-tiba ada permintaan, saya akan menulis bahagian kedua.
PSS Artikel itu adalah untuk tujuan maklumat, saya memutuskan untuk berkongsi kerana terdapat sangat sedikit maklumat di Internet. Mungkin ini akan menarik minat seseorang. Semoga harimu menyenangkan, kawan-kawan yang dikasihi)
Sebagai iklan
Pelayan epik - Adakah atau Windows dengan pemproses keluarga AMD EPYC yang berkuasa dan pemacu Intel NVMe yang sangat pantas. Cepat-cepat order!
Sumber: www.habr.com