Prefácio
Nossa “amizade” começou há dois anos. Cheguei a um novo local de trabalho, onde o administrador anterior me deixou casualmente este software como herança. Não consegui encontrar nada na Internet além da documentação oficial. Mesmo agora, se você pesquisar “leme” no Google, em 99% dos casos surgirá: lemes de navios e quadricópteros. Consegui encontrar uma abordagem para ele. Como a comunidade deste software é insignificante, decidi compartilhar minha experiência e rake. Acho que isso será útil para alguém.
Então leme
Rudder é um utilitário de auditoria e gerenciamento de configuração de código aberto que ajuda a automatizar a configuração do sistema. Funciona segundo o princípio de instalar um agente para cada usuário final. Através de uma interface conveniente, podemos monitorar o quanto nossa infraestrutura está em conformidade com todas as políticas especificadas.
Usar
Abaixo vou listar para que uso o Rudder.
-
Controle de arquivos e configurações: ./ssh/authorized_keys ; /etc/hosts; tabelas de ip; (e então aonde sua imaginação leva)
-
Controle de pacotes instalados: zabbix.agent ou qualquer outro software
Instalação do servidor
Recentemente atualizei da versão 5 para 6.1, correu tudo bem. Abaixo estão os comandos para Deban/Ubuntu, mas também há suporte: и .
Vou esconder a instalação em spoilers para não distrair vocês.
Spoiler
Dependências
rudder-server requer Java RE pelo menos versão 8, pode ser instalado a partir do repositório padrão:
Verificando se está instalado
java -versionse a conclusão
-bash: java: command not foundentão instale
apt install default-jreServidor
Importando a chave
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Aqui está a impressão em si
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Como não temos uma assinatura paga, adicionamos o seguinte repositório
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listAtualize a lista de repositórios e instale o servidor
apt update
apt install rudder-server-rootCriar usuário administrador
rudder server create-user -u admin -p "Ваш Пароль"No futuro poderemos gerenciar usuários através da configuração
É isso, o servidor está pronto.
Ajuste do servidor
Agora você precisa adicionar os endereços IP dos agentes ou de uma sub-rede inteira ao agente do leme, focamos na política de segurança.
Configurações -> Geral
No campo “Adicionar uma rede”, insira o endereço e a máscara no formato xxxx/xx. Para permitir o acesso de todos os endereços da rede interna (a menos, claro, que esta seja uma rede de teste e você esteja atrás de NAT), digite: 0.0.0.0/0
Importante - após adicionar o endereço IP, não esqueça de clicar em Salvar alterações, caso contrário nada será salvo.
Portas
Abra as seguintes portas no servidor
-
443 -tcp
-
5309 - TCP
-
514 - udp
Resolvemos a configuração inicial do servidor.
Instalação do agente
Spoiler
Adicionando uma chave
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Impressão digital chave
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Adicionando um repositório
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listInstalando o agente
apt update
apt install rudder-agentConfiguração do agente
Indicamos ao agente o endereço IP do servidor de políticas
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Executando o seguinte comando enviaremos uma solicitação para adicionar um novo agente ao servidor, em alguns minutos ele aparecerá na lista de novos agentes, explicarei como adicionar na próxima seção
rudder agent inventoryTambém podemos forçar o agente a iniciar e ele enviará a solicitação instantaneamente
rudder agent runNosso agente está preparado, vamos em frente.
Adicionando agentes
Conecte-se
https://127.0.0.1/rudder/index.html
Seu agente aparecerá na seção “Aceitar novos nós”, marque a caixa e clique em Aceitar
Deve demorar um pouco até que o sistema verifique a conformidade do servidor
Criando grupos de servidores
Vamos criar um grupo (isso ainda é entretenimento), não faço ideia porque os desenvolvedores fizeram uma formação de grupo tão hedionda, mas pelo que entendi, não tem outro jeito. Vá para a seção Gerenciamento de nós -> Grupos e clique em Criar, selecione um grupo estático e um nome.
Filtramos o servidor que precisamos por recursos especiais, por exemplo, por endereço IP, e salvamos
O grupo está configurado.
Configurando regras
Vá para Política de configuração → Regras e crie uma nova regra
Adicione o grupo preparado anteriormente (isso pode ser feito mais tarde)
E formamos uma nova diretriz
Vamos criar uma diretiva para adicionar chaves públicas a .ssh/authorized_keys. Eu uso isso quando um novo funcionário sai ou para resseguro, por exemplo, se alguém acidentalmente cortar minha chave.
Vá para Política de configuração → Diretivas à esquerda vemos “Biblioteca de diretivas” Encontre “Acesso remoto → Chaves autorizadas SSH”, à direita clique em Criar diretiva
Inserimos informações sobre o usuário e adicionamos sua chave. Em seguida, selecione a política do aplicativo
-
Global – Política padrão
-
Aplicar - Executar em servidores selecionados
-
Auditoria - Realizará uma auditoria e informará quais clientes possuem a chave
Certifique-se de indicar nossa regra
Em seguida, salve e pronto.
Verificar
Chave adicionada com sucesso
pãezinhos
O agente fornece informações completas sobre o servidor. Listas de pacotes instalados, interfaces, portas abertas e muito mais, que você pode ver na imagem abaixo
Você também pode instalar e controlar o software não só no Linux, mas também no Windows, não verifiquei este último, não houve necessidade.
Do autor
Você pode estar se perguntando: por que reinventar a roda se o ansible e o fantoche já foram inventados há muito tempo?
Eu respondo: Ansible tem algumas desvantagens, por exemplo, não vemos em que estado esta configuração está agora, ou a situação familiar quando você inicia uma função ou manual e erros de travamento aparecem, e você começa a subir no servidor e vê qual pacote foi atualizado onde. E eu simplesmente não trabalhei com fantoche..
Há alguma desvantagem no Rudder? Muito... A começar pelo fato de os agentes caírem e você ter que reinstalá-los ou usar o comando de reset do leme. (mas, aliás, ainda não vi isso na versão 6), resultando em uma configuração extremamente complexa e uma interface ilógica.
Existem vantagens? E também há muitas vantagens: Ao contrário do conhecido Ansible, temos uma interface web na qual você pode ver a conformidade que aplicamos. Por exemplo, quais são as portas que se destacam para o mundo, qual é o estado do firewall, se estão instalados agentes de segurança ou outros dispositivos.
Este software é perfeito para o departamento de segurança da informação, pois o estado da infraestrutura estará sempre diante dos seus olhos, e se alguma das regras acender em vermelho é um motivo para visitar o servidor. Como eu disse, uso Rudder há 2 anos e se você fumar um pouco a vida melhora. O mais difícil em uma grande infraestrutura é que você não se lembra em que estado o servidor está, se June perdeu a instalação dos agentes de segurança ou se configurou o iptables corretamente, mas o leme o ajudará a se manter atualizado sobre todos os eventos. Consciente significa armado! )
PS Aconteceu muito mais do que planejei, não vou descrever como instalar pacotes, se de repente houver solicitações, escreverei uma segunda parte.
PSS O artigo tem caráter informativo, resolvi compartilhá-lo pois há muito pouca informação na Internet. Talvez isso seja interessante para alguém. Tenha um bom dia, queridos amigos)
Como a publicidade
Servidores épicos - É ou Windows com poderosos processadores da família AMD EPYC e unidades Intel NVMe muito rápidas. Apresse-se para fazer o pedido!
Fonte: habr.com