Prefață
„Prietenia” noastră a început acum doi ani. Am ajuns la un nou loc de muncă, unde administratorul anterior mi-a lăsat liber acest software ca moștenire. Pe internet, în afară de documentația oficială, nu s-a găsit nimic. Chiar și acum, dacă căutați pe Google „cârmă”, în 99% din cazuri va da: cârmă de navă și quadrocoptere. Am reușit să găsesc o cale. Deoarece comunitatea acestui software este neglijabilă, am decis să-mi împărtășesc experiența și rake-ul. Cred că va fi de folos cuiva.
Deci Rudder
Rudder este un utilitar open source de auditare și management al configurației care ajută la automatizarea configurației sistemului. Funcționează pe principiul instalării unui agent pentru fiecare utilizator final. Printr-o interfață convenabilă, putem monitoriza cât de mult infrastructura noastră respectă toate politicile specificate.
Folosi
Mai jos voi enumera pentru ce folosesc Rudder.
-
Controlul fișierelor și configurațiilor: ./ssh/authorized_keys ; /etc/hosts ; iptables; (și apoi unde vă duce imaginația)
-
Controlul pachetelor instalate: zabbix.agent sau orice alt software
Instalare server
Recent am actualizat de la versiunea 5 la 6.1, totul a mers bine. Mai jos sunt comenzile pentru Deban/Ubuntu, dar există și suport: и .
Voi ascunde instalația în spoilere pentru a nu vă distrage atenția.
Jefuitor
Dependențe
rudder-server necesită Java RE cel puțin versiunea 8, poate fi instalat din depozitul standard:
Se verifică dacă este instalat
java -versiondacă concluzia
-bash: java: command not foundapoi instalați
apt install default-jreServer
Importul cheii
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Iată imprimarea în sine
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Deoarece nu avem un abonament plătit, adăugăm următorul depozit
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listActualizați lista de depozite și instalați serverul
apt update
apt install rudder-server-rootCreați administrator de utilizator
rudder server create-user -u admin -p "Ваш Пароль"În viitor, putem gestiona utilizatorii prin intermediul config
Gata, serverul este gata.
Ajustarea serverului
Acum trebuie să adăugați adresele IP ale agenților sau o întreagă subrețea la agentul de conducere, concentrându-vă pe politica de securitate.
Setări -> General
În câmpul „Adăugați o rețea” introduceți adresa și masca în format xxxx/xx . Pentru a permite accesul de la toate adresele rețelei interne (Dacă, desigur, aceasta este o rețea de test și sunteți în spatele NAT), introduceți: 0.0.0.0/0
Important - după adăugarea adresei IP, nu uitați să faceți clic pe Salvare modificări, altfel nimic nu va fi salvat.
porturi
Deschideți următoarele porturi pe server
-
443 - tcp
-
5309 - tcp
-
514 - udp
Ne-am dat seama de configurarea inițială a serverului.
Instalarea agentului
Jefuitor
Adăugarea unei chei
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Amprenta cheie
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Adăugarea unui depozit
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listInstalarea agentului
apt update
apt install rudder-agentConfigurarea agentului
Indicăm agentului adresa IP a serverului de politici
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Rulând următoarea comandă vom trimite o solicitare de adăugare a unui agent nou pe server, în câteva minute va apărea în lista de agenți noi, voi explica cum să adăugați în secțiunea următoare
rudder agent inventoryDe asemenea, putem forța agentul să pornească și acesta va trimite cererea instantaneu
rudder agent runAgentul nostru este înființat, să mergem mai departe.
Adăugarea de agenți
Log in
https://127.0.0.1/rudder/index.html
Agentul dvs. va apărea în secțiunea „Accept noduri noi”, bifați caseta și faceți clic pe Accept
Ar trebui să dureze ceva timp pentru ca sistemul să verifice serverul pentru conformitate
Crearea de grupuri de servere
Să creăm un grup (asta este încă divertisment), nicio idee de ce dezvoltatorii au făcut o formare de grup atât de odioasă, dar, după cum am înțeles, nu există altă cale. Accesați secțiunea Gestionare noduri -> Grupuri și faceți clic pe Creare, selectați un grup static și un nume.
Filtrăm serverul de care avem nevoie în funcție de semne speciale, de exemplu, după adresa IP și salvăm
Grupul este constituit.
Stabilirea regulilor
Accesați Politica de configurare → Reguli și creați o regulă nouă
Adăugați un grup pregătit anterior (acest lucru se poate face mai târziu)
Și formăm o nouă directivă
Să creăm o directivă pentru adăugarea cheilor publice la .ssh/authorized_keys. Folosesc acest lucru atunci când pleacă un nou angajat sau pentru reasigurare, de exemplu, dacă cineva îmi taie accidental cheia.
Accesați Politica de configurare → Directive în stânga vedem „Biblioteca de directive” Găsiți „Acces la distanță → Chei autorizate SSH”, în dreapta faceți clic pe Creare directivă
Introducem informații despre utilizator și adăugăm cheia acestuia. Apoi, selectați politica aplicației
-
Global - Politică implicită
-
Aplicare - Execută pe serverele selectate
-
Audit - Va efectua un audit și va spune care clienți au cheia
Asigurați-vă că indicați regula noastră
Apoi salvează și gata.
Control
Cheia adăugată cu succes
chifle
Agentul oferă informații complete despre server. Liste de pachete instalate, interfețe, porturi deschise și multe altele, pe care le puteți vedea în captura de ecran de mai jos
De asemenea, puteți instala și controla software nu numai pe Linux, ci și pe Windows, nu l-am verificat pe acesta din urmă, nu a fost nevoie ..
De la autor
S-ar putea să vă întrebați, de ce reinventați roata dacă ansible și marioneta au fost deja inventate cu mult timp în urmă?
Răspund: Ansible are deficiențe, de exemplu, nu vedem în ce stare se află această configurație acum, sau situația familiară când lansați un rol sau playbook și apar erori de blocare și începeți să urci pe server și să vedeți ce pachetul a fost actualizat unde. Și pur și simplu nu am lucrat cu marioneta...
Există dezavantaje la Rudder? Multe .. Plecand de la faptul ca agentii cad si trebuie sa ii reinstalezi sau sa folosesti comanda rudder reset. (dar apropo, încă nu am văzut asta în versiunea 6), terminând cu o configurare extrem de complexă și o interfață ilogică.
Există avantaje? Și există și o mulțime de plusuri: Spre deosebire de cunoscutul ansible, avem o interfață web în care putem vedea conformitatea aplicată de noi. De exemplu, dacă porturile ies în lume, în ce stare se află firewall-ul, dacă sunt instalați agenți de securitate sau alți rătăciți.
Acest software este perfect pentru departamentul de securitate a informațiilor, deoarece starea infrastructurii va fi întotdeauna în fața ochilor tăi, iar dacă vreuna dintre reguli se aprinde în roșu, atunci acesta este un motiv pentru a vizita serverul. După cum am spus, folosesc Rudder deja de 2 ani, iar dacă îl fumezi puțin, atunci viața devine mai bună. Cel mai dificil lucru într-o infrastructură mare este că nu vă amintiți în ce stare se află serverul, dacă June nu a instalat agenți de securitate sau a configurat corect iptables, rudder vă va ajuta să fiți la curent cu toate evenimentele. Conștient înseamnă înarmat! )
PS S-a dovedit mult mai mult decât am plănuit, nu voi descrie cum să instalez pachetele, dacă brusc apar solicitări, voi scrie o a doua parte.
PSS Articolul este cu scop informativ, am decis să-l distribui deoarece există foarte puține informații pe Internet. Poate va fi de interes pentru cineva. O zi buna dragi prieteni
Despre drepturile de publicitate
Servere epice - E sau Windows cu procesoare puternice din familia AMD EPYC și unități Intel NVMe foarte rapide. Grăbește-te să comanzi!
Sursa: www.habr.com