Parathënie libri
"Miqësia" jonë filloi dy vjet më parë. Erdha në një vend të ri pune, ku administratori i mëparshëm më la rastësisht këtë softuer si trashëgimi. Nuk gjeta asgjë në internet përveç dokumentacionit zyrtar. Edhe tani, nëse google "rudder", në 99% të rasteve do të vijë me: timonë anijesh dhe kuadrokopterë. Arrita të gjeja një qasje ndaj tij. Meqenëse komuniteti i këtij softueri është i papërfillshëm, vendosa të ndaj përvojën time dhe grabitjen. Unë mendoj se kjo do të jetë e dobishme për dikë.
Pra Rudder
Rudder është një mjet i kontrollit dhe menaxhimit të konfigurimit me burim të hapur që ndihmon në automatizimin e konfigurimit të sistemit. Ai funksionon në parimin e instalimit të një agjenti për çdo përdorues fundor. Nëpërmjet një ndërfaqeje të përshtatshme, ne mund të monitorojmë se sa infrastruktura jonë përputhet me të gjitha politikat e specifikuara.
Përdorim
Më poshtë do të listoj se për çfarë e përdor Rudder.
-
Kontrolli i skedarëve dhe konfigurimeve: ./ssh/authorized_keys ; /etc/hosts; iptables ; (dhe pastaj ku të çon imagjinata)
-
Kontrolli i paketave të instaluara: zabbix.agent ose ndonjë softuer tjetër
Instalimi i serverit
Kohët e fundit kam përditësuar nga versioni 5 në 6.1, gjithçka shkoi mirë. Më poshtë janë komandat për Deban/Ubuntu por ka edhe mbështetje:
Unë do ta fsheh instalimin në spoilerë në mënyrë që të mos ju shpërqendroj.
Spoiler
varësitë
Serveri i timonit kërkon Java RE të paktën versionin 8, mund të instalohet nga depoja standarde:
Po kontrollon nëse është i instaluar
java -version
nëse përfundimi
-bash: java: command not found
pastaj instaloni
apt install default-jre
Serveri
Importimi i çelësit
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -
Këtu është vetë printimi
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8
Meqenëse nuk kemi një abonim me pagesë, shtojmë depon e mëposhtme
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list
Përditësoni listën e depove dhe instaloni serverin
apt update
apt install rudder-server-root
Krijo administratorin e përdoruesit
rudder server create-user -u admin -p "Ваш Пароль"
Në të ardhmen ne mund të menaxhojmë përdoruesit përmes konfigurimit
Kjo është e gjitha, serveri është gati.
Akordimi i serverit
Tani ju duhet të shtoni adresat IP të agjentëve ose një nënrrjet të tërë në agjentin timon, ne fokusohemi në politikën e sigurisë.
Cilësimet -> Të përgjithshme
Në fushën "Shto një rrjet", vendosni adresën dhe maskën në formatin xxxx/xx. Për të lejuar aksesin nga të gjitha adresat e rrjetit të brendshëm (Përveç nëse sigurisht që ky është një rrjet testimi dhe ju jeni prapa NAT) shkruani: 0.0.0.0/0
E rëndësishme - pasi të keni shtuar adresën ip, mos harroni të klikoni Ruaj ndryshimet, përndryshe asgjë nuk do të ruhet.
Порты
Hapni portat e mëposhtme në server
-
443 - tcp
-
5309 - tcp
-
514 - udp
Ne kemi rregulluar konfigurimin fillestar të serverit.
Instalimi i agjentit
Spoiler
Shtimi i një çelësi
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -
Gjurmë gishtash kyçe
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8
Shtimi i një depoje
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list
Instalimi i agjentit
apt update
apt install rudder-agent
Konfigurimi i agjentit
Ne i tregojmë agjentit adresën IP të serverit të politikave
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя
Duke ekzekutuar komandën e mëposhtme, ne do të dërgojmë një kërkesë për të shtuar një agjent të ri në server, pas disa minutash ai do të shfaqet në listën e agjentëve të rinj, do të shpjegoj se si të shtoni në seksionin tjetër.
rudder agent inventory
Ne gjithashtu mund ta detyrojmë agjentin të fillojë dhe ai do ta dërgojë kërkesën menjëherë
rudder agent run
Agjenti ynë është ngritur, le të vazhdojmë.
Shtimi i agjentëve
Identifikohu
https://127.0.0.1/rudder/index.html
Agjenti juaj do të shfaqet në seksionin "Prano nyjet e reja", kontrolloni kutinë dhe klikoni Prano
Duhet pak kohë derisa sistemi të kontrollojë serverin për pajtueshmëri
Krijimi i grupeve të serverëve
Le të krijojmë një grup (që është akoma argëtim), nuk ka ide pse zhvilluesit bënë një formim kaq të tmerrshëm grupi, por siç e kuptoj unë, nuk ka rrugë tjetër. Shkoni te seksioni Menaxhimi i nyjeve -> Grupet dhe klikoni në Krijo, zgjidhni një grup dhe emër statik.
Ne filtrojmë serverin që na nevojitet sipas veçorive të veçanta, për shembull, sipas adresës ip dhe ruajmë
Grupi është ngritur.
Vendosja e rregullave
Shkoni te Politika e konfigurimit → Rregullat dhe krijoni një rregull të ri
Shtoni grupin e përgatitur më parë (kjo mund të bëhet më vonë)
Dhe ne formojmë një direktivë të re
Le të krijojmë një direktivë për shtimin e çelësave publikë në .ssh/authorized_keys. E përdor këtë kur largohet një punonjës i ri, ose për risigurim, për shembull, nëse dikush më pret çelësin aksidentalisht.
Shkoni te Politika e konfigurimit → Direktivat në të majtë shohim "Bibliotekën e Direktivës" Gjeni "Qasja në distancë → çelësat e autorizuar SSH", në të djathtë kliko Krijo direktivë
Ne futim informacione rreth përdoruesit dhe shtojmë çelësin e tij. Tjetra, zgjidhni politikën e aplikimit
-
Global - Politika e parazgjedhur
-
Enforce - Ekzekutoni në serverët e zgjedhur
-
Auditimi - Do të kryejë një auditim dhe do të tregojë se cilët klientë kanë çelësin
Sigurohuni që të tregoni rregullin tonë
Pastaj ruani dhe keni mbaruar.
Po kontrollon
Çelësi u shtua me sukses
Simite
Agjenti ofron informacion të plotë rreth serverit. Listat e paketave të instaluara, ndërfaqet, portet e hapura dhe shumë më tepër, të cilat mund t'i shihni në pamjen e mëposhtme të ekranit
Ju gjithashtu mund të instaloni dhe kontrolloni softuerin jo vetëm në Linux, por edhe në Windows, unë nuk e kontrollova këtë të fundit, nuk kishte nevojë..
Nga autori
Ju mund të pyesni, pse të rishpikni rrotën nëse ansible dhe kukulla janë shpikur tashmë shumë kohë më parë?
Unë përgjigjem: Ansible ka disa të meta, për shembull, ne nuk shohim se në çfarë gjendje është ky konfigurim tani, ose situatën e njohur kur lëshoni një rol ose libër lojërash dhe shfaqen gabime në përplasje, dhe filloni të ngjiteni në server dhe të shihni cila paketë është përditësuar ku. Dhe thjesht nuk kam punuar me kukull..
A ka ndonjë disavantazh për Rudder? Shumë.. Duke u nisur nga fakti që agjentët bien dhe duhet t'i riinstaloni ose të përdorni komandën e rivendosjes së timonit. (por nga rruga, unë nuk e kam parë këtë ende në versionin 6), duke rezultuar në konfigurim jashtëzakonisht kompleks dhe një ndërfaqe të palogjikshme.
A ka ndonjë avantazh? Dhe ka gjithashtu shumë përparësi: Ndryshe nga Ansible-i i mirënjohur, ne kemi një ndërfaqe në internet në të cilën mund të shihni pajtueshmërinë që kemi aplikuar. Për shembull, a janë portet që dalin jashtë botës, si është gjendja e murit të zjarrit, a janë instaluar agjentë sigurie apo pajisje të tjera.
Ky softuer është i përsosur për departamentin e sigurisë së informacionit, pasi gjendja e infrastrukturës do të jetë gjithmonë para syve tuaj, dhe nëse ndonjë nga rregullat ndizet me të kuqe, atëherë kjo është një arsye për të vizituar serverin. Siç thashë, unë e përdor Rudder për 2 vjet tani, dhe nëse e pini pak, jeta bëhet më e mirë. Gjëja më e vështirë në një infrastrukturë të madhe është se ju nuk mbani mend se në çfarë gjendje është serveri, nëse qershori ka humbur instalimin e agjentëve të sigurisë ose nëse ai i ka konfiguruar saktë iptables, por timoni do t'ju ndihmojë të mbani krah për krah të gjitha ngjarjet. I vetëdijshëm do të thotë i armatosur! )
PS Doli shumë më tepër nga sa kisha planifikuar, nuk do të përshkruaj se si të instaloj paketat, nëse papritmas ka kërkesa, do të shkruaj një pjesë të dytë.
PSS Artikulli është për qëllime informative, vendosa ta ndaj pasi ka shumë pak informacion në internet. Ndoshta kjo do të jetë interesante për dikë. Ditë të mbarë, të dashur miq)
Për të Drejtat e Reklamimit
Serverë epikë - A
Burimi: www.habr.com