Instalimi dhe funksionimi i timonit

Parathënie libri

"Miqësia" jonë filloi dy vjet më parë. Erdha në një vend të ri pune, ku administratori i mëparshëm më la rastësisht këtë softuer si trashëgimi. Nuk gjeta asgjë në internet përveç dokumentacionit zyrtar. Edhe tani, nëse google "rudder", në 99% të rasteve do të vijë me: timonë anijesh dhe kuadrokopterë. Arrita të gjeja një qasje ndaj tij. Meqenëse komuniteti i këtij softueri është i papërfillshëm, vendosa të ndaj përvojën time dhe grabitjen. Unë mendoj se kjo do të jetë e dobishme për dikë.

Pra Rudder

Rudder është një mjet i kontrollit dhe menaxhimit të konfigurimit me burim të hapur që ndihmon në automatizimin e konfigurimit të sistemit. Ai funksionon në parimin e instalimit të një agjenti për çdo përdorues fundor. Nëpërmjet një ndërfaqeje të përshtatshme, ne mund të monitorojmë se sa infrastruktura jonë përputhet me të gjitha politikat e specifikuara.

Përdorim

Më poshtë do të listoj se për çfarë e përdor Rudder.

• Kontrolli i skedarëve dhe konfigurimeve: ./ssh/authorized_keys ; /etc/hosts; iptables ; (dhe pastaj ku të çon imagjinata)

• Kontrolli i paketave të instaluara: zabbix.agent ose ndonjë softuer tjetër

Instalimi i serverit

Kohët e fundit kam përditësuar nga versioni 5 në 6.1, gjithçka shkoi mirë. Më poshtë janë komandat për Deban/Ubuntu por ka edhe mbështetje: RHEL/CentOS и Sles.

Unë do ta fsheh instalimin në spoilerë në mënyrë që të mos ju shpërqendroj.

Spoiler

varësitë

Serveri i timonit kërkon Java RE të paktën versionin 8, mund të instalohet nga depoja standarde:

Po kontrollon nëse është i instaluar

java -version

nëse përfundimi

-bash: java: command not found

pastaj instaloni

apt install default-jre

Serveri

Importimi i çelësit

wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -

Këtu është vetë printimi

pub  4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
      Key fingerprint = 7C16 9817 7904 212D D58C  B4D1 9322 C330 474A 19E8

Meqenëse nuk kemi një abonim me pagesë, shtojmë depon e mëposhtme

echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list

Përditësoni listën e depove dhe instaloni serverin

apt update
apt install rudder-server-root

Krijo administratorin e përdoruesit

rudder server create-user -u admin -p "Ваш Пароль"

Në të ardhmen ne mund të menaxhojmë përdoruesit përmes konfigurimit

Kjo është e gjitha, serveri është gati.

Akordimi i serverit

Tani ju duhet të shtoni adresat IP të agjentëve ose një nënrrjet të tërë në agjentin timon, ne fokusohemi në politikën e sigurisë.

Cilësimet -> Të përgjithshme

Në fushën "Shto një rrjet", vendosni adresën dhe maskën në formatin xxxx/xx. Për të lejuar aksesin nga të gjitha adresat e rrjetit të brendshëm (Përveç nëse sigurisht që ky është një rrjet testimi dhe ju jeni prapa NAT) shkruani: 0.0.0.0/0

E rëndësishme - pasi të keni shtuar adresën ip, mos harroni të klikoni Ruaj ndryshimet, përndryshe asgjë nuk do të ruhet.

Порты

Hapni portat e mëposhtme në server

• 443 - tcp

• 5309 - tcp

• 514 - udp

Ne kemi rregulluar konfigurimin fillestar të serverit.

Instalimi i agjentit

Spoiler

Shtimi i një çelësi

wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -

Gjurmë gishtash kyçe

pub  4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
      Key fingerprint = 7C16 9817 7904 212D D58C  B4D1 9322 C330 474A 19E8

Shtimi i një depoje

echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.list

Instalimi i agjentit

apt update
apt install rudder-agent

Konfigurimi i agjentit

Ne i tregojmë agjentit adresën IP të serverit të politikave

rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя 

Duke ekzekutuar komandën e mëposhtme, ne do të dërgojmë një kërkesë për të shtuar një agjent të ri në server, pas disa minutash ai do të shfaqet në listën e agjentëve të rinj, do të shpjegoj se si të shtoni në seksionin tjetër.

rudder agent inventory

Ne gjithashtu mund ta detyrojmë agjentin të fillojë dhe ai do ta dërgojë kërkesën menjëherë

rudder agent run

Agjenti ynë është ngritur, le të vazhdojmë.

Shtimi i agjentëve

Identifikohu

https://127.0.0.1/rudder/index.html

Agjenti juaj do të shfaqet në seksionin "Prano nyjet e reja", kontrolloni kutinë dhe klikoni Prano

Duhet pak kohë derisa sistemi të kontrollojë serverin për pajtueshmëri

Krijimi i grupeve të serverëve

Le të krijojmë një grup (që është akoma argëtim), nuk ka ide pse zhvilluesit bënë një formim kaq të tmerrshëm grupi, por siç e kuptoj unë, nuk ka rrugë tjetër. Shkoni te seksioni Menaxhimi i nyjeve -> Grupet dhe klikoni në Krijo, zgjidhni një grup dhe emër statik.

Ne filtrojmë serverin që na nevojitet sipas veçorive të veçanta, për shembull, sipas adresës ip dhe ruajmë

Grupi është ngritur.

Vendosja e rregullave

Shkoni te Politika e konfigurimit → Rregullat dhe krijoni një rregull të ri

Shtoni grupin e përgatitur më parë (kjo mund të bëhet më vonë)

Dhe ne formojmë një direktivë të re

Le të krijojmë një direktivë për shtimin e çelësave publikë në .ssh/authorized_keys. E përdor këtë kur largohet një punonjës i ri, ose për risigurim, për shembull, nëse dikush më pret çelësin aksidentalisht.

Shkoni te Politika e konfigurimit → Direktivat në të majtë shohim "Bibliotekën e Direktivës" Gjeni "Qasja në distancë → çelësat e autorizuar SSH", në të djathtë kliko Krijo direktivë

Ne futim informacione rreth përdoruesit dhe shtojmë çelësin e tij. Tjetra, zgjidhni politikën e aplikimit

• Global - Politika e parazgjedhur

• Enforce - Ekzekutoni në serverët e zgjedhur

• Auditimi - Do të kryejë një auditim dhe do të tregojë se cilët klientë kanë çelësin

Sigurohuni që të tregoni rregullin tonë

Pastaj ruani dhe keni mbaruar.

Po kontrollon

Çelësi u shtua me sukses

Simite

Agjenti ofron informacion të plotë rreth serverit. Listat e paketave të instaluara, ndërfaqet, portet e hapura dhe shumë më tepër, të cilat mund t'i shihni në pamjen e mëposhtme të ekranit

Ju gjithashtu mund të instaloni dhe kontrolloni softuerin jo vetëm në Linux, por edhe në Windows, unë nuk e kontrollova këtë të fundit, nuk kishte nevojë..

Nga autori

Ju mund të pyesni, pse të rishpikni rrotën nëse ansible dhe kukulla janë shpikur tashmë shumë kohë më parë?

Unë përgjigjem: Ansible ka disa të meta, për shembull, ne nuk shohim se në çfarë gjendje është ky konfigurim tani, ose situatën e njohur kur lëshoni një rol ose libër lojërash dhe shfaqen gabime në përplasje, dhe filloni të ngjiteni në server dhe të shihni cila paketë është përditësuar ku. Dhe thjesht nuk kam punuar me kukull..

A ka ndonjë disavantazh për Rudder? Shumë.. Duke u nisur nga fakti që agjentët bien dhe duhet t'i riinstaloni ose të përdorni komandën e rivendosjes së timonit. (por nga rruga, unë nuk e kam parë këtë ende në versionin 6), duke rezultuar në konfigurim jashtëzakonisht kompleks dhe një ndërfaqe të palogjikshme.

A ka ndonjë avantazh? Dhe ka gjithashtu shumë përparësi: Ndryshe nga Ansible-i i mirënjohur, ne kemi një ndërfaqe në internet në të cilën mund të shihni pajtueshmërinë që kemi aplikuar. Për shembull, a janë portet që dalin jashtë botës, si është gjendja e murit të zjarrit, a janë instaluar agjentë sigurie apo pajisje të tjera.

Ky softuer është i përsosur për departamentin e sigurisë së informacionit, pasi gjendja e infrastrukturës do të jetë gjithmonë para syve tuaj, dhe nëse ndonjë nga rregullat ndizet me të kuqe, atëherë kjo është një arsye për të vizituar serverin. Siç thashë, unë e përdor Rudder për 2 vjet tani, dhe nëse e pini pak, jeta bëhet më e mirë. Gjëja më e vështirë në një infrastrukturë të madhe është se ju nuk mbani mend se në çfarë gjendje është serveri, nëse qershori ka humbur instalimin e agjentëve të sigurisë ose nëse ai i ka konfiguruar saktë iptables, por timoni do t'ju ndihmojë të mbani krah për krah të gjitha ngjarjet. I vetëdijshëm do të thotë i armatosur! )

PS Doli shumë më tepër nga sa kisha planifikuar, nuk do të përshkruaj se si të instaloj paketat, nëse papritmas ka kërkesa, do të shkruaj një pjesë të dytë.

PSS Artikulli është për qëllime informative, vendosa ta ndaj pasi ka shumë pak informacion në internet. Ndoshta kjo do të jetë interesante për dikë. Ditë të mbarë, të dashur miq)

Për të Drejtat e Reklamimit

Serverë epikë - A VPS në Linux ose Windows me procesorë të fuqishëm të familjes AMD EPYC dhe disqe Intel NVMe shumë të shpejta. Nxitoni të porosisni!

Burimi: www.habr.com