Предговор
Наше „пријатељство“ је почело пре две године. Дошао сам на ново радно место, где ми је претходни админ случајно оставио овај софтвер у наслеђе. Нисам могао да нађем ништа на интернету осим званичне документације. Чак и сада, ако прогуглате „кормило“, у 99% случајева ће доћи до: бродских кормила и квадрокоптера. Успео сам да му нађем приступ. Пошто је заједница овог софтвера занемарљива, одлучио сам да поделим своје искуство и раке. Мислим да ће ово некоме бити од користи.
Дакле Кормило
Руддер је услужни програм за ревизију и управљање конфигурацијом отвореног кода који помаже у аутоматизацији конфигурације система. Ради на принципу инсталирања агента за сваког крајњег корисника. Преко практичног интерфејса можемо пратити колико је наша инфраструктура усклађена са свим наведеним смерницама.
Коришћење
У наставку ћу навести за шта користим кормило.
-
Контрола датотека и конфигурација: ./ссх/аутхоризед_кеис ; /етц/хостс ; иптаблес ; (и онда куда вас машта води)
-
Контрола инсталираних пакета: заббик.агент или било који други софтвер
Инсталација сервера
Недавно сам ажурирао са верзије 5 на 6.1, све је прошло добро. Испод су команде за Дебан/Убунту, али постоји и подршка: и .
Сакрићу инсталацију у спојлерима да вас не ометам.
Спојлер
Зависности
руддер-сервер захтева Јава РЕ најмање верзију 8, може се инсталирати из стандардног спремишта:
Проверавам да ли је инсталиран
java -versionако закључак
-bash: java: command not foundзатим инсталирајте
apt install default-jreСервер
Увоз кључа
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Ево самог отиска
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Пошто немамо плаћену претплату, додајемо следеће спремиште
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listАжурирајте листу спремишта и инсталирајте сервер
apt update
apt install rudder-server-rootКреирајте корисничког администратора
rudder server create-user -u admin -p "Ваш Пароль"У будућности можемо управљати корисницима преко конфигурације
То је то, сервер је спреман.
Подешавање сервера
Сада морате да додате ИП адресе агената или целу подмрежу агенту кормила, фокусирамо се на безбедносну политику.
Подешавања -> Опште
У поље „Додај мрежу“ унесите адресу и маску у формату кккк/кк. Да бисте дозволили приступ са свих адреса интерне мреже (Осим ако се наравно ради о тестној мрежи и ви сте иза НАТ-а) унесите: 0.0.0.0/0
Важно - након што додате ИП адресу, не заборавите да кликнете на Сачувај промене, иначе ништа неће бити сачувано.
Портс
Отворите следеће портове на серверу
-
443 - тцп
-
5309 - тцп
-
514 - удп
Средили смо почетно подешавање сервера.
Инсталација агента
Спојлер
Додавање кључа
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Отисак кључа
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Додавање спремишта
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listИнсталирање агента
apt update
apt install rudder-agentПодешавање агента
Агенту указујемо на ИП адресу сервера полиса
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Покретањем следеће команде послаћемо захтев за додавање новог агента на сервер, за пар минута ће се појавити на листи нових агената, објаснићу како да додате у следећем одељку
rudder agent inventoryТакође можемо натерати агента да се покрене и он ће одмах послати захтев
rudder agent runНаш агент је постављен, идемо даље.
Додавање агената
Пријавите се
https://127.0.0.1/rudder/index.html
Ваш агент ће се појавити у одељку „Прихвати нове чворове“, означите поље и кликните на Прихвати
Требало би да прође мало времена док систем не провери усклађеност сервера
Креирање група сервера
Хајде да направимо групу (то је и даље забава), немам појма зашто су програмери направили тако гнусно формирање групе, али како разумем, не постоји други начин. Идите у одељак Управљање чворовима -> Групе и кликните на Креирај, изаберите статичку групу и име.
Филтрирамо сервер који нам је потребан по посебним карактеристикама, на пример, по ИП адреси и сачувамо
Група је постављена.
Постављање правила
Идите на Политика конфигурације → Правила и креирајте ново правило
Додајте раније припремљену групу (ово се може урадити касније)
И формирамо нову директиву
Хајде да направимо директиву за додавање јавних кључева у .ссх/аутхоризед_кеис. Користим ово када нови запослени оде, или за реосигурање, на пример, ако ми неко случајно исече кључ.
Идите на Политику конфигурације → Директиве са леве стране видимо „Библиотеку директива“ Пронађите „Удаљени приступ → ССХ ауторизовани кључеви“, са десне стране кликните Креирај директиву
Уносимо податке о кориснику и додајемо његов кључ. Затим изаберите смернице апликације
-
Глобално – подразумевана политика
-
Енфорце - Извршите на изабраним серверима
-
Ревизија - Спровешће ревизију и рећи који клијенти имају кључ
Обавезно назначите наше правило
Затим сачувајте и готови сте.
Провера
Кључ је успешно додат
Бунс
Агент пружа потпуне информације о серверу. Листе инсталираних пакета, интерфејса, отворених портова и још много тога, што можете видети на слици испод
Такође можете инсталирати и контролисати софтвер не само на Линук-у већ и на Виндовс-у, нисам проверио ово друго, није било потребе..
Од аутора
Можда се питате, зашто поново измишљати точак ако су ансибле и лутка већ одавно измишљени?
Одговарам: Ансибле има неке недостатке, на пример, не видимо у каквом је стању ова конфигурација сада, или познату ситуацију када покренете улогу или плаибоок и појаве се грешке приликом пада, и почнете да се пењете на сервер и видите који пакет је ажуриран где. И једноставно нисам радио са лутком..
Да ли кормило има недостатака? Много.. Полазећи од чињенице да агенти падају и морате их поново инсталирати или користити команду за ресетовање кормила. (али успут, ово још нисам видео у верзији 6), што је резултирало изузетно сложеним подешавањем и нелогичним интерфејсом.
Има ли предности? А ту је и много предности: За разлику од добро познатог Ансибле-а, ми имамо веб интерфејс у којем можете видети усклађеност коју смо применили. На пример, да ли портови вире из света, какво је стање заштитног зида, да ли су инсталирани безбедносни агенти или други геџети.
Овај софтвер је савршен за одељење информационе безбедности, јер ће вам стање инфраструктуре увек бити пред очима, а ако неко од правила светли црвено, онда је то разлог да посетите сервер. Као што рекох, користим Кормило већ 2 године и ако га мало попушиш, живот постаје бољи. Најтежа ствар у великој инфраструктури је то што се не сећате у ком је стању сервер, да ли је јун пропустио инсталирање безбедносних агената или је исправно конфигурисао иптаблес, али кормило ће вам помоћи да будете у току са свим догађајима. Свестан значи наоружан! )
ПС Испоставило се много више него што сам планирао, нећу описивати како да инсталирам пакете, ако се изненада појаве захтеви, написаћу други део.
ПСС Чланак је информативног карактера, одлучио сам да га поделим пошто је на интернету врло мало информација. Можда ће ово некоме бити занимљиво. Угодан дан, драги пријатељи)
О правима оглашавања
Епски сервери - Је или Виндовс са моћним процесорима породице АМД ЕПИЦ и веома брзим Интел НВМе дисковима. Пожурите да наручите!
Извор: ввв.хабр.цом