Как да наблюдавате сигурно отдалечени сървъри с помощта на Zabbix на CentOS 7

Инсталирайте и конфигурирайте PostgreSQL

Настройте агента на отдалечени Linux машини

Zabbix е безплатен софтуер с отворен код, готов за предприятия, използван за наблюдение на наличността на системи и мрежови компоненти. Zabbix може да наблюдава хиляди сървъри, виртуални машини или мрежови компоненти едновременно. Zabbix може да наблюдава почти всичко, свързано със система като процесор, памет, дисково пространство и IO, процеси, мрежа, бази данни, виртуални машини и уеб услуги. Ако IPMI достъпът е осигурен на Zabbix, той може също да наблюдава хардуера като температура, напрежение и т.н.

Предпоставки

Сървърна инстанция Vultr CentOS 7.
А потребителското Sudo .

За този урок ще използваме 192.0.2.1като публичен IP адрес на Zabbix сървъра и 192.0.2.2като публичен IP адрес на Zabbix хост, който ще наблюдаваме дистанционно. Моля, не забравяйте да замените всички поява на примерния IP адрес с вашите действителни публични IP адреси.

Актуализирайте базовата си система с помощта на ръководството Как да актуализирате CentOS 7 . След като вашата система бъде актуализирана, продължете с инсталирането на зависимостите.

Инсталирайте Apache и PHP

При инсталиране на Zabbix web, той автоматично създава конфигурацията за Apache.

Инсталирайте Apache, за да обслужва предния край на Zabbix или уеб потребителския интерфейс.

sudo yum -y install httpd

Стартирайте Apache и го активирайте да стартира автоматично при стартиране.

sudo systemctl start httpd
sudo systemctl enable httpd

Добавете и активирайте Remiхранилището, тъй като YUMхранилището по подразбиране съдържа по-стара версия на PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Инсталирайте най-новата версия на PHP заедно с модулите, изисквани от Zabbix.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Инсталирайте и конфигурирайте PostgreSQL

PostgreSQL е обектно-релационна система за бази данни. Ще трябва да добавите хранилището на PostgreSQL във вашата система, тъй като хранилището на YUM по подразбиране съдържа по-стара версия на PostgreSQL.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Инсталирайте сървъра на база данни PostgreSQL.

sudo yum -y install postgresql96-server postgresql96-contrib

Инициализирайте базата данни.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb създава нов клъстер от бази данни, който е група от бази данни, управлявани от един сървър.

Редактирайте, за pg_hba.confда активирате MD5 базирано удостоверяване.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Намерете следните редове и променете peerна trustи idnetна md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

След като бъде актуализирана, конфигурацията трябва да изглежда както е показано по-долу.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Стартирайте PostgreSQL сървъра и го активирайте да стартира автоматично при стартиране.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Променете passwordза потребителя на PostgreSQL по подразбиране.

sudo passwd postgres

Влезте като потребител на PostgreSQL.

sudo su - postgres

Създайте нов потребител на PostgreSQL за Zabbix.

createuser zabbix

Превключете към обвивката на PostgreSQL.

psql

Задайте парола за новосъздадения потребител на база данни за базата данни Zabbix.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Създайте нова база данни за Zabbix.

CREATE DATABASE zabbix OWNER zabbix;

Излезте от psqlчерупката.

\q

Превключете към sudoпотребителя от текущия postgresпотребител.

exit

Инсталирайте Zabbix

Zabbix предоставя двоични файлове за CentOS, които могат да бъдат инсталирани директно от хранилището на Zabbix. Добавете Zabbix хранилището към вашата система.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Инсталирайте Zabbix serverи Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

Импортирайте базата данни PostgreSQL.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Трябва да видите нещо подобно на следното в края на изхода.

...
INSERT 0 1
INSERT 0 1
COMMIT

Отворете конфигурационния файл на Zabbix, за да актуализирате данните за базата данни.

sudo nano /etc/zabbix/zabbix_server.conf

Намерете следните редове и актуализирайте стойностите според конфигурацията на вашата база данни. Вие ще трябва да разкоментирате на DBHostи DBPortлинии.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix автоматично инсталира виртуалния хост файл за Apache. Ще трябва да конфигурираме виртуалния хост за актуализиране на часовата зона и версията на PHP.

sudo nano /etc/httpd/conf.d/zabbix.conf

Намерете следните редове.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Тъй като използваме PHP версия 7, вие също ще трябва да актуализирате mod_phpверсията. Актуализирайте линиите според вашата часова зона, както е показано по-долу.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Сега рестартирайте Apache, за да приложите тези промени в конфигурацията.

sudo systemctl restart httpd

Стартирайте Zabbix сървъра и го активирайте да стартира автоматично при стартиране.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Трябва да стартирате Zabbix сървъра сега. Можете да проверите състоянието на процеса, като стартирате това.

sudo systemctl status zabbix-server

Променете защитната стена, за да разрешите стандарта HTTPи HTTPSпорта. Ще трябва също да разрешите порт 10051през защитната стена, която ще се използва от Zabbix за получаване на събитията от Zabbix агент, работещ на отдалечени машини.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

To access the administration dashboard, you can open http://192.0.2.1/zabbix using your favorite browser. You will see a welcome message. You should have all the prerequisites satisfied on the next interface. Follow the instructions on the installer page to install the software. Once the software has been installed, login using the username Admin and password zabbix. Zabbix is now installed and ready to collect the data from the Zabbix agent.

Setup a Zabbix Agent on the Server

To monitor the server on which Zabbix is installed, you can set up the agent on the server. The Zabbix agent will gather the event data from the Linux server to send it to the Zabbix server. By default, port 10050 is used to send the events and data to the server.

Install the Zabbix agent.

sudo yum -y install zabbix-agent

Start the agent and enable it to automatically start at boot.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

The communication between the Zabbix agent and the Zabbix server is done locally, thus there is no need to set up any encryption.

Before the Zabbix server can receive any data, you need to enable the host. Login to the web administration dashboard of the Zabbix server and go to Configuration >> Host. You will see a disabled entry of the Zabbix server host. Select the entry and click on the "Enable" button to enable the monitoring of the Zabbix server application and the base CentOS system on which the Zabbix server is installed.

Setup the Agent on Remote Linux Machines

There are three methods by which a remote Zabbix agent can send events to the Zabbix server. The first method is to use an unencrypted connection, and the second is using a secured pre-shared key. The third and most secure way is to encrypt the transmission using RSA certificates.

Before we proceed to install and configure the Zabbix agent on the remote machine, we need to generate the certificates on the Zabbix server system. We will use self-signed certificates.

Run the following commands on the Zabbix server as a sudo user.

Create a new directory to store Zabbix keys and generate the private key for the CA.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

It will ask you for a passphrase to protect the private key. Once the private key has been generated, proceed to generate the certificate for the CA.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Предоставете паролата на частния ключ. Ще ви поиска няколко подробности за вашата страна, държава, организация. Предоставете съответните подробности.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Успешно генерирахме CA сертификата. Генерирайте частния ключ и CSR за Zabbix сървър.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Моля, не предоставяйте парола за криптиране на частния ключ, когато изпълнявате горната команда. Използвайки CSR, генерирайте сертификата за Zabbix сървъра.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

По същия начин генерирайте частния ключ и CSR за Zabbix хост или агент.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Сега генерирайте сертификата.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Копирайте сертификатите в конфигурационната директория на Zabbix.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Предоставете собствеността върху сертификатите на Zabbixпотребителя.

sudo chown -R zabbix: /etc/zabbix/keys

Отворете конфигурационния файл на Zabbix сървъра, за да актуализирате пътя на сертификатите.

sudo nano /etc/zabbix/zabbix_server.conf

Намерете тези редове в конфигурационния файл и ги променете, както е показано.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Запазете файла и излезте от редактора. Рестартирайте Zabbix сървъра, за да може промяната в конфигурацията да влезе в сила.

sudo systemctl restart zabbix-server

Копирайте сертификатите с помощта на scpкомандата на хост компютъра, който искате да наблюдавате.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Уверете се, че сте заменили 192.0.2.2с действителния IP адрес на отдалечения хост, на който искате да инсталирате Zabbix агента.

Инсталирайте Zabbix хоста

След като копирахме сертификатите в хост системата, сме готови да инсталираме Zabbix агента.

Оттук нататък всички команди трябва да се изпълняват на хоста, който искате да наблюдавате .

Добавете Zabbix хранилището в системата.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Инсталирайте Zabbix агента в системата.

sudo yum -y install zabbix-agent

Преместете ключа и сертификатите в конфигурационната директория на Zabbix.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Предоставете собствеността върху сертификатите на потребителя на Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Отворете конфигурационния файл на Zabbix агента, за да актуализирате IP адреса на сървъра и пътя към ключа и сертификатите.

sudo nano /etc/zabbix/zabbix_agentd.conf

Намерете следния ред и направете необходимите промени, за да изглеждат както е показано по-долу.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Името на хоста трябва да бъде уникален низ, който не е посочен за никоя друга хост система. Моля, отбележете името на хоста, тъй като ще трябва да зададем точното име на хоста в Zabbix сървъра.

Освен това актуализирайте стойностите на тези параметри.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Сега рестартирайте Zabbix агента и го активирайте да стартира автоматично при стартиране.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Успешно конфигурирахте Zabbix агента на хост системата. Разгледайте таблото за управление на Zabbix на адрес, за https://192.0.2.1/zabbixда добавите новоконфигурирания хост.

Отидете Configuration >> Hostsи кликнете върху Create Hostбутона в горния десен ъгъл.