Kaugserverite turvaline jälgimine Zabbixi abil CentOS 7-s

Eeltingimused

Installige Apache ja PHP

Installige ja konfigureerige PostgreSQL

Installige Zabbix

Seadistage serveris Zabbixi agent

Seadistage agent Linuxi kaugmasinatel

Installige Zabbix Host

Järeldus

Zabbix on tasuta ja avatud lähtekoodiga ettevõtte jaoks valmis tarkvara, mida kasutatakse süsteemide ja võrgukomponentide saadavuse jälgimiseks. Zabbix saab korraga jälgida tuhandeid servereid, virtuaalmasinaid või võrgukomponente. Zabbix saab jälgida peaaegu kõike süsteemiga seonduvat, nagu protsessor, mälu, kettaruum ja IO, protsessid, võrk, andmebaasid, virtuaalmasinad ja veebiteenused. Kui Zabbixile antakse IPMI-juurdepääs, saab see jälgida ka riistvara, näiteks temperatuuri, pinget ja nii edasi.

Eeltingimused

Vultr CentOS 7 serveri eksemplar.
Sudo kasutaja .

Selle õpetuse jaoks kasutame 192.0.2.1Zabbixi serveri 192.0.2.2avaliku IP-aadressina ja Zabbixi hosti avaliku IP-aadressina, mida me kaugjälgime. Asendage kindlasti kõik näidis-IP-aadressi esinemised oma tegelike avalike IP-aadressidega.

Värskendage oma baassüsteemi, kasutades juhendit CentOS 7 värskendamine . Kui teie süsteem on värskendatud, jätkake sõltuvuste installimisega.

Installige Apache ja PHP

Zabbixi veebi installimisel loob see automaatselt Apache'i konfiguratsiooni.

Zabbixi esiosa või veebiliidese teenindamiseks installige Apache.

sudo yum -y install httpd

Käivitage Apache ja lubage see automaatselt käivitamisel käivituda.

sudo systemctl start httpd
sudo systemctl enable httpd

Lisage ja lubage Remihoidla, kuna YUMvaikehoidla sisaldab PHP vanemat versiooni.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Installige PHP uusim versioon koos Zabbixi nõutavate moodulitega.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Installige ja konfigureerige PostgreSQL

PostgreSQL on objektide suhteline andmebaasisüsteem. Peate oma süsteemi lisama PostgreSQL-i hoidla, kuna YUM-i vaikehoidla sisaldab PostgreSQL-i vanemat versiooni.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Installige PostgreSQL andmebaasiserver.

sudo yum -y install postgresql96-server postgresql96-contrib

Initsialiseerige andmebaas.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb loob uue andmebaasiklastri, mis on ühe serveri hallatavate andmebaaside rühm.

Redigeerige pg_hba.confMD5-põhise autentimise lubamiseks.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Leia järgmised read ja muuda peeret trustja idnetet md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Pärast värskendamist peaks konfiguratsioon välja nägema allpool näidatud.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Käivitage PostgreSQL-server ja lubage see alglaadimisel automaatselt käivituda.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Muutke passwordPostgreSQL-i vaikekasutaja jaoks.

sudo passwd postgres

Logige sisse PostgreSQL-i kasutajana.

sudo su - postgres

Looge Zabbixi jaoks uus PostgreSQL-i kasutaja.

createuser zabbix

Lülituge PostgreSQL-i kestale.

psql

Määrake Zabbixi andmebaasi vastloodud andmebaasi kasutaja parool.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Looge Zabbixi jaoks uus andmebaas.

CREATE DATABASE zabbix OWNER zabbix;

Väljuge psqlkestast.

\q

Lülituge sudopraeguselt postgreskasutajalt kasutajale.

exit

Installige Zabbix

Zabbix pakub CentOS-i jaoks binaarfaile, mida saab installida otse Zabbixi hoidlast. Lisage oma süsteemi Zabbixi hoidla.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Installige Zabbix serverja Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

Importige PostgreSQL-i andmebaas.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Väljundi lõpus peaksite nägema midagi sarnast järgmisele.

...
INSERT 0 1
INSERT 0 1
COMMIT

Andmebaasi üksikasjade värskendamiseks avage Zabbixi konfiguratsioonifail.

sudo nano /etc/zabbix/zabbix_server.conf

Otsige üles järgmised read ja värskendage väärtusi vastavalt oma andmebaasi konfiguratsioonile. Peate read DBHostja kommentaarid tühistama DBPort.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix installib Apache'i jaoks virtuaalse hostifaili automaatselt. Ajavööndi ja PHP versiooni värskendamiseks peame virtuaalse hosti konfigureerima.

sudo nano /etc/httpd/conf.d/zabbix.conf

Otsige üles järgmised read.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Kuna me kasutame PHP versiooni 7, peate ka mod_phpversiooni värskendama . Värskendage ridu vastavalt oma ajavööndile, nagu allpool näidatud.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Nüüd taaskäivitage Apache, et rakendada need konfiguratsioonimuudatused.

sudo systemctl restart httpd

Käivitage Zabbixi server ja lubage see alglaadimisel automaatselt käivituda.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Zabbixi server peaks nüüd töötama. Selle käivitamisega saate protsessi olekut kontrollida.

sudo systemctl status zabbix-server

Muutke tulemüüri, et lubada standard HTTPja HTTPSport. Samuti peate lubama pordi 10051läbi tulemüüri, mida Zabbix kasutab sündmuste hankimiseks kaugmasinatel töötavalt Zabbixi agendilt.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

To access the administration dashboard, you can open http://192.0.2.1/zabbix using your favorite browser. You will see a welcome message. You should have all the prerequisites satisfied on the next interface. Follow the instructions on the installer page to install the software. Once the software has been installed, login using the username Admin and password zabbix. Zabbix is now installed and ready to collect the data from the Zabbix agent.

Setup a Zabbix Agent on the Server

To monitor the server on which Zabbix is installed, you can set up the agent on the server. The Zabbix agent will gather the event data from the Linux server to send it to the Zabbix server. By default, port 10050 is used to send the events and data to the server.

Install the Zabbix agent.

sudo yum -y install zabbix-agent

Start the agent and enable it to automatically start at boot.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

The communication between the Zabbix agent and the Zabbix server is done locally, thus there is no need to set up any encryption.

Before the Zabbix server can receive any data, you need to enable the host. Login to the web administration dashboard of the Zabbix server and go to Configuration >> Host. You will see a disabled entry of the Zabbix server host. Select the entry and click on the "Enable" button to enable the monitoring of the Zabbix server application and the base CentOS system on which the Zabbix server is installed.

Setup the Agent on Remote Linux Machines

There are three methods by which a remote Zabbix agent can send events to the Zabbix server. The first method is to use an unencrypted connection, and the second is using a secured pre-shared key. The third and most secure way is to encrypt the transmission using RSA certificates.

Before we proceed to install and configure the Zabbix agent on the remote machine, we need to generate the certificates on the Zabbix server system. We will use self-signed certificates.

Run the following commands on the Zabbix server as a sudo user.

Create a new directory to store Zabbix keys and generate the private key for the CA.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

It will ask you for a passphrase to protect the private key. Once the private key has been generated, proceed to generate the certificate for the CA.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Esitage privaatvõtme parool. See küsib teilt mõningaid üksikasju teie riigi, osariigi või organisatsiooni kohta. Esitage üksikasjad vastavalt.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Oleme edukalt genereerinud CA sertifikaadi. Looge Zabbixi serveri privaatvõti ja CSR.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Palun ärge sisestage ülaltoodud käsu käivitamisel privaatvõtme krüptimiseks parooli. CSR-i abil looge Zabbixi serveri sertifikaat.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Samamoodi genereerige Zabbixi hosti või agendi privaatvõti ja CSR.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Nüüd looge sertifikaat.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Kopeerige sertifikaadid Zabbixi konfiguratsioonikataloogi.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Andke Zabbixkasutajale sertifikaatide omandiõigus .

sudo chown -R zabbix: /etc/zabbix/keys

Sertifikaatide tee värskendamiseks avage Zabbixi serveri konfiguratsioonifail.

sudo nano /etc/zabbix/zabbix_server.conf

Otsige üles need read konfiguratsioonifailist ja muutke neid nagu näidatud.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Salvestage fail ja väljuge redaktorist. Taaskäivitage Zabbixi server, et konfiguratsioonimuudatus jõustuks.

sudo systemctl restart zabbix-server

Kopeerige sertifikaadid scpkäsuga hostarvutisse, mida soovite jälgida.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Veenduge, et asendate 192.0.2.2selle kaughosti tegeliku IP-aadressiga, kuhu soovite Zabbixi agendi installida.

Installige Zabbix Host

Nüüd, kui oleme sertifikaadid hostsüsteemi kopeerinud, oleme valmis Zabbixi agendi installima.

Nüüdsest tuleb kõik käsud käivitada hostis, mida soovite jälgida .

Lisage süsteemi Zabbixi hoidla.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Installige Zabbixi agent süsteemi.

sudo yum -y install zabbix-agent

Teisaldage võti ja sertifikaadid Zabbixi konfiguratsioonikataloogi.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Andke Zabbixi kasutajale sertifikaatide omandiõigus.

sudo chown -R zabbix: /etc/zabbix/keys

Serveri IP-aadressi ning võtme ja sertifikaatide tee värskendamiseks avage Zabbixi agendi konfiguratsioonifail.

sudo nano /etc/zabbix/zabbix_agentd.conf

Otsige üles järgmine rida ja tehke vajalikud muudatused, et need näeksid välja nagu allpool näidatud.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Hostinimi peab olema kordumatu string, mis pole ühegi teise hostsüsteemi jaoks määratud. Märkige üles hostinimi, sest me peame Zabbixi serveris määrama täpse hostinime.

Lisaks värskendage nende parameetrite väärtusi.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Nüüd taaskäivitage Zabbixi agent ja lubage see alglaadimisel automaatselt käivituda.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Olete Zabbixi agendi hostsüsteemis edukalt konfigureerinud. https://192.0.2.1/zabbixUuesti konfigureeritud hosti lisamiseks sirvige Zabbixi halduse armatuurlauda aadressil .

Minge Configuration >> Hostsja klõpsake Create Hostparemas ülanurgas olevat nuppu.