Kā droši pārraudzīt attālos serverus, izmantojot Zabbix operētājsistēmā CentOS 7

Priekšnoteikumi

Instalējiet Apache un PHP

Instalējiet un konfigurējiet PostgreSQL

Instalējiet Zabbix

Serverī iestatiet Zabbix aģentu

Iestatiet aģentu attālajās Linux iekārtās

Instalējiet Zabbix Host

Secinājums

Zabbix ir bezmaksas un atvērtā koda uzņēmumam gatava programmatūra, ko izmanto, lai uzraudzītu sistēmu un tīkla komponentu pieejamību. Zabbix var vienlaikus pārraudzīt tūkstošiem serveru, virtuālo mašīnu vai tīkla komponentu. Zabbix var pārraudzīt gandrīz visu, kas saistīts ar sistēmu, piemēram, centrālo procesoru, atmiņu, diska vietu un IO, procesus, tīklu, datu bāzes, virtuālās mašīnas un tīmekļa pakalpojumus. Ja Zabbix ir nodrošināta IPMI piekļuve, tā var arī uzraudzīt aparatūru, piemēram, temperatūru, spriegumu un tā tālāk.

Priekšnoteikumi

Vultr CentOS 7 servera gadījums.
Sudo lietotāju .

Šajā apmācībā mēs izmantosim 192.0.2.1kā Zabbix servera 192.0.2.2publisko IP adresi un kā Zabbix resursdatora publisko IP adresi, kuru mēs pārraudzīsim attālināti. Lūdzu, nomainiet visus IP adreses piemēra gadījumus ar savām faktiskajām publiskajām IP adresēm.

Atjauniniet savu bāzes sistēmu, izmantojot rokasgrāmatu Kā atjaunināt CentOS 7 . Kad sistēma ir atjaunināta, turpiniet instalēt atkarības.

Instalējiet Apache un PHP

Instalējot Zabbix web, tas automātiski izveido Apache konfigurāciju.

Instalējiet Apache, lai apkalpotu Zabbix priekšgalu vai tīmekļa lietotāja interfeisu.

sudo yum -y install httpd

Palaidiet Apache un iespējojiet to automātiski palaist sāknēšanas laikā.

sudo systemctl start httpd
sudo systemctl enable httpd

Pievienojiet un iespējojiet Remirepozitoriju, jo noklusējuma YUMrepozitorijā ir vecāka PHP versija.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Instalējiet jaunāko PHP versiju kopā ar Zabbix nepieciešamajiem moduļiem.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Instalējiet un konfigurējiet PostgreSQL

PostgreSQL ir objektu relāciju datu bāzes sistēma. Jums savā sistēmā būs jāpievieno PostgreSQL repozitorijs, jo noklusējuma YUM repozitorijā ir vecāka PostgreSQL versija.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Instalējiet PostgreSQL datu bāzes serveri.

sudo yum -y install postgresql96-server postgresql96-contrib

Inicializējiet datu bāzi.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb izveido jaunu datu bāzes klasteru, kas ir datu bāzu grupa, ko pārvalda viens serveris.

Rediģējiet, pg_hba.conflai iespējotu MD5 balstītu autentifikāciju.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Atrodiet šādas rindas un mainiet peeruz trustun idnetuz md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Pēc atjaunināšanas konfigurācijai vajadzētu izskatīties tā, kā parādīts tālāk.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Startējiet PostgreSQL serveri un iespējojiet tā automātisku palaišanu sāknēšanas laikā.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Mainiet passwordnoklusējuma PostgreSQL lietotāja vērtību.

sudo passwd postgres

Piesakieties kā PostgreSQL lietotājs.

sudo su - postgres

Izveidojiet jaunu PostgreSQL lietotāju Zabbix.

createuser zabbix

Pārslēdzieties uz PostgreSQL čaulu.

psql

Iestatiet paroli jaunizveidotajam Zabbix datu bāzes lietotājam.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Izveidojiet jaunu Zabbix datu bāzi.

CREATE DATABASE zabbix OWNER zabbix;

Iziet no psqlčaulas.

\q

Pārslēdzieties uz sudolietotāju no pašreizējā postgreslietotāja.

exit

Instalējiet Zabbix

Zabbix nodrošina CentOS bināros failus, kurus var instalēt tieši no Zabbix repozitorija. Pievienojiet savai sistēmai Zabbix repozitoriju.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Instalējiet Zabbix serverun Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

Importējiet PostgreSQL datu bāzi.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Izvades beigās vajadzētu redzēt kaut ko līdzīgu tālāk norādītajam.

...
INSERT 0 1
INSERT 0 1
COMMIT

Atveriet Zabbix konfigurācijas failu, lai atjauninātu datu bāzes informāciju.

sudo nano /etc/zabbix/zabbix_server.conf

Atrodiet šīs rindas un atjauniniet vērtības atbilstoši datu bāzes konfigurācijai. Jums būs jāatceļ DBHostun DBPortlīnijas komentāri.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix automātiski instalē Apache virtuālo resursdatora failu. Mums būs jākonfigurē virtuālais resursdators, lai atjauninātu laika joslu un PHP versiju.

sudo nano /etc/httpd/conf.d/zabbix.conf

Atrodiet šādas rindas.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Tā kā mēs izmantojam PHP 7. versiju, jums būs jāatjaunina arī šī mod_phpversija. Atjauniniet rindas atbilstoši savai laika joslai, kā parādīts tālāk.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Tagad restartējiet Apache, lai lietotu šīs konfigurācijas izmaiņas.

sudo systemctl restart httpd

Palaidiet Zabbix serveri un iespējojiet tā automātisku startēšanu sāknēšanas laikā.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Tagad jums vajadzētu darboties Zabbix serverim. Palaižot šo, varat pārbaudīt procesa statusu.

sudo systemctl status zabbix-server

Modificējiet ugunsmūri, lai atļautu standartu HTTPun HTTPSportu. Jums būs arī jāatļauj ports 10051caur ugunsmūri, ko Zabbix izmantos, lai iegūtu notikumus no Zabbix aģenta, kas darbojas attālās iekārtās.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

Lai piekļūtu administrācijas informācijas panelim, varat to atvērt, http://192.0.2.1/zabbixizmantojot savu iecienītāko pārlūkprogrammu. Jūs redzēsit sveiciena ziņojumu. Nākamajā saskarnē ir jābūt izpildītiem visiem priekšnosacījumiem. Lai instalētu programmatūru, izpildiet instrukcijas instalēšanas lapā. Kad programmatūra ir instalēta, piesakieties, izmantojot lietotājvārdu Adminun paroli zabbix. Zabbix tagad ir instalēts un gatavs vākt datus no Zabbix aģenta.

Serverī iestatiet Zabbix aģentu

Lai pārraudzītu serveri, kurā ir instalēts Zabbix, serverī varat iestatīt aģentu. Zabbix aģents apkopos notikumu datus no Linux servera, lai nosūtītu tos uz Zabbix serveri. Pēc noklusējuma ports 10050tiek izmantots, lai nosūtītu notikumus un datus uz serveri.

Instalējiet Zabbix aģentu.

sudo yum -y install zabbix-agent

Palaidiet aģentu un iespējojiet to automātiski palaist sāknēšanas laikā.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

Saziņa starp Zabbix aģentu un Zabbix serveri notiek lokāli, tāpēc nav nepieciešams iestatīt šifrēšanu.

Lai Zabbix serveris varētu saņemt datus, jums ir jāiespējo host. Piesakieties Zabbix servera tīmekļa administrēšanas informācijas panelī un dodieties uz Configuration >> Host. Jūs redzēsit atspējotu Zabbix servera resursdatora ierakstu. Atlasiet ierakstu un noklikšķiniet uz pogas "Iespējot", lai iespējotu Zabbix servera lietojumprogrammas un bāzes CentOS sistēmas uzraudzību, kurā ir instalēts Zabbix serveris.

Iestatiet aģentu attālās Linux iekārtās

Ir trīs metodes, ar kurām attālais Zabbix aģents var nosūtīt notikumus uz Zabbix serveri. Pirmā metode ir nešifrēta savienojuma izmantošana, bet otrā - drošas iepriekš koplietotas atslēgas izmantošana. Trešais un drošākais veids ir pārsūtīšanas šifrēšana, izmantojot RSA sertifikātus.

Pirms mēs turpinām instalēt un konfigurēt Zabbix aģentu attālajā mašīnā, mums ir jāģenerē sertifikāti Zabbix servera sistēmā. Mēs izmantosim pašparakstītus sertifikātus.

Palaidiet tālāk norādītās komandas Zabbix serverī kā sudolietotājs .

Izveidojiet jaunu direktoriju Zabbix atslēgu glabāšanai un ģenerējiet CA privāto atslēgu.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

Tas prasīs jums ieejas frāzi, lai aizsargātu privāto atslēgu. Kad privātā atslēga ir ģenerēta, turpiniet ģenerēt CA sertifikātu.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Norādiet privātās atslēgas ieejas frāzi. Tas prasīs dažus datus par jūsu valsti, valsti, organizāciju. Attiecīgi sniedziet informāciju.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Mēs esam veiksmīgi ģenerējuši CA sertifikātu. Ģenerējiet privāto atslēgu un CSR Zabbix serverim.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Lūdzu, nenorādiet ieejas frāzi privātās atslēgas šifrēšanai, izpildot iepriekš minēto komandu. Izmantojot CSR, ģenerējiet sertifikātu Zabbix serverim.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Līdzīgi ģenerējiet privāto atslēgu un CSR Zabbix saimniekdatoram vai aģentam.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Tagad ģenerējiet sertifikātu.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Kopējiet sertifikātus Zabbix konfigurācijas direktorijā.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Nodrošiniet Zabbixlietotājam sertifikātu īpašumtiesības .

sudo chown -R zabbix: /etc/zabbix/keys

Atveriet Zabbix servera konfigurācijas failu, lai atjauninātu sertifikātu ceļu.

sudo nano /etc/zabbix/zabbix_server.conf

Atrodiet šīs rindas konfigurācijas failā un mainiet tās, kā parādīts attēlā.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Saglabājiet failu un izejiet no redaktora. Restartējiet Zabbix serveri, lai konfigurācijas izmaiņas varētu stāties spēkā.

sudo systemctl restart zabbix-server

Kopējiet sertifikātus, izmantojot scpkomandu, uz saimniekdatoru, kuru vēlaties pārraudzīt.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Noteikti aizstājiet to 192.0.2.2ar tā attālā resursdatora faktisko IP adresi, kurā vēlaties instalēt Zabbix aģentu.

Instalējiet Zabbix Host

Tagad, kad esam nokopējuši sertifikātus uz resursdatora sistēmu, esam gatavi instalēt Zabbix aģentu.

No šī brīža visas komandas ir jāizpilda resursdatorā, kuru vēlaties pārraudzīt .

Pievienojiet sistēmai Zabbix repozitoriju.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Instalējiet sistēmā Zabbix aģentu.

sudo yum -y install zabbix-agent

Pārvietojiet atslēgu un sertifikātus uz Zabbix konfigurācijas direktoriju.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Nodrošiniet Zabbix lietotājam īpašumtiesības uz sertifikātiem.

sudo chown -R zabbix: /etc/zabbix/keys

Atveriet Zabbix aģenta konfigurācijas failu, lai atjauninātu servera IP adresi un ceļu uz atslēgu un sertifikātiem.

sudo nano /etc/zabbix/zabbix_agentd.conf

Atrodiet šo rindiņu un veiciet nepieciešamās izmaiņas, lai tās izskatītos kā parādīts tālāk.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Resursdatora nosaukumam ir jābūt unikālai virknei, kas nav norādīta nevienai citai resursdatora sistēmai. Lūdzu, pierakstiet resursdatora nosaukumu, jo mums būs jāiestata precīzs resursdatora nosaukums Zabbix serverī.

Turklāt atjauniniet šo parametru vērtības.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Tagad restartējiet Zabbix aģentu un iespējojiet to automātiski palaist sāknēšanas laikā.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Jūs esat veiksmīgi konfigurējis Zabbix aģentu resursdatora sistēmā. Pārlūkojiet Zabbix administrēšanas informācijas paneli vietnē, https://192.0.2.1/zabbixlai pievienotu tikko konfigurēto resursdatoru.

Dodieties uz Configuration >> Hostsun noklikšķiniet uz Create Hostpogas augšējā labajā stūrī.