Hur man säkert övervakar fjärrservrar med Zabbix på CentOS 7

Förutsättningar

Installera Apache och PHP

Installera och konfigurera PostgreSQL

Installera Zabbix

Konfigurera en Zabbix Agent på servern

Ställ in agenten på fjärranslutna Linux-maskiner

Installera Zabbix Host

Slutsats

Zabbix är en fri och öppen källkod, företagsklar programvara som används för att övervaka tillgängligheten av system och nätverkskomponenter. Zabbix kan övervaka tusentals servrar, virtuella maskiner eller nätverkskomponenter samtidigt. Zabbix kan övervaka nästan allt relaterat till ett system som CPU, minne, diskutrymme och IO, processer, nätverk, databaser, virtuella maskiner och webbtjänster. Om IPMI-åtkomst tillhandahålls till Zabbix kan den också övervaka hårdvaran som temperatur, spänning och så vidare.

Förutsättningar

En Vultr CentOS 7-serverinstans.
En sudo-användare .

För den här handledningen kommer vi att använda 192.0.2.1som den offentliga IP-adressen för Zabbix-servern och 192.0.2.2som den offentliga IP-adressen för en Zabbix-värd som vi kommer att övervaka på distans. Se till att ersätta alla förekomster av exempel-IP-adressen med dina faktiska offentliga IP-adresser.

Uppdatera ditt bassystem med hjälp av guiden Hur man uppdaterar CentOS 7 . När ditt system har uppdaterats fortsätter du med att installera beroenden.

Installera Apache och PHP

Vid installation av Zabbix web skapar den automatiskt konfigurationen för Apache.

Installera Apache för att tjäna Zabbix-gränssnittet eller webbgränssnittet.

sudo yum -y install httpd

Starta Apache och låt den starta vid uppstart automatiskt.

sudo systemctl start httpd
sudo systemctl enable httpd

Lägg till och aktivera Remiförvaret, eftersom standardförvaret YUMinnehåller en äldre version av PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Installera den senaste versionen av PHP tillsammans med modulerna som krävs av Zabbix.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Installera och konfigurera PostgreSQL

PostgreSQL är ett objektrelationellt databassystem. Du måste lägga till PostgreSQL-förvaret i ditt system, eftersom standard-YUM-förvaret innehåller en äldre version av PostgreSQL.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Installera PostgreSQL-databasservern.

sudo yum -y install postgresql96-server postgresql96-contrib

Initiera databasen.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb skapar ett nytt databaskluster, som är en grupp databaser som hanteras av en enda server.

Redigera för pg_hba.confatt aktivera MD5-baserad autentisering.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Hitta följande rader och ändra peertill trustoch idnettill md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

När den väl har uppdaterats bör konfigurationen se ut som visas nedan.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Starta PostgreSQL-servern och låt den starta automatiskt vid uppstart.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Ändra passwordför standard PostgreSQL-användare.

sudo passwd postgres

Logga in som PostgreSQL-användare.

sudo su - postgres

Skapa en ny PostgreSQL-användare för Zabbix.

createuser zabbix

Byt till PostgreSQL-skalet.

psql

Ställ in ett lösenord för den nyskapade databasanvändaren för Zabbix-databasen.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Skapa en ny databas för Zabbix.

CREATE DATABASE zabbix OWNER zabbix;

Gå ut ur psqlskalet.

\q

Växla till sudoanvändaren från den aktuella postgresanvändaren.

exit

Installera Zabbix

Zabbix tillhandahåller binärfiler för CentOS, som kan installeras direkt från Zabbix-förvaret. Lägg till Zabbix-förvaret till ditt system.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Installera Zabbix serveroch Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

Importera PostgreSQL-databasen.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Du bör se något som liknar följande i slutet av utgången.

...
INSERT 0 1
INSERT 0 1
COMMIT

Öppna Zabbix-konfigurationsfilen för att uppdatera databasdetaljerna.

sudo nano /etc/zabbix/zabbix_server.conf

Hitta följande rader och uppdatera värdena enligt din databaskonfiguration. Du kommer att behöva avkommentera DBHostoch DBPortlinjer.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix installerar automatiskt den virtuella värdfilen för Apache. Vi kommer att behöva konfigurera den virtuella värden för att uppdatera tidszonen och PHP-versionen.

sudo nano /etc/httpd/conf.d/zabbix.conf

Hitta följande rader.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Eftersom vi använder PHP version 7 måste du också uppdatera mod_phpversionen. Uppdatera linjerna enligt din tidszon enligt nedan.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Starta nu om Apache för att tillämpa dessa ändringar i konfigurationen.

sudo systemctl restart httpd

Starta Zabbix-servern och låt den starta automatiskt vid uppstart.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Du bör ha Zabbix-servern igång nu. Du kan kontrollera processens status genom att köra detta.

sudo systemctl status zabbix-server

Ändra brandväggen så att standarden HTTPoch HTTPSporten tillåts . Du måste också tillåta port 10051genom brandväggen, som kommer att användas av Zabbix för att hämta händelserna från Zabbix-agenten som körs på fjärrdatorer.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

För att komma åt administrationspanelen kan du öppna http://192.0.2.1/zabbixmed din favoritwebbläsare. Du kommer att se ett välkomstmeddelande. Du bör ha alla förutsättningar uppfyllda i nästa gränssnitt. Följ instruktionerna på installationssidan för att installera programvaran. När programvaran har installerats loggar du in med användarnamn Adminoch lösenord zabbix. Zabbix är nu installerat och redo att samla in data från Zabbix-agenten.

Konfigurera en Zabbix Agent på servern

För att övervaka servern som Zabbix är installerad på kan du ställa in agenten på servern. Zabbix-agenten samlar in händelsedata från Linux-servern för att skicka den till Zabbix-servern. Som standard används port 10050för att skicka händelserna och data till servern.

Installera Zabbix-agenten.

sudo yum -y install zabbix-agent

Starta agenten och låt den starta automatiskt vid uppstart.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

Kommunikationen mellan Zabbix-agenten och Zabbix-servern sker lokalt, så det finns inget behov av att ställa in någon kryptering.

Innan Zabbix-servern kan ta emot data måste du aktivera host. Logga in på webbadministrationens instrumentpanel för Zabbix-servern och gå till Configuration >> Host. Du kommer att se en inaktiverad post för Zabbix-servervärden. Välj posten och klicka på knappen "Aktivera" för att aktivera övervakningen av Zabbix-serverapplikationen och bassystemet CentOS på vilket Zabbix-servern är installerad.

Ställ in agenten på fjärranslutna Linux-maskiner

Det finns tre metoder för att en fjärransluten Zabbix-agent kan skicka händelser till Zabbix-servern. Den första metoden är att använda en okrypterad anslutning, och den andra är att använda en säker fördelad nyckel. Det tredje och säkraste sättet är att kryptera överföringen med hjälp av RSA-certifikat.

Innan vi fortsätter att installera och konfigurera Zabbix-agenten på fjärrdatorn måste vi generera certifikaten på Zabbix-serversystemet. Vi kommer att använda självsignerade certifikat.

Kör följande kommandon på Zabbix-servern som sudoanvändare .

Skapa en ny katalog för att lagra Zabbix-nycklar och generera den privata nyckeln för CA.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

Den kommer att be dig om en lösenordsfras för att skydda den privata nyckeln. När den privata nyckeln har genererats, fortsätt att generera certifikatet för CA.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Ange lösenfrasen för den privata nyckeln. Det kommer att be dig om några detaljer om ditt land, stat, organisation. Ange detaljerna i enlighet med detta.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Vi har framgångsrikt genererat CA-certifikatet. Generera den privata nyckeln och CSR för Zabbix-servern.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Ange inte en lösenordsfras för att kryptera den privata nyckeln när du kör kommandot ovan. Använd CSR, generera certifikatet för Zabbix-servern.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Generera på samma sätt den privata nyckeln och CSR för Zabbix-värden eller agenten.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Generera nu certifikatet.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Kopiera certifikaten till Zabbix konfigurationskatalog.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Ge Zabbixanvändaren äganderätten till certifikaten .

sudo chown -R zabbix: /etc/zabbix/keys

Öppna konfigurationsfilen för Zabbix-servern för att uppdatera sökvägen till certifikaten.

sudo nano /etc/zabbix/zabbix_server.conf

Hitta dessa rader i konfigurationsfilen och ändra dem enligt bilden.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Spara filen och avsluta redigeraren. Starta om Zabbix-servern så att ändringen i konfigurationen kan träda i kraft.

sudo systemctl restart zabbix-server

Kopiera certifikaten med scpkommandot till den värddator som du vill övervaka.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Se till att du ersätter 192.0.2.2med den faktiska IP-adressen för fjärrvärden som du vill installera Zabbix-agenten på.

Installera Zabbix Host

Nu när vi har kopierat certifikaten till värdsystemet är vi redo att installera Zabbix-agenten.

Från och med nu måste alla kommandon köras på den värd som du vill övervaka .

Lägg till Zabbix-förvaret i systemet.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Installera Zabbix-agenten i systemet.

sudo yum -y install zabbix-agent

Flytta nyckeln och certifikaten till Zabbix konfigurationskatalog.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Ge Zabbix-användaren äganderätt till certifikaten.

sudo chown -R zabbix: /etc/zabbix/keys

Öppna Zabbix-agentens konfigurationsfil för att uppdatera serverns IP-adress och sökvägen till nyckeln och certifikaten.

sudo nano /etc/zabbix/zabbix_agentd.conf

Hitta följande rad och gör nödvändiga ändringar för att få dem att se ut som visas nedan.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Värdnamnet måste vara en unik sträng som inte är specificerad för något annat värdsystem. Vänligen notera värdnamnet eftersom vi måste ställa in det exakta värdnamnet på Zabbix-servern.

Uppdatera dessutom värdena för dessa parametrar.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Starta nu om Zabbix-agenten och låt den starta automatiskt vid uppstart.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Du har framgångsrikt konfigurerat Zabbix-agenten på värdsystemet. Bläddra i Zabbix administrationsinstrumentpanel på för https://192.0.2.1/zabbixatt lägga till den nyligen konfigurerade värden.

Gå till Configuration >> Hostsoch klicka på Create Hostknappen i det övre högra hörnet.