Відстежуйте свої пристрої за допомогою LibreNMS на CentOS 7

LibreNMS — це повнофункціональна система моніторингу мережі з відкритим кодом. Він використовується SNMPдля отримання даних з різних пристроїв. LibreNMS підтримує різноманітні пристрої, такі як Cisco, Linux, FreeBSD, Juniper, Brocade, Foundry, HP та багато інших. Він підтримує декілька механізмів аутентифікації та підтримує двофакторну аутентифікацію. Він має настроювану систему сповіщень, яка може сповіщати адміністратора мережі електронною поштою, IRC або slack.

Передумови

• Примірник сервера Vultr CentOS 7.
• Користувач sudo .

У цьому підручнику ми будемо використовувати nms.example.comяк доменне ім’я, спрямоване на екземпляр Vultr. Будь ласка, не забудьте замінити всі входження прикладу доменного імені на фактичне.

Оновіть свою базову систему за допомогою посібника Як оновити CentOS 7 . Після оновлення системи перейдіть до встановлення залежностей.

Встановіть Nginx і PHP

Передня частина LibreNMS в основному написана на PHP, тому нам потрібно буде встановити веб-сервер і PHP. У цьому підручнику ми встановимо Nginx разом із PHP 7.2, щоб отримати максимальну безпеку та продуктивність.

Встановіть Nginx.

sudo yum -y install nginx

Запустіть Nginx і дозвольте йому автоматично запускатися при завантаженні.

sudo systemctl start nginx
sudo systemctl enable nginx

Додайте та ввімкніть репозиторій Remi, оскільки сховище YUM за замовчуванням містить старішу версію PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php72

Встановіть PHP версії 7.2 разом із модулями, необхідними для LibreNMS.

sudo yum -y install php php-cli php-common php-curl php-fpm php-gd php-mcrypt php-mysql php-process php-snmp php-xml php-zip

Відкрийте завантажений файл конфігурації PHP в редакторі.

sudo nano /etc/php.ini

Знайдіть наступні рядки, розкоментуйте та змініть їх значення, як показано.

;cgi.fix_pathinfo=1
memory_limit = 128M
;date.timezone =

Натомість використовуйте ці значення, замініть Asia/Kolkataїх місцевим часовим поясом.

cgi.fix_pathinfo=0
memory_limit = -1
date.timezone = Asia/Kolkata

Вам також потрібно буде змінити часовий пояс системи, виконавши таку команду.

sudo ln -sf /usr/share/zoneinfo/Asia/Kolkata /etc/localtime

Тепер відкрийте файл конфігурації PHP-FPM.

sudo nano /etc/php-fpm.d/www.conf

Знайдіть наступний рядок.

listen = 127.0.0.1:9000

Замініть його наступним рядком.

listen = /var/run/php-fpm/php-fpm.sock

За замовчуванням PHP-FPM налаштовано для користувача веб-сервера Apache. Змініть користувача на nginx.

user = nginx
group = nginx

Далі розкоментуйте наступні рядки.

listen.owner = nobody
listen.group = nobody

Збережіть файл і вийдіть з редактора. Перезапустіть PHP-FPM і дозвольте його запуску під час завантаження.

sudo systemctl restart php-fpm
sudo systemctl enable php-fpm

Встановіть відповідне право власності на файл сокету.

sudo chown nginx:nginx /var/run/php-fpm/php-fpm.sock

Встановіть MariaDB

MariaDB є форком MySQL. Додайте репозиторій MariaDB у вашу систему. yumРепозиторій за замовчуванням містить старішу версію MariaDB.

echo "[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.2/centos7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1" | sudo tee /etc/yum.repos.d/mariadb.repo

Встановіть MariaDB.

sudo yum -y install mariadb mariadb-server

Тепер відкрийте файл конфігурації MySQL.

sudo nano /etc/my.cnf

Додайте наступні рядки в кінці блоку.

[mysqld]
innodb_file_per_table=1
sql-mode=""
lower_case_table_names=0

Перезапустіть MariaDB і ввімкніть її автоматичний запуск під час завантаження.

sudo systemctl restart mariadb
sudo systemctl enable mariadb

Перш ніж налаштувати базу даних, вам потрібно буде спочатку захистити MariaDB.

sudo mysql_secure_installation

Вас попросять ввести поточний пароль root MariaDB. За замовчуванням у новій інсталяції MariaDB немає пароля root. Натисніть клавішу " Enter", щоб продовжити. Встановіть надійний пароль для rootкористувача вашого сервера MariaDB і дайте відповідь " Y" на всі інші запитання. Запитання, що задаються, зрозумілі самі собою.

Увійдіть в оболонку MySQL як root.

mysql -u root -p

Надайте пароль для користувача root MariaDB для входу.

Виконайте такі запити, щоб створити базу даних і користувача бази даних для інсталяції LibreNMS.

CREATE DATABASE librenms CHARACTER SET utf8 COLLATE utf8_general_ci;
CREATE USER 'librenms'@'localhost' IDENTIFIED BY 'StrongPassword';
GRANT ALL PRIVILEGES ON librenms.* TO 'librenms'@'localhost';
FLUSH PRIVILEGES;
EXIT;

Ви можете замінити ім’я бази даних librenmsта ім’я користувача librenmsна свій вибір. Будь ласка, не забудьте змінити StrongPasswordпароль на дуже надійний.

Встановіть LibreNMS

Окрім наведених вище залежностей, LibreNMS потребує ще кількох залежностей. Встановіть їх, запустивши.

sudo yum -y install cronie fping git ImageMagick jwhois mtr MySQL-python net-snmp net-snmp-utils nmap  python-memcached rrdtool

Додайте нового непривілейованого користувача для програми LibreNMS.

sudo useradd librenms -d /opt/librenms -M -r
sudo usermod -a -G librenms nginx

LibreNMS можна встановити безпосередньо, клонуючи його репозиторій Github.

cd /opt
sudo git clone https://github.com/librenms/librenms.git librenms

Виправити право власності.

sudo chown librenms:librenms -R /opt/librenms

Для багатьох завдань LibreNMS покладається на SNMP. Оскільки ми вже встановили SNMP, скопіюйте приклад файлу конфігурації до його розташування.

sudo cp /opt/librenms/snmpd.conf.example /etc/snmp/snmpd.conf

Відкрийте файл конфігурації в редакторі.

sudo nano /etc/snmp/snmpd.conf

Знайдіть цей рядок.

com2sec readonly  default         RANDOMSTRINGGOESHERE

Відредагуйте текст RANDOMSTRINGGOESHEREі замініть рядок спільноти на будь-який рядок на ваш вибір. Наприклад.

com2sec readonly  default         my-org

Запам’ятайте рядок, оскільки він знадобиться пізніше, коли ми додамо перший пристрій SNMP.

SNMP також потребує інформації про версію дистрибутива. Завантажте та встановіть скрипт, щоб знайти версію дистрибутива.

sudo curl -o /usr/bin/distro https://raw.githubusercontent.com/librenms/librenms-agent/master/snmp/distro
sudo chmod +x /usr/bin/distro

Запустіть службу демона SNMP і ввімкніть її автоматичний запуск під час завантаження.

sudo systemctl enable snmpd
sudo systemctl restart snmpd

Тепер вам потрібно буде додати деякі записи crontab для виконання запланованих завдань. Створіть новий файл завдання cron.

sudo nano /etc/cron.d/librenms

Заповніть файл таким текстом.

33   */6  * * *   librenms    /opt/librenms/cronic /opt/librenms/discovery-wrapper.py 1
*/5  *    * * *   librenms    /opt/librenms/discovery.php -h new >> /dev/null 2>&1
*/5  *    * * *   librenms    /opt/librenms/cronic /opt/librenms/poller-wrapper.py 16
15   0    * * *   librenms    /opt/librenms/daily.sh >> /dev/null 2>&1
*    *    * * *   librenms    /opt/librenms/alerts.php >> /dev/null 2>&1
*/5  *    * * *   librenms    /opt/librenms/poll-billing.php >> /dev/null 2>&1
01   *    * * *   librenms    /opt/librenms/billing-calculate.php >> /dev/null 2>&1
*/5  *    * * *   librenms    /opt/librenms/check-services.php >> /dev/null 2>&1

Перезапустіть службу демона cron.

sudo systemctl restart crond

Налаштуйте logrotateтак, щоб файли журналу автоматично оновлювалися з часом.

sudo cp /opt/librenms/misc/librenms.logrotate /etc/logrotate.d/librenms

Нарешті, встановіть відповідні права власності та дозволи.

sudo chown -R librenms:nginx /opt/librenms
sudo chmod g+w -R /opt/librenms
sudo setfacl -d -m g::rwx /opt/librenms/rrd /opt/librenms/logs
sudo setfacl -R -m g::rwx /opt/librenms/rrd /opt/librenms/logs

Конфігурації SSL і Nginx VHost

Логін та інша інформація, що надсилається через веб-інтерфейс LibreNMS, не захищені, якщо з’єднання не зашифроване за допомогою SSL. Ми налаштуємо Nginx на використання SSL, створеного за допомогою безкоштовного SSL Let's Encrypt.

Установіть Certbot, який є клієнтською програмою для Let's Encrypt CA.

sudo yum -y install certbot

Перш ніж ви зможете запитати сертифікати, вам потрібно буде дозволити порт 80і 443, або стандарт HTTPі HTTPSслужби через брандмауер.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload

Примітка : щоб отримати сертифікати від Let's Encrypt CA, домен, для якого мають бути створені сертифікати, має бути спрямований на сервер. Якщо ні, внесіть необхідні зміни в записи DNS домену та зачекайте, поки DNS пошириться, перш ніж знову надсилати запит на сертифікат. Certbot перевіряє авторитет домену перед наданням сертифікатів.

Згенеруйте сертифікати SSL:

sudo certbot certonly --webroot -w /usr/share/nginx/html -d nms.example.com

Згенеровані сертифікати, ймовірно, будуть збережені в /etc/letsencrypt/live/nms.example.com/каталозі. Сертифікат SSL буде збережено як, fullchain.pemа закритий ключ – як privkey.pem.

Термін дії сертифікатів Let's Encrypt закінчується через 90 днів, тому рекомендується налаштувати автоматичне оновлення для сертифікатів за допомогою завдання cron.

Відкрийте файл завдання cron.

sudo crontab -e

Додайте наступний рядок у кінці файлу.

30 5 * * 1 /usr/bin/certbot renew --quiet

Вищезазначене завдання cron виконуватиметься щопонеділка о 5:30 за місцевим часом. Якщо термін дії сертифіката закінчився, його буде автоматично поновлено.

Створіть новий віртуальний хост.

sudo nano /etc/nginx/conf.d/nms.example.com.conf

Заповніть файл.

server {
    listen 80;
    server_name nms.example.com;
    return 301 https://$host$request_uri;
}
server {

    listen 443;
    server_name nms.example.com;

    ssl_certificate           /etc/letsencrypt/live/nms.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/nms.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log    /opt/librenms/logs/librenms.nginx.access.log;
    root        /opt/librenms/html;
    index       index.php;

    charset utf-8;
    gzip on;
    gzip_types text/css application/javascript text/javascript application/x-javascript image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon;
    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }
    location /api/v0 {
        try_files $uri $uri/ /api_v0.php?$query_string;
    }
    location ~ \.php {
        include fastcgi.conf;
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
    }
    location ~ /\.ht {
        deny all;
    }
 }

Замініть nms.example.comсвій фактичний домен у наведеній вище конфігурації.

Перезапустіть Nginx.

sudo chown nginx:nginx /var/lib/php/session
sudo systemctl restart nginx

Установка за допомогою WebUI

Щоб завершити встановлення, відкрийте https://nms.example.comу своєму улюбленому браузері. Ви побачите, що вимоги задоволені. Надайте дані своєї бази даних та створіть новий обліковий запис адміністратора. Після встановлення ви отримаєте повідомлення для підтвердження встановлення. Натисніть на посилання та увійдіть, використовуючи обліковий запис адміністратора. Ви побачите, що все, крім " Poller", має статус " Ok".

Тепер натисніть на посилання, щоб додати пристрій. В Add Deviceінтерфейсі " " введіть ім'я хоста як локальний хост і залиште все як є. Укажіть свій рядок спільноти в полі спільноти. Це має бути той самий рядок, який ви вказали snmpd.confпід час налаштування SNMP.

Після додавання пристрою ви можете переглянути деталі, перейшовши на Devicesвкладку " ".

Аналогічно, ви можете додати більше пристроїв до програми LibreNMS для цілодобового моніторингу.