Як безпечно відстежувати віддалені сервери за допомогою Zabbix на CentOS 7

Zabbix — безкоштовне програмне забезпечення з відкритим вихідним кодом для підприємств, яке використовується для моніторингу доступності систем і мережевих компонентів. Zabbix може контролювати тисячі серверів, віртуальних машин або мережевих компонентів одночасно. Zabbix може відстежувати майже все, що пов’язано з системою, як-от центральний процесор, пам’ять, дисковий простір та IO, процеси, мережа, бази даних, віртуальні машини та веб-сервіси. Якщо Zabbix надає доступ IPMI, він також може контролювати обладнання, таке як температура, напруга тощо.

Передумови

• Примірник сервера Vultr CentOS 7.
• Користувач sudo .

У цьому підручнику ми будемо використовувати 192.0.2.1як загальнодоступну IP-адресу сервера Zabbix і 192.0.2.2як публічну IP-адресу хоста Zabbix, за яким ми будемо віддалено відстежувати. Будь ласка, не забудьте замінити всі входження в прикладі IP-адреси вашими фактичними загальнодоступними IP-адресами.

Оновіть свою базову систему за допомогою посібника Як оновити CentOS 7 . Після оновлення системи перейдіть до встановлення залежностей.

Встановіть Apache і PHP

Після встановлення Zabbix web він автоматично створює конфігурацію для Apache.

Встановіть Apache для обслуговування інтерфейсу Zabbix або веб-інтерфейсу.

sudo yum -y install httpd

Запустіть Apache і ввімкніть його автоматичний запуск при завантаженні.

sudo systemctl start httpd
sudo systemctl enable httpd

Додайте та ввімкніть Remiрепозиторій, оскільки сховище за замовчуванням YUMмістить старішу версію PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Встановіть останню версію PHP разом із модулями, необхідними Zabbix.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Встановіть та налаштуйте PostgreSQL

PostgreSQL - це об'єктно-реляційна система баз даних. Вам потрібно буде додати репозиторій PostgreSQL у вашу систему, оскільки сховище YUM за замовчуванням містить старішу версію PostgreSQL.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Встановіть сервер бази даних PostgreSQL.

sudo yum -y install postgresql96-server postgresql96-contrib

Ініціалізуйте базу даних.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb створює новий кластер баз даних, який являє собою групу баз даних, якими керує один сервер.

Відредагуйте, pg_hba.confщоб увімкнути автентифікацію на основі MD5.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Знайдіть наступні рядки та змініть peerна trustта idnetна md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Після оновлення конфігурація має виглядати, як показано нижче.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Запустіть сервер PostgreSQL і ввімкніть його автоматичний запуск під час завантаження.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Змініть passwordдля користувача PostgreSQL за замовчуванням.

sudo passwd postgres

Увійдіть як користувач PostgreSQL.

sudo su - postgres

Створіть нового користувача PostgreSQL для Zabbix.

createuser zabbix

Перейдіть до оболонки PostgreSQL.

psql

Встановіть пароль для щойно створеного користувача бази даних для бази даних Zabbix.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Створіть нову базу даних для Zabbix.

CREATE DATABASE zabbix OWNER zabbix;

Вихід з psqlоболонки.

\q

Перейти до sudoкористувача з поточного postgresкористувача.

exit

Встановіть Zabbix

Zabbix надає двійкові файли для CentOS, які можна встановити безпосередньо зі сховища Zabbix. Додайте репозиторій Zabbix у вашу систему.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Встановіть Zabbix serverі Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql 

Імпортуйте базу даних PostgreSQL.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Ви повинні побачити щось подібне до наведеного нижче в кінці виводу.

...
INSERT 0 1
INSERT 0 1
COMMIT

Відкрийте файл конфігурації Zabbix, щоб оновити деталі бази даних.

sudo nano /etc/zabbix/zabbix_server.conf

Знайдіть наступні рядки та оновіть значення відповідно до конфігурації бази даних. Вам потрібно буде розкоментувати рядки DBHostта DBPort.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix автоматично встановлює файл віртуального хоста для Apache. Нам потрібно буде налаштувати віртуальний хост для оновлення часового поясу та версії PHP.

sudo nano /etc/httpd/conf.d/zabbix.conf

Знайдіть наступні рядки.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Оскільки ми використовуємо PHP версії 7, вам також потрібно буде оновити mod_phpверсію. Оновіть лінії відповідно до свого часового поясу, як показано нижче.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Тепер перезапустіть Apache, щоб застосувати ці зміни в конфігурації.

sudo systemctl restart httpd

Запустіть сервер Zabbix і ввімкніть його автоматичний запуск під час завантаження.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Зараз у вас повинен бути запущений сервер Zabbix. Ви можете перевірити стан процесу, запустивши це.

sudo systemctl status zabbix-server

Змініть брандмауер, щоб дозволити стандарт HTTPі HTTPSпорт. Вам також потрібно буде дозволити порт 10051через брандмауер, який буде використовуватися Zabbix для отримання подій від агента Zabbix, запущеного на віддалених машинах.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

To access the administration dashboard, you can open http://192.0.2.1/zabbix using your favorite browser. You will see a welcome message. You should have all the prerequisites satisfied on the next interface. Follow the instructions on the installer page to install the software. Once the software has been installed, login using the username Admin and password zabbix. Zabbix is now installed and ready to collect the data from the Zabbix agent.

Setup a Zabbix Agent on the Server

To monitor the server on which Zabbix is installed, you can set up the agent on the server. The Zabbix agent will gather the event data from the Linux server to send it to the Zabbix server. By default, port 10050 is used to send the events and data to the server.

Install the Zabbix agent.

sudo yum -y install zabbix-agent

Start the agent and enable it to automatically start at boot.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

The communication between the Zabbix agent and the Zabbix server is done locally, thus there is no need to set up any encryption.

Before the Zabbix server can receive any data, you need to enable the host. Login to the web administration dashboard of the Zabbix server and go to Configuration >> Host. You will see a disabled entry of the Zabbix server host. Select the entry and click on the "Enable" button to enable the monitoring of the Zabbix server application and the base CentOS system on which the Zabbix server is installed.

Setup the Agent on Remote Linux Machines

There are three methods by which a remote Zabbix agent can send events to the Zabbix server. The first method is to use an unencrypted connection, and the second is using a secured pre-shared key. The third and most secure way is to encrypt the transmission using RSA certificates.

Before we proceed to install and configure the Zabbix agent on the remote machine, we need to generate the certificates on the Zabbix server system. We will use self-signed certificates.

Run the following commands on the Zabbix server as a sudo user.

Create a new directory to store Zabbix keys and generate the private key for the CA.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

It will ask you for a passphrase to protect the private key. Once the private key has been generated, proceed to generate the certificate for the CA.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Введіть парольну фразу приватного ключа. Він попросить вас надати кілька деталей про вашу країну, штат, організацію. Надайте відповідні деталі.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Ми успішно створили сертифікат ЦС. Згенеруйте закритий ключ і CSR для сервера Zabbix.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Будь ласка, не вказуйте парольну фразу для шифрування приватного ключа під час виконання наведеної вище команди. Використовуючи CSR, згенеруйте сертифікат для сервера Zabbix.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Аналогічно згенеруйте приватний ключ і CSR для хоста або агента Zabbix.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Тепер згенеруйте сертифікат.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Скопіюйте сертифікати в каталог конфігурації Zabbix.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Надайте користувачеві право власності на сертифікати Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Відкрийте файл конфігурації сервера Zabbix, щоб оновити шлях до сертифікатів.

sudo nano /etc/zabbix/zabbix_server.conf

Знайдіть ці рядки у файлі конфігурації та змініть їх, як показано.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Збережіть файл і вийдіть з редактора. Перезапустіть сервер Zabbix, щоб зміни в конфігурації вступили в силу.

sudo systemctl restart zabbix-server

Скопіюйте сертифікати за допомогою scpкоманди на хост-комп’ютер, який ви хочете контролювати.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Переконайтеся, що ви замінили 192.0.2.2фактичну IP-адресу віддаленого хоста, на який ви хочете встановити агент Zabbix.

Встановіть хост Zabbix

Тепер, коли ми скопіювали сертифікати на хост-систему, ми готові до встановлення агента Zabbix.

Відтепер усі команди мають виконуватися на хості, за яким ви хочете контролювати .

Додайте репозиторій Zabbix в систему.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Встановіть агент Zabbix в систему.

sudo yum -y install zabbix-agent

Перемістіть ключ і сертифікати в каталог конфігурації Zabbix.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Надати право власності на сертифікати користувачеві Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Відкрийте файл конфігурації агента Zabbix, щоб оновити IP-адресу сервера та шлях до ключа та сертифікатів.

sudo nano /etc/zabbix/zabbix_agentd.conf

Знайдіть наступний рядок і внесіть необхідні зміни, щоб вони виглядали, як показано нижче.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Ім’я хоста має бути унікальним рядком, який не вказано для жодної іншої хост-системи. Будь ласка, запишіть ім’я хоста, оскільки нам потрібно буде встановити точне ім’я хоста на сервері Zabbix.

Далі оновіть значення цих параметрів.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Тепер перезапустіть агент Zabbix і ввімкніть його автоматичний запуск під час завантаження.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Ви успішно налаштували агент Zabbix на хост-системі. Перегляньте панель керування Zabbix за адресою, https://192.0.2.1/zabbixщоб додати щойно налаштований хост.

Перейдіть до Configuration >> Hostsта натисніть Create Hostкнопку у верхньому правому куті.

В create hostінтерфейсі введіть ім’я хоста, яке має бути точно таким же, як ім’я хоста, налаштованого у файлі конфігурації Zabbix агента хост-системи. Для відображуваного імені ви можете вибрати все, що забажаєте.

Виберіть групу, до якої потрібно додати систему. Оскільки ми використовуємо агент Zabbix для моніторингу базового сервера Linux, ми можемо вибрати групу серверів Linux. Ви також можете створити нову групу, якщо хочете.

Надайте IP-адресу хоста, на якому запущено агент Zabbix. Ви можете надати додатковий опис хоста.

Тепер перейдіть на Templateвкладку нового інтерфейсу хоста та знайдіть шаблон відповідно до програми. У нашому випадку нам потрібно знайти Template OS Linux. Натисніть на Addпосилання, щоб призначити шаблон хосту.

Нарешті, перейдіть на Encryptionвкладку та виберіть Certificateдля підключень до хоста та підключень із хоста. Таким чином, спілкування з обох сторін буде зашифровано за допомогою сертифікатів RSA. IssuerІ Subjectполя є необов'язковими.

Після цього ви можете натиснути Addкнопку, щоб додати новий хост до сервера Zabbix. Через кілька хвилин ZBXдоступність стане зеленою. Це означає, що хост доступний за допомогою агента Zabbix і активно надсилає події з хост-комп’ютера на сервер Zabbix.

Якщо ZBXдоступність стає redкольором замість зеленого, це означає, що сталася помилка, і хост не може надіслати дані на сервер. У цьому випадку знайдіть помилку у файлах журналів і усуньте її відповідним чином. Шлях до журналу сервера Zabbix і журналу агента Zabbix: /var/log/zabbix/zabbix_server.log, і/var/log/zabbix/zabbix_agentd.log .

Тепер ви можете контролювати хост, перейшовши на monitoringвкладку. Ви можете переглянути проблеми, отримані події, графіки в реальному часі та багато іншого на сторінках моніторингу.

Висновок

Вітаємо, ви успішно розгорнули екземпляр сервера Zabbix і ввімкнули моніторинг на віддаленому хості.

Ви можете контролювати всю інфраструктуру вашої малої або середньої компанії за допомогою одного екземпляра Zabbix.