Cómo supervisar de forma segura los servidores remotos con Zabbix en CentOS 7

Prerrequisitos
Instalar Apache y PHP
Instalar y configurar PostgreSQL
Instalar Zabbix
Configurar un agente Zabbix en el servidor
Configurar el agente en máquinas remotas de Linux
Instale el host Zabbix
Conclusión

Zabbix es un software gratuito y de código abierto listo para empresas que se utiliza para monitorear la disponibilidad de sistemas y componentes de red. Zabbix puede monitorear miles de servidores, máquinas virtuales o componentes de red simultáneamente. Zabbix puede monitorear casi todo lo relacionado con un sistema como CPU, memoria, espacio en disco e IO, procesos, redes, bases de datos, máquinas virtuales y servicios web. Si se proporciona acceso IPMI a Zabbix, también puede monitorear el hardware, como la temperatura, el voltaje, etc.

Prerrequisitos

Una instancia de servidor Vultr CentOS 7.
Un usuario de sudo .

Para este tutorial, usaremos 192.0.2.1como la dirección IP pública del servidor Zabbix y 192.0.2.2como la dirección IP pública de un host Zabbix que supervisaremos de forma remota. Asegúrese de reemplazar todas las apariciones de la dirección IP de ejemplo con sus direcciones IP públicas reales.

Actualice su sistema base utilizando la guía Cómo actualizar CentOS 7 . Una vez que su sistema ha sido actualizado, proceda a instalar las dependencias.

Instalar Apache y PHP

Tras la instalación de la web de Zabbix, crea automáticamente la configuración de Apache.

Instale Apache para servir el front-end de Zabbix o la interfaz de usuario web.

sudo yum -y install httpd

Inicie Apache y permita que se inicie en el arranque automáticamente.

sudo systemctl start httpd
sudo systemctl enable httpd

Agregue y habilite el Remirepositorio, ya que el YUMrepositorio predeterminado contiene una versión anterior de PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Instale la última versión de PHP junto con los módulos requeridos por Zabbix.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Instalar y configurar PostgreSQL

PostgreSQL es un sistema de base de datos relacional de objetos. Deberá agregar el repositorio PostgreSQL en su sistema, ya que el repositorio YUM predeterminado contiene una versión anterior de PostgreSQL.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Instale el servidor de base de datos PostgreSQL.

sudo yum -y install postgresql96-server postgresql96-contrib

Inicializar la base de datos.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb crea un nuevo grupo de bases de datos, que es un grupo de bases de datos administradas por un solo servidor.

Edite pg_hba.confpara habilitar la autenticación basada en MD5.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Encuentra las siguientes líneas y cambia peera trusty idnetpara md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Una vez actualizada, la configuración debería verse como se muestra a continuación.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Inicie el servidor PostgreSQL y permita que se inicie automáticamente en el arranque.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Cambie passwordpara el usuario predeterminado de PostgreSQL.

sudo passwd postgres

Inicie sesión como usuario de PostgreSQL.

sudo su - postgres

Cree un nuevo usuario de PostgreSQL para Zabbix.

createuser zabbix

Cambie al shell PostgreSQL.

psql

Establezca una contraseña para el usuario de la base de datos recién creado para la base de datos Zabbix.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Crea una nueva base de datos para Zabbix.

CREATE DATABASE zabbix OWNER zabbix;

Salga de la psqlcáscara.

\q

Cambiar al sudousuario desde el postgresusuario actual .

exit

Instalar Zabbix

Zabbix proporciona binarios para CentOS, que se pueden instalar directamente desde el repositorio de Zabbix. Agregue el repositorio de Zabbix a su sistema.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Instalar Zabbix servery Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

Importe la base de datos PostgreSQL.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Debería ver algo similar al siguiente al final de la salida.

...
INSERT 0 1
INSERT 0 1
COMMIT

Abra el archivo de configuración de Zabbix para actualizar los detalles de la base de datos.

sudo nano /etc/zabbix/zabbix_server.conf

Encuentre las siguientes líneas y actualice los valores de acuerdo con la configuración de su base de datos. Deberá descomentar las líneas DBHosty DBPort.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix instala automáticamente el archivo de host virtual para Apache. Tendremos que configurar el host virtual para actualizar la zona horaria y la versión de PHP.

sudo nano /etc/httpd/conf.d/zabbix.conf

Encuentra las siguientes líneas.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Como estamos usando PHP versión 7, también necesitará actualizar la mod_phpversión. Actualice las líneas de acuerdo con su zona horaria como se muestra a continuación.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Ahora reinicie Apache para aplicar estos cambios en la configuración.

sudo systemctl restart httpd

Inicie el servidor Zabbix y permita que se inicie automáticamente en el arranque.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Debería tener el servidor Zabbix ejecutándose ahora. Puede verificar el estado del proceso ejecutando esto.

sudo systemctl status zabbix-server

Modifique el firewall para permitir el estándar HTTPy el HTTPSpuerto. También deberá permitir el puerto a 10051través del firewall, que será utilizado por Zabbix para obtener los eventos del agente de Zabbix que se ejecuta en máquinas remotas.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

Para acceder al panel de administración, puede abrir http://192.0.2.1/zabbixusando su navegador favorito. Verás un mensaje de bienvenida. Debe tener todos los requisitos previos satisfechos en la siguiente interfaz. Siga las instrucciones en la página del instalador para instalar el software. Una vez que se haya instalado el software, inicie sesión con el nombre de usuario Adminy la contraseña zabbix. Zabbix ahora está instalado y listo para recopilar los datos del agente Zabbix.

Configurar un agente Zabbix en el servidor

Para supervisar el servidor en el que está instalado Zabbix, puede configurar el agente en el servidor. El agente Zabbix reunirá los datos del evento del servidor Linux para enviarlos al servidor Zabbix. Por defecto, el puerto 10050se usa para enviar los eventos y datos al servidor.

Instale el agente Zabbix.

sudo yum -y install zabbix-agent

Inicie el agente y permita que se inicie automáticamente en el arranque.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

La comunicación entre el agente Zabbix y el servidor Zabbix se realiza localmente, por lo que no es necesario configurar ningún cifrado.

Antes de que el servidor Zabbix pueda recibir datos, debe habilitar el host. Inicie sesión en el panel de administración web del servidor Zabbix y vaya a Configuration >> Host. Verá una entrada deshabilitada del host del servidor Zabbix. Seleccione la entrada y haga clic en el botón "Habilitar" para habilitar la supervisión de la aplicación del servidor Zabbix y el sistema base CentOS en el que está instalado el servidor Zabbix.

Configurar el agente en máquinas remotas de Linux

Hay tres métodos por los cuales un agente remoto de Zabbix puede enviar eventos al servidor de Zabbix. El primer método es usar una conexión no encriptada, y el segundo es usar una clave precompartida segura. La tercera y más segura forma es encriptar la transmisión usando certificados RSA.

Antes de proceder a instalar y configurar el agente Zabbix en la máquina remota, necesitamos generar los certificados en el sistema del servidor Zabbix. Utilizaremos certificados autofirmados.

Ejecute los siguientes comandos en el servidor Zabbix como sudousuario .

Cree un nuevo directorio para almacenar claves Zabbix y generar la clave privada para la CA.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

Le pedirá una frase de contraseña para proteger la clave privada. Una vez que se ha generado la clave privada, proceda a generar el certificado para la CA.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Proporcione la frase de contraseña de la clave privada. Le pedirá algunos detalles sobre su país, estado u organización. Proporcione los detalles en consecuencia.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Hemos generado con éxito el certificado de CA. Genere la clave privada y la CSR para el servidor Zabbix.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

No proporcione una frase de contraseña para cifrar la clave privada cuando ejecute el comando anterior. Usando la CSR, genere el certificado para el servidor Zabbix.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Del mismo modo, genere la clave privada y la CSR para el host o agente Zabbix.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Ahora genera el certificado.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Copie los certificados en el directorio de configuración de Zabbix.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Proporcionar la propiedad de los certificados al Zabbixusuario.

sudo chown -R zabbix: /etc/zabbix/keys

Abra el archivo de configuración del servidor Zabbix para actualizar la ruta de los certificados.

sudo nano /etc/zabbix/zabbix_server.conf

Busque estas líneas en el archivo de configuración y cámbielas como se muestra.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Guarde el archivo y salga del editor. Reinicie el servidor Zabbix para que el cambio en la configuración surta efecto.

sudo systemctl restart zabbix-server

Copie los certificados con el scpcomando en la computadora host que desea monitorear.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Asegúrese de reemplazar 192.0.2.2con la dirección IP real del host remoto en el que desea instalar el agente Zabbix.

Instale el host Zabbix

Ahora que hemos copiado los certificados en el sistema host, estamos listos para instalar el agente Zabbix.

A partir de ahora, todos los comandos deben ejecutarse en el host que desea supervisar .

Agregue el repositorio de Zabbix al sistema.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Instale el agente Zabbix en el sistema.

sudo yum -y install zabbix-agent

Mueva la clave y los certificados al directorio de configuración de Zabbix.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Proporcionar la propiedad de los certificados al usuario de Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Abra el archivo de configuración del agente Zabbix para actualizar la dirección IP del servidor y la ruta a la clave y los certificados.

sudo nano /etc/zabbix/zabbix_agentd.conf

Busque la siguiente línea y realice los cambios necesarios para que se vean como se muestra a continuación.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

El nombre de host debe ser una cadena única que no esté especificada para ningún otro sistema host. Por favor, tome nota del nombre de host ya que necesitaremos establecer el nombre de host exacto en el servidor Zabbix.

Además, actualice los valores de estos parámetros.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Ahora, reinicie el agente Zabbix y permita que se inicie automáticamente en el arranque.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Ha configurado correctamente el agente Zabbix en el sistema host. Examine el panel de administración de Zabbix en https://192.0.2.1/zabbixpara agregar el host recién configurado.

Vaya Configuration >> Hostsy haga clic en el Create Hostbotón en la esquina superior derecha.