نحوه نظارت ایمن از سرورهای از راه دور با استفاده از Zabbix در CentOS 7

پیش نیازها
Apache و PHP را نصب کنید
PostgreSQL را نصب و پیکربندی کنید
Zabbix را نصب کنید
یک عامل Zabbix را روی سرور تنظیم کنید
نماینده دستگاههای از راه دور لینوکس را تنظیم کنید
میزبان Zabbix را نصب کنید
نتیجه

Zabbix یک نرم افزار آماده و متناسب با منبع آزاد است که برای نظارت بر در دسترس بودن سیستم ها و اجزای شبکه استفاده می شود. Zabbix می تواند هزاران سرور ، ماشین های مجازی یا مؤلفه های شبکه را بطور همزمان کنترل کند. Zabbix می تواند تقریباً همه موارد مربوط به سیستمی مانند CPU ، حافظه ، فضای دیسک و IO ، پردازش ها ، شبکه ، پایگاه داده ، ماشین های مجازی و خدمات وب را کنترل کند. اگر دسترسی IPMI به Zabbix فراهم شود ، می تواند سخت افزارهایی مانند دما ، ولتاژ و غیره را نیز کنترل کند.

پیش نیازها

نمونه سرور Vultr CentOS 7.
کاربران از sudo .

برای این آموزش ، ما به 192.0.2.1عنوان آدرس IP عمومی سرور Zabbix و 192.0.2.2به عنوان آدرس IP عمومی یک میزبان Zabbix استفاده خواهیم کرد که از راه دور آن را رصد خواهیم کرد. لطفاً اطمینان حاصل کنید که تمام وقایع آدرس IP مثال را با آدرسهای IP واقعی خود جایگزین کنید.

سیستم پایه خود را با استفاده از راهنمای نحوه به روزرسانی CentOS 7 به روز کنید . پس از به روزرسانی سیستم ، نصب وابستگی ها را انجام دهید.

Apache و PHP را نصب کنید

پس از نصب وب Zabbix ، به طور خودکار پیکربندی Apache را ایجاد می کند.

آپاچی را نصب کنید تا از Zabbix front-end یا UI وب استفاده کنید.

sudo yum -y install httpd

آپاچی را شروع کنید و آن را فعال کنید تا به طور خودکار در بوت شروع شود.

sudo systemctl start httpd
sudo systemctl enable httpd

Remiمخزن را اضافه و فعال کنید ، زیرا YUMمخزن پیش فرض دارای نسخه قدیمی PHP است.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

آخرین نسخه PHP را به همراه ماژول های مورد نیاز Zabbix نصب کنید.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

PostgreSQL را نصب و پیکربندی کنید

PostgreSQL یک سیستم پایگاه داده رابطه ای است. شما باید مخزن PostgreSQL را در سیستم خود اضافه کنید ، زیرا مخزن پیش فرض YUM شامل نسخه قدیمی تر PostgreSQL است.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

سرور پایگاه داده PostgreSQL را نصب کنید.

sudo yum -y install postgresql96-server postgresql96-contrib

اولویت بندی پایگاه داده.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb یک خوشه پایگاه داده جدید ایجاد می کند ، که گروهی از بانکهای اطلاعاتی است که توسط یک سرور واحد مدیریت می شود.

pg_hba.confبرای فعال کردن احراز هویت مبتنی بر MD5 ، ویرایش کنید.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

یافتن خطوط زیر و تغییر peerبه trustو idnetبه md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

پس از به روزرسانی ، پیکربندی باید مانند شکل زیر باشد.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

سرور PostgreSQL را راه اندازی کنید و آن را فعال کنید تا به طور خودکار در بوت شروع شود.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

تغییر passwordبرای کاربر پیش فرض PostgreSQL.

sudo passwd postgres

به عنوان کاربر PostgreSQL وارد شوید.

sudo su - postgres

یک کاربر جدید PostgreSQL برای Zabbix ایجاد کنید.

createuser zabbix

به پوسته PostgreSQL بروید.

psql

برای کاربر پایگاه داده تازه ایجاد شده برای پایگاه داده Zabbix یک رمزعبور تنظیم کنید.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

یک پایگاه داده جدید برای Zabbix ایجاد کنید.

CREATE DATABASE zabbix OWNER zabbix;

از psqlپوسته خارج شوید.

\q

از sudoکاربر فعلی به postgresکاربر تغییر دهید.

exit

Zabbix را نصب کنید

Zabbix دوتایی را برای CentOS فراهم می کند ، که می توانند مستقیماً از مخزن Zabbix نصب شوند. مخزن Zabbix را به سیستم خود اضافه کنید.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

نصب Zabbix serverو Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

پایگاه داده PostgreSQL را وارد کنید.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

در پایان خروجی باید چیزی شبیه به موارد زیر را مشاهده کنید.

...
INSERT 0 1
INSERT 0 1
COMMIT

پرونده پیکربندی Zabbix را باز کنید تا جزئیات پایگاه داده به روز شود.

sudo nano /etc/zabbix/zabbix_server.conf

خطوط زیر را پیدا کنید و مقادیر را مطابق با پیکربندی پایگاه داده خود به روز کنید. لازم است خطوط DBHostو DBPortخطوط را نادیده بگیرید .

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix به طور خودکار فایل میزبان مجازی را برای Apache نصب می کند. برای بروزرسانی منطقه زمانی و نسخه PHP ، باید میزبان مجازی را پیکربندی کنیم.

sudo nano /etc/httpd/conf.d/zabbix.conf

س��رهای زیر را پیدا کنید.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

از آنجا که ما از PHP نسخه 7 استفاده می کنیم ، شما نیز نیاز به بروزرسانی mod_phpنسخه دارید. مطابق شکل زیر خطوط را مطابق با منطقه زمانی خود به روز کنید.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

اکنون Apache را مجدداً راه اندازی کنید تا این تغییرات در پیکربندی اعمال شود.

sudo systemctl restart httpd

سرور Zabbix را راه اندازی کنید و آن را فعال کنید تا به طور خودکار از بوت شروع شود.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

اکنون باید سرور Zabbix را اجرا کنید. با اجرای این کار می توانید وضعیت فرایند را بررسی کنید.

sudo systemctl status zabbix-server

فایروال را اصلاح کنید تا استاندارد HTTPو HTTPSپورت مجاز باشد . همچنین باید 10051از طریق فایروال به پورت اجازه دهید ، که توسط Zabbix برای به دست آوردن وقایع از نماینده Zabbix در حال اجرا در دستگاه های از راه دور استفاده می شود.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

برای دسترسی به داشبورد مدیریت ، می توانید http://192.0.2.1/zabbixبا استفاده از مرورگر مورد علاقه خود باز کنید. پیام خوش آمدید را مشاهده خواهید کرد. شما باید در رابط بعدی تمام پیش نیازها را راضی کنید. برای نصب نرم افزار دستورالعمل های موجود در صفحه نصب را دنبال کنید. پس از نصب نرم افزار ، با استفاده از نام کاربری Adminو رمز عبور وارد شوید zabbix. اکنون Zabbix نصب و آماده جمع آوری داده ها از نماینده Zabbix است.

یک عامل Zabbix را روی سرور تنظیم کنید

برای نظارت بر سروری که Zabbix روی آن نصب شده است ، می توانید عامل را روی سرور تنظیم کنید. نماینده Zabbix داده های رویداد را از سرور لینوکس جمع می کند تا آن را به سرور Zabbix ارسال کند. به طور پیش فرض ، از پورت 10050برای ارسال رویدادها و داده ها به سرور استفاده می شود.

عامل Zabbix را نصب کنید.

sudo yum -y install zabbix-agent

عامل را راه اندازی کنید و آن را فعال کنید تا به طور خودکار از بوت شروع شود.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

ارتباط بین عامل Zabbix و سرور Zabbix بصورت محلی انجام می شود ، بنابراین نیازی به تنظیم رمزگذاری نیست.

قبل از اینکه سرور Zabbix بتواند داده ای را دریافت کند ، باید این گزینه را فعال کنید host. وارد داشبورد مدیریت وب سرور Zabbix شوید و به آن بروید Configuration >> Host. ورودی غیرفعال میزبان سرور Zabbix را مشاهده خواهید کرد. ورودی را انتخاب کنید و بر روی دکمه "فعال کردن" کلیک کنید تا امکان نظارت بر برنامه سرور Zabbix و سیستم پایه CentOS که روی آن سرور Zabbix نصب شده است را فعال کنید.

نماینده دستگاههای از راه دور لینوکس را تنظیم کنید

سه روش وجود دارد که یک عامل از راه دور Zabbix می تواند رویدادها را به سرور Zabbix ارسال کند. روش اول استفاده از یک اتصال بدون رمزگذاری است و روش دوم استفاده از یک کلید از پیش مشترک شده ایمن است. سومین و مطمئن ترین راه رمزگذاری انتقال با استفاده از گواهینامه های RSA است.

قبل از نصب و پیکربندی عامل Zabbix در دستگاه از راه دور ، باید گواهی های موجود در سیستم سرور Zabbix را تولید کنیم. ما از گواهینامه های خود امضا شده استفاده خواهیم کرد.

دستورات زیر را به عنوان sudoکاربر روی سرور Zabbix اجرا کنید .

برای ذخیره کلیدهای Zabbix و ایجاد کلید خصوصی برای CA یک دایرکتوری جدید ایجاد کنید.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

از شما می خواهد یک عبارت عبور را برای محافظت از کلید خصوصی بخواهید. پس از ایجاد کلید خصوصی ، اقدام به تولید گواهی CA کنید.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

عبارات کلید خصوصی را تهیه کنید. اطلاعات جزئی درباره کشور ، ایالت ، سازمان شما از شما سؤال خواهد کرد. جزئیات را بر این اساس ارائه دهید.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

ما با موفقیت گواهی CA را تولید کردیم. کلید خصوصی و CSR را برای سرور Zabbix ایجاد کنید.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

لطفاً هنگام رمزگذاری دستور فوق ، عبارتی برای رمزگذاری کلید خصوصی ارائه ندهید. با استفاده از CSR ، گواهی را برای سرور Zabbix تولید کنید.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

به طور مشابه ، کلید خصوصی و CSR را برای میزبان یا عامل Zabbix تولید کنید.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

اکنون گواهی تولید کنید.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

گواهینامه ها را در فهرست پیکربندی Zabbix کپی کنید.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

مالکیت گواهینامه ها را به Zabbixکاربر ارائه دهید.

sudo chown -R zabbix: /etc/zabbix/keys

پرونده پیکربندی سرور Zabbix را باز کنید تا مسیر گواهی ها به روز شود.

sudo nano /etc/zabbix/zabbix_server.conf

این خطوط را در پرونده پیکربندی پیدا کنید و همانطور که نشان داده شده است ، آنها را تغییر دهید.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

پرونده را ذخیره کرده و از ویرایشگر خارج شوید. سرور Zabbix را مجدداً راه اندازی کنید تا تغییر در پیکربندی مؤثر واقع شود.

sudo systemctl restart zabbix-server

گواهی ها را با استفاده از scpدستور در رایانه میزبان که مایل به نظارت بر آن هستید کپی کنید .

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

اطمینان حاصل کنید که 192.0.2.2آدرس IP واقعی از راه دور را که می خواهید عامل Zabbix را نصب کنید ، جایگزین کنید.

میزبان Zabbix را نصب کنید

اکنون که گواهینامه ها را در سیستم میزبان کپی کرده ایم ، آماده نصب نماینده Zabbix هستیم.

از این پس ، تمام دستورات باید روی میزبان اجرا شود که مایل به نظارت بر آن هستید .

مخزن Zabbix را به سیستم اضافه کنید.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

عامل Zabbix را در سیستم نصب کنید.

sudo yum -y install zabbix-agent

کلید و گواهینامه ها را به فهرست تنظیمات Zabbix منتقل کنید.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

مالکیت گواهینامه ها را به کاربر Zabbix ارائه دهید.

sudo chown -R zabbix: /etc/zabbix/keys

پرونده پیکربندی عامل Zabbix را باز کنید تا آدرس IP سرور و مسیر کلید و گواهی ها به روز شود.

sudo nano /etc/zabbix/zabbix_agentd.conf

خط زیر را پیدا کنید و تغییرات لازم را انجام دهید تا ظاهر آن مانند شکل زیر باشد.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

نام میزبان باید یک رشته منحصر به فرد باشد که برای هیچ سیستم میزبان دیگر مشخص نشده است. لطفاً از نام میزبان یادداشت کنید زیرا لازم است که نام میزبان دقیق را در سرور Zabbix تنظیم کنیم.

Furthur ، مقادیر این پارامترها را به روز کنید.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

اکنون عامل Zabbix را مجدداً راه اندازی کنید و آن را فعال کنید تا بطور خودکار از بوت شروع شود.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

شما با موفقیت عامل Zabbix را روی سیستم میزبان پیکربندی کرده اید. https://192.0.2.1/zabbixبرای افزودن میزبان تازه تنظیم شده ، روی داشبورد دولت Zabbix را مرور کنید.

بروید Configuration >> Hostsو بر روی Create Hostدکمه در گوشه بالا سمت راست کلیک کنید.