Bewaak uw apparaten met LibreNMS op CentOS 7

• Vereisten
• Installeer Nginx en PHP
• Installeer MariaDB
• Installeer LibreNMS
• SSL- en Nginx VHost-configuraties
• Installatie met WebUI

LibreNMS is een volledig uitgerust open source netwerkbewakingssysteem. Het gebruikt SNMPom de gegevens van verschillende apparaten te verkrijgen. Een verscheidenheid aan apparaten wordt ondersteund in LibreNMS zoals Cisco, Linux, FreeBSD, Juniper, Brocade, Foundry, HP en nog veel meer. Het ondersteunt meerdere authenticatiemechanismen en ondersteunt tweefactorauthenticatie. Het heeft een aanpasbaar waarschuwingssysteem dat de netwerkbeheerder kan waarschuwen via e-mail, IRC of speling.

Vereisten

• Een Vultr CentOS 7-serverinstantie.
• Een sudo-gebruiker .

Voor deze zelfstudie gebruiken we nms.example.comde domeinnaam die naar de Vultr-instantie verwijst. Zorg ervoor dat u alle exemplaren van de voorbeelddomeinnaam vervangt door de werkelijke.

Update uw basissysteem met behulp van de handleiding CentOS 7 updaten . Zodra uw systeem is bijgewerkt, gaat u verder met het installeren van de afhankelijkheden.

Installeer Nginx en PHP

De frontend van LibreNMS is in principe geschreven in PHP, dus we zullen een webserver en PHP moeten installeren. In deze tutorial installeren we Nginx samen met PHP 7.2 om maximale beveiliging en prestaties te verkrijgen.

Installeer Nginx.

sudo yum -y install nginx

Start Nginx en schakel het automatisch in bij het opstarten.

sudo systemctl start nginx
sudo systemctl enable nginx

Voeg de Remi-repository toe en schakel deze in, aangezien de standaard YUM-repository een oudere versie van PHP bevat.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php72

Installeer PHP versie 7.2 samen met de modules die LibreNMS vereist.

sudo yum -y install php php-cli php-common php-curl php-fpm php-gd php-mcrypt php-mysql php-process php-snmp php-xml php-zip

Open het geladen configuratiebestand door PHP in een editor.

sudo nano /etc/php.ini

Zoek de volgende regels, commentaar en verander hun waarde zoals getoond.

;cgi.fix_pathinfo=1
memory_limit = 128M
;date.timezone =

Gebruik in plaats daarvan deze waarden, vervang deze Asia/Kolkatadoor uw lokale tijdzone.

cgi.fix_pathinfo=0
memory_limit = -1
date.timezone = Asia/Kolkata

U moet ook de systeemtijdzone wijzigen door de volgende opdracht uit te voeren.

sudo ln -sf /usr/share/zoneinfo/Asia/Kolkata /etc/localtime

Open nu het PHP-FPM-configuratiebestand.

sudo nano /etc/php-fpm.d/www.conf

Zoek de volgende regel.

listen = 127.0.0.1:9000

Vervang het door de volgende regel.

listen = /var/run/php-fpm/php-fpm.sock

Standaard is PHP-FPM geconfigureerd voor Apache-webservergebruikers. Wijzig de gebruiker in nginx.

user = nginx
group = nginx

Schrap verder de volgende regels.

listen.owner = nobody
listen.group = nobody

Sla het bestand op en verlaat de editor. Start PHP-FPM opnieuw op en schakel het in tijdens het opstarten.

sudo systemctl restart php-fpm
sudo systemctl enable php-fpm

Stel het juiste eigendom in voor het socketbestand.

sudo chown nginx:nginx /var/run/php-fpm/php-fpm.sock

Installeer MariaDB

MariaDB is een vork van MySQL. Voeg de MariaDB-repository toe aan uw systeem. De standaardrepository yumbevat een oudere versie van MariaDB.

echo "[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.2/centos7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1" | sudo tee /etc/yum.repos.d/mariadb.repo

Installeer MariaDB.

sudo yum -y install mariadb mariadb-server

Open nu het MySQL-configuratiebestand.

sudo nano /etc/my.cnf

Voeg de volgende regels toe aan het einde van het blok.

[mysqld]
innodb_file_per_table=1
sql-mode=""
lower_case_table_names=0

Start MariaDB opnieuw en schakel het automatisch in tijdens het opstarten.

sudo systemctl restart mariadb
sudo systemctl enable mariadb

Voordat u de database configureert, moet u eerst MariaDB beveiligen.

sudo mysql_secure_installation

U wordt gevraagd om het huidige MariaDB-rootwachtwoord. Standaard is er geen root-wachtwoord in een nieuwe MariaDB-installatie. Druk op de Entertoets " " om door te gaan. Stel een sterk wachtwoord in voor de rootgebruiker van uw MariaDB-server en antwoord " Y" op alle andere vragen die worden gesteld. De gestelde vragen spreken voor zich.

Log als root in op de MySQL-shell.

mysql -u root -p

Geef het wachtwoord voor de MariaDB-rootgebruiker om in te loggen.

Voer de volgende query's uit om een ​​database en een databasegebruiker te maken voor de LibreNMS-installatie.

CREATE DATABASE librenms CHARACTER SET utf8 COLLATE utf8_general_ci;
CREATE USER 'librenms'@'localhost' IDENTIFIED BY 'StrongPassword';
GRANT ALL PRIVILEGES ON librenms.* TO 'librenms'@'localhost';
FLUSH PRIVILEGES;
EXIT;

U kunt de databasenaam librenmsen gebruikersnaam vervangen librenmsnaar keuze. Zorg ervoor dat u verandert StrongPasswordin een zeer sterk wachtwoord.

Installeer LibreNMS

Afgezien van de bovenstaande afhankelijkheden, heeft LibreNMS weinig meer afhankelijkheden nodig. Installeer ze door te rennen.

sudo yum -y install cronie fping git ImageMagick jwhois mtr MySQL-python net-snmp net-snmp-utils nmap  python-memcached rrdtool

Voeg een nieuwe onbevoegde gebruiker toe voor de LibreNMS-applicatie.

sudo useradd librenms -d /opt/librenms -M -r
sudo usermod -a -G librenms nginx

LibreNMS kan rechtstreeks worden geïnstalleerd door de Github-repository te klonen.

cd /opt
sudo git clone https://github.com/librenms/librenms.git librenms

Bevestig het eigendom.

sudo chown librenms:librenms -R /opt/librenms

LibreNMS vertrouwt voor veel taken op SNMP. Aangezien we SNMP al hebben geïnstalleerd, kopieert u het voorbeeldconfiguratiebestand naar de locatie.

sudo cp /opt/librenms/snmpd.conf.example /etc/snmp/snmpd.conf

Open het configuratiebestand in de editor.

sudo nano /etc/snmp/snmpd.conf

Zoek deze regel.

com2sec readonly  default         RANDOMSTRINGGOESHERE

Bewerk de tekst RANDOMSTRINGGOESHEREen vervang de community-string door een string naar keuze. Bijvoorbeeld.

com2sec readonly  default         my-org

Onthoud de tekenreeks zoals deze later nodig zal zijn wanneer we het eerste SNMP-apparaat toevoegen.

SNMP heeft ook informatie nodig over de distributieversie. Download en installeer het script om de distributieversie te vinden.

sudo curl -o /usr/bin/distro https://raw.githubusercontent.com/librenms/librenms-agent/master/snmp/distro
sudo chmod +x /usr/bin/distro

Start de SNMP-daemon-service en schakel deze in om automatisch te starten tijdens het opstarten.

sudo systemctl enable snmpd
sudo systemctl restart snmpd

Nu moet u enkele crontab-vermeldingen toevoegen om de geplande taken uit te voeren. Maak een nieuw cron-taakbestand.

sudo nano /etc/cron.d/librenms

Vul het bestand in met de volgende tekst.

33   */6  * * *   librenms    /opt/librenms/cronic /opt/librenms/discovery-wrapper.py 1
*/5  *    * * *   librenms    /opt/librenms/discovery.php -h new >> /dev/null 2>&1
*/5  *    * * *   librenms    /opt/librenms/cronic /opt/librenms/poller-wrapper.py 16
15   0    * * *   librenms    /opt/librenms/daily.sh >> /dev/null 2>&1
*    *    * * *   librenms    /opt/librenms/alerts.php >> /dev/null 2>&1
*/5  *    * * *   librenms    /opt/librenms/poll-billing.php >> /dev/null 2>&1
01   *    * * *   librenms    /opt/librenms/billing-calculate.php >> /dev/null 2>&1
*/5  *    * * *   librenms    /opt/librenms/check-services.php >> /dev/null 2>&1

Start de cron daemon-service opnieuw op.

sudo systemctl restart crond

Stel logrotatezo in dat de logbestanden na verloop van tijd automatisch worden vernieuwd.

sudo cp /opt/librenms/misc/librenms.logrotate /etc/logrotate.d/librenms

Stel tot slot het juiste eigendom en de juiste rechten in.

sudo chown -R librenms:nginx /opt/librenms
sudo chmod g+w -R /opt/librenms
sudo setfacl -d -m g::rwx /opt/librenms/rrd /opt/librenms/logs
sudo setfacl -R -m g::rwx /opt/librenms/rrd /opt/librenms/logs

SSL- en Nginx VHost-configuraties

Logins en andere informatie die via de webinterface van LibreNMS wordt verzonden, zijn niet beveiligd als de verbinding niet met SSL is gecodeerd. We zullen Nginx configureren om SSL te gebruiken die is gegenereerd met Let's Encrypt gratis SSL.

Installeer Certbot, de clienttoepassing voor Let's Encrypt CA.

sudo yum -y install certbot

Voordat u de certificaten kunt aanvragen, moet u poort 80en 443, of standaard HTTPen HTTPSservices toestaan via de firewall.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload

Opmerking : om certificaten van Let's Encrypt CA te verkrijgen, moet het domein waarvoor de certificaten moeten worden gegenereerd, naar de server worden gericht. Zo niet, breng dan de nodige wijzigingen aan in de DNS-records van het domein en wacht tot de DNS is gepropageerd voordat u opnieuw een certificaataanvraag indient. Certbot controleert de domeinautoriteit voordat de certificaten worden verstrekt.

Genereer de SSL-certificaten:

sudo certbot certonly --webroot -w /usr/share/nginx/html -d nms.example.com

De gegenereerde certificaten worden waarschijnlijk in de /etc/letsencrypt/live/nms.example.com/directory opgeslagen . Het SSL-certificaat wordt opgeslagen als fullchain.pemen de privésleutel wordt opgeslagen als privkey.pem.

Let's Encrypt-certificaten verlopen over 90 dagen, daarom wordt aanbevolen om automatische verlenging voor de certificaten in te stellen met behulp van een cron-taak.

Open het cron-taakbestand.

sudo crontab -e

Voeg de volgende regel toe aan het einde van het bestand.

30 5 * * 1 /usr/bin/certbot renew --quiet

De bovenstaande cron-taak wordt elke maandag om 05.30 uur lokale tijd uitgevoerd. Als het certificaat afloopt, wordt het automatisch verlengd.

Maak een nieuwe virtuele host.

sudo nano /etc/nginx/conf.d/nms.example.com.conf

Vul het bestand in.

server {
    listen 80;
    server_name nms.example.com;
    return 301 https://$host$request_uri;
}
server {

    listen 443;
    server_name nms.example.com;

    ssl_certificate           /etc/letsencrypt/live/nms.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/nms.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log    /opt/librenms/logs/librenms.nginx.access.log;
    root        /opt/librenms/html;
    index       index.php;

    charset utf-8;
    gzip on;
    gzip_types text/css application/javascript text/javascript application/x-javascript image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon;
    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }
    location /api/v0 {
        try_files $uri $uri/ /api_v0.php?$query_string;
    }
    location ~ \.php {
        include fastcgi.conf;
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
    }
    location ~ /\.ht {
        deny all;
    }
 }

Vervang nms.example.comdoor uw werkelijke domein in de bovenstaande configuratie.

Start Nginx opnieuw op.

sudo chown nginx:nginx /var/lib/php/session
sudo systemctl restart nginx

Installatie met WebUI

Om de installatie te voltooien, opent u https://nms.example.comin uw favoriete browser. U zult zien dat aan de vereisten is voldaan. Geef uw databasegegevens op en maak een nieuw administratief account aan. Na installatie krijgt u een bericht om de installatie te valideren. Klik op de link en log in met het beheerdersaccount. Je zult zien dat alles behalve de " Poller" een " Ok" status heeft.

Klik nu op de link om een ​​apparaat toe te voegen. Geef op de " Add Device" interface de hostnaam op als localhost en laat alles zoals het is. Geef uw communityreeks op in het communityveld. Het moet exact dezelfde tekenreeks zijn die u hebt opgegeven snmpd.conftijdens de configuratie van SNMP.

Zodra het apparaat is toegevoegd, kunt u de details bekijken door naar het Devicestabblad '' te gaan.

Op dezelfde manier kunt u meer apparaten toevoegen aan de LibreNMS-applicatie voor "de klok rond" monitoring.