Jak bezpiecznie monitorować zdalne serwery za pomocą Zabbix na CentOS 7

Wymagania wstępne
Zainstaluj Apache i PHP
Zainstaluj i skonfiguruj PostgreSQL
Zainstaluj Zabbix
Skonfiguruj agenta Zabbix na serwerze
Skonfiguruj agenta na zdalnych komputerach z systemem Linux
Zainstaluj Zabbix Host
Wniosek

Zabbix to darmowe i otwarte oprogramowanie dla przedsiębiorstw, służące do monitorowania dostępności systemów i komponentów sieciowych. Zabbix może monitorować tysiące serwerów, maszyn wirtualnych lub komponentów sieciowych jednocześnie. Zabbix może monitorować prawie wszystko związane z systemem, takie jak procesor, pamięć, miejsce na dysku i operacje wejścia / wyjścia, procesy, sieć, bazy danych, maszyny wirtualne i usługi sieciowe. Jeśli Zabbix zapewnia dostęp IPMI, może on także monitorować sprzęt, taki jak temperatura, napięcie i tak dalej.

Wymagania wstępne

Instancja serwera Vultr CentOS 7.
Użytkownik sudo .

W tym samouczku wykorzystamy 192.0.2.1jako publiczny adres IP serwera Zabbix oraz 192.0.2.2jako publiczny adres IP hosta Zabbix, który będziemy monitorować zdalnie. Pamiętaj, aby zastąpić wszystkie wystąpienia przykładowego adresu IP rzeczywistymi publicznymi adresami IP.

Zaktualizuj system podstawowy za pomocą przewodnika Jak zaktualizować CentOS 7 . Po zaktualizowaniu systemu przejdź do instalacji zależności.

Zainstaluj Apache i PHP

Po zainstalowaniu Zabbix web automatycznie tworzy konfigurację dla Apache.

Zainstaluj Apache, aby obsługiwał interfejs użytkownika Zabbix lub internetowy interfejs użytkownika.

sudo yum -y install httpd

Uruchom Apache i włącz go, aby uruchamiał się automatycznie.

sudo systemctl start httpd
sudo systemctl enable httpd

Dodaj i włącz Remirepozytorium, ponieważ domyślne YUMrepozytorium zawiera starszą wersję PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Zainstaluj najnowszą wersję PHP wraz z modułami wymaganymi przez Zabbix.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Zainstaluj i skonfiguruj PostgreSQL

PostgreSQL to obiektowo-relacyjny system baz danych. Musisz dodać repozytorium PostgreSQL do swojego systemu, ponieważ domyślne repozytorium YUM zawiera starszą wersję PostgreSQL.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Zainstaluj serwer bazy danych PostgreSQL.

sudo yum -y install postgresql96-server postgresql96-contrib

Zainicjuj bazę danych.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb tworzy nowy klaster bazy danych, który jest grupą baz danych zarządzanych przez pojedynczy serwer.

Edytuj, pg_hba.confaby włączyć uwierzytelnianie oparte na MD5.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Znajdź następujące wiersze i zmień peerna trusti idnetna md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Po aktualizacji konfiguracja powinna wyglądać tak, jak pokazano poniżej.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Uruchom serwer PostgreSQL i włącz go automatycznie podczas uruchamiania.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Zmień passworddomyślnego użytkownika PostgreSQL.

sudo passwd postgres

Zaloguj się jako użytkownik PostgreSQL.

sudo su - postgres

Utwórz nowego użytkownika PostgreSQL dla Zabbix.

createuser zabbix

Przejdź do powłoki PostgreSQL.

psql

Ustaw hasło dla nowo utworzonego użytkownika bazy danych dla bazy danych Zabbix.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Utwórz nową bazę danych dla Zabbix.

CREATE DATABASE zabbix OWNER zabbix;

Wyjdź ze psqlskorupy.

\q

Przełącz się na sudoużytkownika z bieżącego postgresużytkownika.

exit

Zainstaluj Zabbix

Zabbix zapewnia pliki binarne dla CentOS, które można zainstalować bezpośrednio z repozytorium Zabbix. Dodaj repozytorium Zabbix do swojego systemu.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Zainstaluj Zabbix serveri Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

Zaimportuj bazę danych PostgreSQL.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Na końcu danych wyjściowych powinieneś zobaczyć coś podobnego do następującego.

...
INSERT 0 1
INSERT 0 1
COMMIT

Otwórz plik konfiguracyjny Zabbix, aby zaktualizować szczegóły bazy danych.

sudo nano /etc/zabbix/zabbix_server.conf

Znajdź następujące wiersze i zaktualizuj wartości zgodnie z konfiguracją bazy danych. Musisz odkomentować linie DBHosti DBPort.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix automatycznie instaluje wirtualny plik hosta dla Apache. Będziemy musieli skonfigurować wirtualnego hosta, aby zaktualizował strefę czasową i wersję PHP.

sudo nano /etc/httpd/conf.d/zabbix.conf

Znajdź następujące linie.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Ponieważ używamy PHP w wersji 7, musisz również zaktualizować mod_phpwersję. Zaktualizuj linie zgodnie ze strefą czasową, jak pokazano poniżej.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Teraz uruchom ponownie Apache, aby zastosować te zmiany w konfiguracji.

sudo systemctl restart httpd

Uruchom serwer Zabbix i włącz automatyczne uruchamianie podczas uruchamiania.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Powinieneś już mieć uruchomiony serwer Zabbix. Możesz sprawdzić status procesu, uruchamiając to.

sudo systemctl status zabbix-server

Zmodyfikuj zaporę ogniową, aby zezwolić na standard HTTPi HTTPSport. Musisz także zezwolić na port 10051przez zaporę ogniową, która będzie używana przez Zabbix do uzyskiwania zdarzeń od agenta Zabbix działającego na zdalnych komputerach.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

Aby uzyskać dostęp do pulpitu administracyjnego, możesz otworzyć http://192.0.2.1/zabbixza pomocą swojej ulubionej przeglądarki. Zobaczysz wiadomość powitalną. Powinieneś mieć wszystkie wymagania spełnione w następnym interfejsie. Postępuj zgodnie z instrukcjami na stronie instalatora, aby zainstalować oprogramowanie. Po zainstalowaniu oprogramowania zaloguj się przy użyciu nazwy użytkownika Admini hasła zabbix. Zabbix jest teraz zainstalowany i gotowy do gromadzenia danych od agenta Zabbix.

Skonfiguruj agenta Zabbix na serwerze

Aby monitorować serwer, na którym jest zainstalowany Zabbix, możesz skonfigurować agenta na serwerze. Agent Zabbix zbierze dane zdarzenia z serwera Linux, aby wysłać je na serwer Zabbix. Domyślnie port 10050służy do wysyłania zdarzeń i danych do serwera.

Zainstaluj agenta Zabbix.

sudo yum -y install zabbix-agent

Uruchom agenta i włącz automatyczne uruchamianie podczas uruchamiania.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

Komunikacja między agentem Zabbix a serwerem Zabbix odbywa się lokalnie, dlatego nie ma potrzeby konfigurowania żadnego szyfrowania.

Aby serwer Zabbix mógł odebrać jakiekolwiek dane, musisz włączyć host. Zaloguj się do pulpitu administracyjnego serwera Zabbix i przejdź do Configuration >> Host. Zobaczysz wyłączony wpis hosta serwera Zabbix. Wybierz wpis i kliknij przycisk „Włącz”, aby włączyć monitorowanie aplikacji serwera Zabbix i podstawowego systemu CentOS, na którym zainstalowany jest serwer Zabbix.

Skonfiguruj agenta na zdalnych komputerach z systemem Linux

Istnieją trzy metody, za pomocą których zdalny agent Zabbix może wysyłać zdarzenia do serwera Zabbix. Pierwsza metoda polega na użyciu niezaszyfrowanego połączenia, a druga na zabezpieczonym kluczu wstępnym. Trzecim i najbezpieczniejszym sposobem jest szyfrowanie transmisji przy użyciu certyfikatów RSA.

Zanim przystąpimy do instalowania i konfigurowania agenta Zabbix na zdalnym komputerze, musimy wygenerować certyfikaty w systemie serwera Zabbix. Będziemy używać certyfikatów z podpisem własnym.

Uruchom następujące polecenia na serwerze Zabbix jako sudoużytkownik .

Utwórz nowy katalog do przechowywania kluczy Zabbix i wygeneruj klucz prywatny dla urzędu certyfikacji.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

Poprosi Cię o hasło do ochrony klucza prywatnego. Po wygenerowaniu klucza prywatnego przejdź do wygenerowania certyfikatu dla urzędu certyfikacji.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Podaj hasło klucza prywatnego. Zostaniesz zapytany o kilka szczegółów na temat twojego kraju, stanu, organizacji. Podaj odpowiednio szczegóły.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Z powodzeniem wygenerowaliśmy certyfikat CA. Wygeneruj klucz prywatny i CSR dla serwera Zabbix.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Nie podawaj hasła do szyfrowania klucza prywatnego podczas uruchamiania powyższej komendy. Za pomocą CSR wygeneruj certyfikat dla serwera Zabbix.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Podobnie wygeneruj klucz prywatny i CSR dla hosta lub agenta Zabbix.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Teraz wygeneruj certyfikat.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Skopiuj certyfikaty do katalogu konfiguracji Zabbix.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Podaj użytkownikowi własność certyfikatów Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Otwórz plik konfiguracyjny serwera Zabbix, aby zaktualizować ścieżkę do certyfikatów.

sudo nano /etc/zabbix/zabbix_server.conf

Znajdź te linie w pliku konfiguracyjnym i zmień je, jak pokazano.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Zapisz plik i wyjdź z edytora. Zrestartuj serwer Zabbix, aby zmiana konfiguracji mogła zostać zastosowana.

sudo systemctl restart zabbix-server

Skopiuj certyfikaty za pomocą scppolecenia na komputer hosta, który chcesz monitorować.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Upewnij się, że zastąpiłeś 192.0.2.2rzeczywisty adres IP zdalnego hosta, na którym chcesz zainstalować agenta Zabbix.

Zainstaluj Zabbix Host

Po skopiowaniu certyfikatów do systemu hosta jesteśmy gotowi do zainstalowania agenta Zabbix.

Odtąd wszystkie polecenia muszą być wykonywane na hoście, który chcesz monitorować .

Dodaj repozytorium Zabbix do systemu.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Zainstaluj agenta Zabbix w systemie.

sudo yum -y install zabbix-agent

Przenieś klucz i certyfikaty do katalogu konfiguracji Zabbix.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Przekaż własność certyfikatów użytkownikowi Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Otwórz plik konfiguracyjny agenta Zabbix, aby zaktualizować adres IP serwera oraz ścieżkę do klucza i certyfikatów.

sudo nano /etc/zabbix/zabbix_agentd.conf

Znajdź następujący wiersz i wprowadź niezbędne zmiany, aby wyglądały jak pokazano poniżej.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Nazwa hosta musi być unikalnym ciągiem, który nie jest określony dla żadnego innego systemu hosta. Zanotuj nazwę hosta, ponieważ będziemy musieli ustawić dokładną nazwę hosta na serwerze Zabbix.

Ponadto zaktualizuj wartości tych parametrów.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Teraz zrestartuj agenta Zabbix i włącz go automatycznie podczas uruchamiania.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Pomyślnie skonfigurowałeś agenta Zabbix w systemie hosta. Przeglądaj pulpit administracyjny administracji Zabbix pod adresem, https://192.0.2.1/zabbixaby dodać nowo skonfigurowanego hosta.

Przejdź do Configuration >> Hostsi kliknij Create Hostprzycisk w prawym górnym rogu.