Como monitorar servidores remotos com segurança usando o Zabbix no CentOS 7

Pré-requisitos
Instale o Apache e o PHP
Instale e configure o PostgreSQL
Instale o Zabbix
Configurar um agente Zabbix no servidor
Configurar o agente em máquinas Linux remotas
Instale o host Zabbix
Conclusão

O Zabbix é um software corporativo gratuito e de código aberto usado para monitorar a disponibilidade de sistemas e componentes de rede. O Zabbix pode monitorar milhares de servidores, máquinas virtuais ou componentes de rede simultaneamente. O Zabbix pode monitorar quase tudo relacionado a um sistema, como CPU, memória, espaço em disco e E / S, processos, rede, bancos de dados, máquinas virtuais e serviços da Web. Se o acesso IPMI for fornecido ao Zabbix, ele também poderá monitorar o hardware, como temperatura, tensão e assim por diante.

Pré-requisitos

Uma instância do servidor Vultr CentOS 7.
Um usuário sudo .

Neste tutorial, usaremos 192.0.2.1como o endereço IP público do servidor Zabbix e 192.0.2.2como o endereço IP público de um host Zabbix que monitoraremos remotamente. Certifique-se de substituir todas as ocorrências do endereço IP de exemplo pelos seus endereços IP públicos reais.

Atualize seu sistema básico usando o guia Como atualizar o CentOS 7 . Depois que seu sistema for atualizado, continue com a instalação das dependências.

Instale o Apache e o PHP

Após a instalação do Zabbix web, ele cria automaticamente a configuração para o Apache.

Instale o Apache para atender o front-end do Zabbix ou a interface da web.

sudo yum -y install httpd

Inicie o Apache e ative-o automaticamente na inicialização.

sudo systemctl start httpd
sudo systemctl enable httpd

Adicione e ative o Remirepositório, pois o YUMrepositório padrão contém uma versão mais antiga do PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Instale a versão mais recente do PHP junto com os módulos exigidos pelo Zabbix.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Instale e configure o PostgreSQL

O PostgreSQL é um sistema de banco de dados objeto-relacional. Você precisará adicionar o repositório PostgreSQL no seu sistema, pois o repositório YUM padrão contém uma versão mais antiga do PostgreSQL.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Instale o servidor de banco de dados PostgreSQL.

sudo yum -y install postgresql96-server postgresql96-contrib

Inicialize o banco de dados.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb cria um novo cluster de banco de dados, que é um grupo de bancos de dados gerenciados por um único servidor.

Edite pg_hba.confpara habilitar a autenticação baseada em MD5.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Encontre as seguintes linhas e altere peerpara truste idnetpara md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Uma vez atualizada, a configuração deve se parecer com a mostrada abaixo.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Inicie o servidor PostgreSQL e ative-o automaticamente na inicialização.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Mude passwordpara o usuário padrão do PostgreSQL.

sudo passwd postgres

Faça o login como usuário do PostgreSQL.

sudo su - postgres

Crie um novo usuário do PostgreSQL para o Zabbix.

createuser zabbix

Mude para o shell do PostgreSQL.

psql

Defina uma senha para o usuário do banco de dados recém-criado para o banco de dados Zabbix.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Crie um novo banco de dados para o Zabbix.

CREATE DATABASE zabbix OWNER zabbix;

Saia do psqlshell.

\q

Alterne para o sudousuário do postgresusuário atual .

exit

Instale o Zabbix

O Zabbix fornece binários para o CentOS, que podem ser instalados diretamente no repositório do Zabbix. Adicione o repositório Zabbix ao seu sistema.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Instale Zabbix servere Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql

Importe o banco de dados PostgreSQL.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Você deve ver algo semelhante ao seguinte no final da saída.

...
INSERT 0 1
INSERT 0 1
COMMIT

Abra o arquivo de configuração do Zabbix para atualizar os detalhes do banco de dados.

sudo nano /etc/zabbix/zabbix_server.conf

Encontre as seguintes linhas e atualize os valores de acordo com a configuração do banco de dados. Você precisará descomentar as linhas DBHoste DBPort.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

O Zabbix instala automaticamente o arquivo host virtual para o Apache. Precisamos configurar o host virtual para atualizar o fuso horário e a versão do PHP.

sudo nano /etc/httpd/conf.d/zabbix.conf

Encontre as seguintes linhas.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Como estamos usando o PHP versão 7, você também precisará atualizar a mod_phpversão. Atualize as linhas de acordo com o fuso horário, como mostrado abaixo.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Agora reinicie o Apache para aplicar essas alterações na configuração.

sudo systemctl restart httpd

Inicie o servidor Zabbix e ative-o automaticamente na inicialização.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Você deve ter o servidor Zabbix em execução agora. Você pode verificar o status do processo executando isso.

sudo systemctl status zabbix-server

Modifique o firewall para permitir o padrão HTTPe a HTTPSporta. Você também precisará permitir a porta 10051através do firewall, que será usado pelo Zabbix para obter os eventos do agente Zabbix em execução em máquinas remotas.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

Para acessar o painel de administração, você pode abrir http://192.0.2.1/zabbixusando seu navegador favorito. Você verá uma mensagem de boas-vindas. Você deve ter todos os pré-requisitos satisfeitos na próxima interface. Siga as instruções na página do instalador para instalar o software. Após a instalação do software, faça o login usando o nome de usuário Admine a senha zabbix. O Zabbix está agora instalado e pronto para coletar os dados do agente Zabbix.

Configurar um agente Zabbix no servidor

Para monitorar o servidor no qual o Zabbix está instalado, você pode configurar o agente no servidor. O agente Zabbix reunirá os dados do evento do servidor Linux para enviá-los ao servidor Zabbix. Por padrão, a porta 10050é usada para enviar os eventos e dados para o servidor.

Instale o agente Zabbix.

sudo yum -y install zabbix-agent

Inicie o agente e ative-o automaticamente na inicialização.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

A comunicação entre o agente Zabbix e o servidor Zabbix é feita localmente, portanto, não há necessidade de configurar nenhuma criptografia.

Antes que o servidor Zabbix possa receber quaisquer dados, você precisa habilitar o host. Entre no painel de administração da web do servidor Zabbix e vá para Configuration >> Host. Você verá uma entrada desativada do host do servidor Zabbix. Selecione a entrada e clique no botão "Ativar" para ativar o monitoramento do aplicativo do servidor Zabbix e do sistema CentOS básico no qual o servidor Zabbix está instalado.

Configurar o agente em máquinas Linux remotas

Existem três métodos pelos quais um agente Zabbix remoto pode enviar eventos para o servidor Zabbix. O primeiro método é usar uma conexão não criptografada e o segundo é usar uma chave pré-compartilhada segura. A terceira e mais segura maneira é criptografar a transmissão usando certificados RSA.

Antes de prosseguirmos com a instalação e configuração do agente Zabbix na máquina remota, precisamos gerar os certificados no sistema do servidor Zabbix. Usaremos certificados autoassinados.

Execute os seguintes comandos no servidor Zabbix como sudousuário .

Crie um novo diretório para armazenar chaves do Zabbix e gerar a chave privada da CA.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

Ele solicitará uma senha para proteger a chave privada. Depois que a chave privada for gerada, continue a gerar o certificado para a CA.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Forneça a senha da chave privada. Ele solicitará alguns detalhes sobre seu país, estado, organização. Forneça os detalhes adequadamente.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Geramos com sucesso o certificado da CA. Gere a chave privada e o CSR para o servidor Zabbix.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Por favor, não forneça uma senha para criptografar a chave privada ao executar o comando acima. Usando o CSR, gere o certificado para o servidor Zabbix.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Da mesma forma, gere a chave privada e o CSR para o host ou agente do Zabbix.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Agora gere o certificado.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Copie os certificados no diretório de configuração do Zabbix.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Forneça a propriedade dos certificados ao Zabbixusuário.

sudo chown -R zabbix: /etc/zabbix/keys

Abra o arquivo de configuração do servidor Zabbix para atualizar o caminho dos certificados.

sudo nano /etc/zabbix/zabbix_server.conf

Encontre essas linhas no arquivo de configuração e altere-as conforme mostrado.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Salve o arquivo e saia do editor. Reinicie o servidor Zabbix para que a alteração na configuração possa entrar em vigor.

sudo systemctl restart zabbix-server

Copie os certificados usando o scpcomando no computador host que você deseja monitorar.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Certifique-se de substituir 192.0.2.2o endereço IP real do host remoto no qual deseja instalar o agente Zabbix.

Instale o host Zabbix

Agora que copiamos os certificados para o sistema host, estamos prontos para instalar o agente Zabbix.

A partir de agora, todos os comandos precisam ser executados no host que você deseja monitorar .

Adicione o repositório Zabbix ao sistema.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Instale o agente Zabbix no sistema.

sudo yum -y install zabbix-agent

Mova a chave e os certificados para o diretório de configuração do Zabbix.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Forneça a propriedade dos certificados ao usuário do Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Abra o arquivo de configuração do agente Zabbix para atualizar o endereço IP do servidor e o caminho para a chave e os certificados.

sudo nano /etc/zabbix/zabbix_agentd.conf

Localize a linha a seguir e faça as alterações necessárias para torná-las como mostrado abaixo.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

O nome do host deve ser uma sequência exclusiva que não seja especificada para nenhum outro sistema host. Por favor, anote o nome do host, pois precisaremos definir o nome exato do host no servidor Zabbix.

Além disso, atualize os valores desses parâmetros.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Agora, reinicie o agente Zabbix e ative-o automaticamente na inicialização.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Você configurou com êxito o agente Zabbix no sistema host. Navegue no painel de administração do Zabbix em https://192.0.2.1/zabbixpara adicionar o host recém-configurado.

Vá para Configuration >> Hostse clique no Create Hostbotão no canto superior direito.