Installation

Diese Anleitung beschreibt die Installation der RPM-Pakete mit yum .

Diese Installationsanleitung soll verwendet werden, um SKOOR auf einem neuen System zu installieren. Um ein vorhandenes SKOOR-System zu aktualisieren, verwenden Sie bitte die Upgrade-Anleitung hier .

Voraussetzungen

Deaktivieren Sie SELinux

Vor der Installation von SKOOR Engine muss SELINUX deaktiviert werden. SELinux-Status anzeigen:

sestatus

Prüfen Sie, ob der Modus erzwungen wird:

SELinux status:                 enabled
...
Current mode:                   enforcing

Wenn ja, ändern Sie es zumindest auf permissiv oder deaktivieren Sie es, indem Sie die SELinux-Konfiguration ändern:

vi /etc/selinux/config

Ändern Sie die Konfiguration in „permissive“ oder „disabled“:

SELINUX=disabled

Konfiguration aktivieren und mit sestatus verifizieren:

setenforce 0 

Cron für Benutzer zulassen

Wenn Cron eingeschränkt ist, muss den Benutzern, die von der SKOOR-Software benötigt werden, Cron-Zugriff gewährt werden, indem sie zur folgenden Datei hinzugefügt werden:

/etc/cron.allow

Benutzer:

postgres
eranger
reranger

GPG-Fingerabdrücke des SKOOR-Repositorys:

RPM-GPG-KEY-SKOOR:

0C18 95B8 11D4 71E5 D043 EFA3 69E1 147C 2CB4 0F3A

RPM-GPG-KEY-PGDG:

68c9 e2b9 1a37 d136 fe74 d176 1f16 d2e1 442d f0f8

RPM-GPG-KEY-TIMESCALEDB:

1005 fb68 604c e9b8 f687 9cf7 59f1 8edf 47f2 4417

SKOOR Engine Installation (einzelner Server )

Für Systeme mit Datenbankreplikation müssen zwei separate Server installiert werden, wie in diesem Abschnitt beschrieben. Weitere Konfigurationsschritte finden Sie im Handbuch zur Datenbankreplikation

PostgreSQL-Installation

PostgreSQL 13 ist der Server von der SKOOR Engine benötigt wird. Es muss vor der SKOOR-Software installiert werden:

Installieren Sie den PostgreSQL- Server mit dem SKOOR PostgreSQL-Installationspaket:

dnf install eranger-postgresql

Dieses Paket führt die folgenden Schritte aus:

  • Installiert postgresql13-server , timescaledb-2-postgresql-13 , eranger-database-utils über seine Abhängigkeiten.

  • Initialisiert einen Datenbank-Cluster mit initdb

  • Optimiert postgresql.conf für TimescaleDB

  • Initialisiert eine Datenbank (einfache Datenbank, kein Schema oder Daten), die vom SKOOR Server verwendet werden kann

  • Öffnet den TCP-Port 5432 auf der Firewall

PgBouncer-Installation

PgBouncer wird als Verbindungspool verwendet und befindet sich zwischen SKOOR und PostgreSQL Server .

Installieren Sie PgBouncer mit dem SKOOR PgBouncer-Installationspaket:

dnf install eranger-pgbouncer

Dieses Paket führt die folgenden Schritte aus:

  • Installieren Sie pgbouncer über seine Abhängigkeiten.

  • Konfiguriert PostgreSQL neu (postgresql.conf)

    • listen_addresses = 'localhost' lauscht nur auf lokale Verbindungen

    • unix_socket_directories = '/var/run/postgresql-backend' verwendet keinen Standard-PostgreSQL-UNIX-Socket

    • max_connections = 300 erlaubt 300 Verbindungen

  • Konfiguriert PgPool

    • listen_addr = *

    • listen_port = 5432

    • unix_socket_dir = /var/run/postgresql

    • max_client_conn = 300

    • default_pool_size = 60

Standard- Server Installation

Für Kunden, die nur die Basissoftware benötigen (d. h. die meisten Kunden), führen Sie den folgenden Befehl aus, um die erforderlichen Pakete zu installieren:

dnf install eranger-server

Überprüfen Sie die installierten SKOOR Engine Pakete:

dnf list installed |grep eranger

Erwartete Ausgabe:

eranger-agent.x86_64                      <version>
eranger-auth.x86_64                       <version>
eranger-collector.x86_64                  <version>
eranger-collector-eem.x86_64              <version>
eranger-collector-mail.x86_64             <version>
eranger-common.x86_64                     <version>
eranger-database-utils.x86_64             <version>
eranger-doc.x86_64                        <version>
eranger-nodejs.x86_64                     <version>
eranger-postgresql.x86_64                 <version>
eranger-pymodules.x86_64                  <version>
eranger-report.x86_64                     <version>
eranger-server.x86_64                     <version>
eranger-syncfs.x86_64                     <version>
eranger-ui.x86_64                         <version>

SKOOR Engine Kollektor Installation

Seit dem Release 5.5 gibt es zwei Optionen für einen externen Kollektor , Vollinstallation und Basisinstallation. Die Basisinstallation kommt mit einem eingeschränkten Funktionsumfang und weniger Abhängigkeiten und kann später mit zusätzlichen Paketen zu einer vollständigen Installation erweitert werden.

Vollständige Skoor Engine Kollektor Installation:

Um einen externen SKOOR Engine Kollektor zu installieren, verwenden Sie den folgenden Befehl für die vollständige Installation:

dnf install eranger-collector eranger-collector-eem eranger-collector-mail

Grundlegende Skoor Engine Kollektor -Installation:

Um einen einfachen externen SKOOR Engine Kollektor zu installieren, verwenden Sie den folgenden Befehl:

dnf install eranger-collector

Zusätzliche Pakete für den minimalen Skoor Engine Kollektor :

Um EEM-Jobs auf dem externen Kollektor zu aktivieren, können Sie das Plugin mit dem folgenden Befehl installieren:

dnf install eranger-collector-eem

Um Mail Jobs (EWS, IMAP, POP3 oder SMTP) auf dem externen Kollektor zu aktivieren, können Sie das Plugin mit dem folgenden Befehl installieren:

dnf install eranger-collector-mail

Kommunikation mit SKOOR Engine

Nach der Installation eines neuen externen Kollektor muss die Kommunikation zur SKOOR Engine konfiguriert werden. Der folgende Abschnitt zeigt verschiedene Möglichkeiten, dies zu erreichen.

Allgemein

Für die SKOOR Engine ist ein Kollektor eine besondere Art von Benutzer. Daher muss jeder externe Kollektor im UI konfiguriert werden. Erstellen Sie einen lokal authentifizierten Benutzer mit der Rolle Kollektor in /root /Users /Users und setzen Sie ein Passwort.

Die weitere Konfiguration erfolgt in der Kollektoren Konfigurationsdatei auf dem Kollektor Server :

/etc/opt/eranger/eranger-collector.cfg

Zuerst muss die server_id der SKOOR Engine identifiziert werden. Öffnen Sie auf dem SKOOR Engine Host die eranger- Server :

/etc/opt/eranger/eranger-server.cfg

Suchen Sie den Parameter server_id in der Konfiguration (wenn wie im folgenden Beispiel kommentiert, ist die ID 1):

#server_id      = 1

Wenn ein externer Kollektor Messungen an mehr als eine SKOOR Engine liefert, muss der Parameter server_id auf jeder SKOOR Engine unterschiedlich sein.

TCP

Dies ist die Standardmethode, mit Kollektoren mit der SKOOR Engine kommunizieren. Die Kommunikation ist unverschlüsselt.

Folgende Parameter müssen in eranger- Kollektor konfiguriert werden:

  • Setzen Sie den Parameter server1_id auf den Wert, der auf dem SKOOR Engine Server als server_id konfiguriert ist (Standard ist 1).

  • Setzen Sie den Parameter server1_address auf den Hostnamen oder die IP-Adresse der SKOOR Engine (Unix-Sockets werden nur für lokale Kollektoren verwendet)

  • Legen Sie server1_user und server1_passwd wie in der SKOOR Engine konfiguriert fest

server1_id            = 1
server1_address        = 10.10.10.10
#server1_port           = 50001
#server1_domain         =
server1_user           = collector-user
server1_passwd         = collector-password
#server<server_id>_fetch_parse_dir (server_id instead of index)!
#server1_fetch_parse_dir= /var/opt/run/eranger/collector/tmp

HTTP/HTTPS

Von der Kommunikation über HTTP ohne Verschlüsselung wird abgeraten. Falls aus irgendeinem Grund erforderlich, muss zuerst der httpd- Server auf der SKOOR Engine konfiguriert werden, um diese Art der Kommunikation zuzulassen.

Kollektoren , die HTTP(S) für die Kommunikation verwenden, können nicht automatisch umgeschaltet werden, wenn ein Failover in einer primären/Standby-Konfiguration durchgeführt wird

Im Folgenden wird beschrieben, wie Sie eine verschlüsselte Kommunikation über HTTPS einrichten. Zur Verschlüsselung muss das vom SKOOR Engine Server verwendete Root-CA-Zertifikat auf das Kollektor System kopiert werden. Standard-Linux-Pfade können verwendet werden, um es im Dateisystem zu platzieren.

Konfigurieren Sie die erforderlichen Parameter in eranger- Kollektor :

  • Setzen Sie den Parameter server1_id auf den Wert, der auf dem SKOOR Engine Server als server_id konfiguriert ist (Standard ist 1).

  • Setzen Sie den Parameter server1_address auf den Hostnamen oder die IP-Adresse der SKOOR Engine in Form einer URL, wie unten gezeigt

  • Stellen Sie sicher, dass der server1_port- Parameter kommentiert ist, sonst wird die Kommunikation unterbrochen

  • Legen Sie server1_user und server1_passwd wie in der SKOOR Engine konfiguriert fest

  • Konfigurieren Sie entweder server1_ssl_cacert oder server1_ssl_capath für den Speicherort, an dem das Zertifikat zuvor kopiert wurde

server1_id            = 1
server1_address        = https://10.10.10.10/skoor-collector
#server1_port           = 50001
#server1_domain         =
server1_user           = collector-user
server1_passwd         = collector-password
#server<server_id>_fetch_parse_dir (server_id instead of index)!
#server1_fetch_parse_dir= /var/opt/run/eranger/collector/tmp
server1_ssl_cacert     = /etc/pki/tls/certs/rootCA.pem

HTTPS mit Client-Authentifizierung

Die Client-Authentifizierung muss zuerst auf der SKOOR Engine aktiviert werden. Öffnen Sie dazu die entsprechende Server Konfigurationsdatei:

/etc/httpd/conf.d/skoor-engine-over-http.conf

Entkommentieren Sie die SSLVerifyClient -Anweisung:

<Location "/skoor-collector">
        ExpiresActive On
        ExpiresDefault "now"
        ProxyPass http://localhost:50080 retry=0 connectiontimeout=15 timeout=30
    SSLVerifyClient require
</Location>

httpd neu laden:

systemctl reload httpd

Name

Beschreibung

server1_ssl_cacert

Vollständiger Pfad zum Root-CA-Zertifikat, der Kollektor verwendet diese spezifische Datei

server1_ssl_capath

Pfad zu einem Verzeichnis, das das Root-CA-Zertifikat enthält, der Kollektor sucht nach dem richtigen Zertifikat

server1_ssl_verify_peer

Wenn auf true (Standard) gesetzt, wird das Zertifikat des SKOOR Engine Server verifiziert

server1_ssl_verify_host

Wenn auf „true“ gesetzt (Standard), wird der Hostname des SKOOR Engine Server überprüft

server1_ssl_cert_client_public_key

Der für die Client-Authentifizierung verwendete öffentliche Schlüssel ( Kollektor -Zertifikat)

server1_ssl_cert_client_private_key

Der private Schlüssel, der für die Client-Authentifizierung verwendet wird ( privater Schlüssel von Kollektor )

server1_ssl_cert_client_private_key_passwd

Passwort zum Lesen des privaten Schlüssels des Kollektor , falls gesetzt

SKOOR Engine Lizenz

Besorgen Sie sich eine gültige Lizenz von SKOOR und fügen Sie die erforderlichen Zeilen zur Datei hinzu:

/etc/opt/eranger/eranger-server.cfg

Beispiel mit einer Lizenz von 1000 Geräten:

license_name   = Example customer
license_feature_set = 3.1
license_devices= 1000
license_key    = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxx… steht für den eigentlichen Lizenzschlüssel. Stellen Sie sicher, dass der eigentliche Schlüssel in einer einzigen Zeile ohne Zeilenumbrüche dazwischen eingefügt wird.

SKOOR Engine

Erweitern Sie die PATH-Variable für root:

~/.bashrc

Hinzufügen:

PATH=$PATH:/opt/eranger/bin

Wenden Sie dann die Änderungen an und führen Sie eRanger.sh start aus, um SKOOR Engine -Dienste zu starten:

. ~/.bashrc
eRanger.sh start

===========================================================================
 Choose command                                 eRanger Version 5.0.0

 Command - Action       - Object                - Current State
===========================================================================

 1       - start        - eRanger Server        - started
 2       - start        - eRanger Collector     - started
 3       - start        - eRanger Report        - started
 4       - start        - eRanger Agent         - started
 a       - start        - all above
 9       - start        - eRanger Webservice    - started
 11      - start        - PostgreSQL            - started
 12      - start        - Rsyslog               - started
 13      - start        - Trapd                 - stopped
 14      - start        - Httpd                 - started
 15      - start        - Smsd                  - stopped
 16      - start        - Postfix               - started

 r       - Switch to restart mode
 S       - Switch to stop mode
 c       - Current eRanger status
 0       - do_exit program

Enter selection:

Der Webservice, IC Alerter und Ethd werden nur aufgeführt, wenn das entsprechende Paket installiert ist.

Geben Sie a ein , um alle erforderlichen Dienste zu starten. Dann mit 0 beenden.

SKOOR Engine -Anmeldung

Jetzt sollte man sich über einen Webbrowser bei SKOOR Engine anmelden und den FQDN oder die IP-Adresse von SKOOR Engine in die Adressleiste eingeben können:

Die Standard-Anmeldeinformationen sind:

Nutzername

Administrator

Passwort

Administrator

Nach einer Standardinstallation beschwert sich der Browser über nicht vertrauenswürdige SSL-Sicherheitszertifikate. Akzeptieren Sie entweder das selbstsignierte Standardzertifikat oder generieren und installieren Sie ein benutzerdefiniertes SSL-Zertifikat.

Standardmäßig befinden sich die Zertifikate unter:

/etc/pki/tls/certs/

Die Konfigurationsdatei

/etc/httpd/conf.d/eranger.conf

muss angepasst werden, um auf die richtigen Zertifikate zu verweisen. Ein Beispieleintrag sieht so aus:

SSLCertificateFile /etc/pki/tls/certs/wildcard_mycompany.ch.crt
SSLCertificateKeyFile /etc/pki/tls/private/private-key_mycompany.ch.key 

Beim Aufruf von http://skoor.company.com schreibt der Webserver die Adresse so um, dass https statt http verwendet wird. Wenn nur http verwendet werden soll, deaktivieren Sie die Umschreibungsregel in der Konfigurationsdatei:

/etc/httpd/conf.d/eranger.conf


Kommentieren Sie die folgenden drei Zeilen (mit Raute am Anfang):

# RewriteEngine On
# RewriteCond %{HTTPS} !=on
# RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

Starten Sie den Apache-Webserver mit dem Befehl neu:

eRanger.sh restart httpd

oder:

systemctl restart httpd

Optimierung von SKOOR in virtuellen Umgebungen

Wenn Sie SKOOR Engine oder SKOOR Kollektor in einer virtuellen Maschine ausführen, muss der IO-Scheduler aus Leistungsgründen angepasst werden. Standardmäßig wird Red Hat mit dem cfq IO-Scheduler installiert. Der empfohlene IO-Scheduler für Red Hat-Systeme, die in einer virtuellen Maschine ausgeführt werden, ist der noop -Scheduler.

Führen Sie die folgenden Befehle aus, um den Noop-Scheduler für ein laufendes System für die zu aktivierensda- Blockgerät, das normalerweise der ersten Festplatte entspricht:

# echo noop > /sys/block/sda/queue/scheduler
# cat /sys/block/sda/queue/scheduler
[noop] anticipatory deadline cfq

Der Noop -Scheduler ist jetzt als aktueller Scheduler markiert. Führen Sie diesen Befehl für alle virtuellen Laufwerke aus, die für das System konfiguriert sind (ersetzen Sie sda durch den Namen des virtuellen Laufwerks).

Die obige Einstellung wird jedoch nicht über Neustarts hinweg beibehalten. Verwenden Sie die folgende Anleitung, um den Noop- Scheduler dauerhaft zu aktivieren.

Für Red Hat 7-Systeme

Legen Sie noop global für alle Geräte fest, indem Sie the file /etc/default/grub wie unten gezeigt bearbeiten und dann die grub2-Konfigurationsdatei neu erstellen:

# vi /etc/default/grub
...
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=rhel00/root rd.lvm.lv=rhel00/swap"                            (before)
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=rhel00/root rd.lvm.lv=rhel00/swap elevator=noop"              (after)
...

# grub2-mkconfig -o /boot/grub2/grub.cfg                                                                     (on BIOS-based machines)
# grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg                                                            (on UEFI-based machines)

Erstellen eines Yum-Repositorys

Falls entfernte Kollektor Hosts keinen Zugriff auf Red Hat-Repositories haben, aber die SKOOR Engine , kann es hilfreich sein, ein einfaches Software-Repository auf dem Server zu erstellen, das alle RPM-Dateien enthält, die für die Installation über yum verwendet werden. Das Repository wird den Kollektor Hosts über Port 443 zur Verfügung stehen, der bereits ein offener Port ist. Hier sind die Schritte, die erforderlich sind, um ein solches Repository einzurichten und von einem entfernten Kollektor Host darauf zuzugreifen:

Erstellen Sie das Repository-Stammverzeichnis und kopieren Sie alle erforderlichen RPM-Dateien:

# cd /srv/eranger/html
# mkdir repo
# cp /path/to/*.rpm repo/
# yum install createrepo
# createrepo ./repo

Ersetzen Sie /path/to/ oben durch den Pfad, in den die erforderlichen RPM-Dateien auf den SKOOR Engine Host kopiert wurden. Dadurch wird ein neues Unterverzeichnis namens repodata im Repo-Verzeichnis erstellt.

Fügen Sie nun das Repository als Paketinstallationsquelle auf entfernten Hosts (z. B. einem SKOOR Engine Kollektor Host) hinzu:

# vi /etc/yum.repos.d/SKOOR.repo
[SKOOR]
name=SKOOR
baseurl=https://<ip or hostname of repository>/repo/
sslverify=false
gpgcheck=0
enabled=1

Überprüfen Sie den Zugriff auf das neu hinzugefügte Repo vom Remote-Host:

# yum clean all
# yum repolist 

Jetzt kann der Remote-Host Software installieren, indem er das SKOOR-Repository als Paketquelle verwendet.

Hinzufügen einer DVD oder CD als Repository

Um Software von einem eingelegten RedHat DVD- oder CD-Laufwerk zu installieren, fügen Sie ein neues Repository hinzu, indem Sie die folgende Datei erstellen:

vi /etc/yum.repos.d/RHEL_6.5_DVD.repo
[RHEL_6.5_DVD]
name=RHEL_6.5_DVD
baseurl="file:///cdrom/"
gpgcheck=0