Installation
Diese Anleitung beschreibt die Installation der RPM-Pakete mit yum .
Diese Installationsanleitung soll verwendet werden, um SKOOR auf einem neuen System zu installieren. Um ein vorhandenes SKOOR-System zu aktualisieren, verwenden Sie bitte die Upgrade-Anleitung hier .
Voraussetzungen
Deaktivieren Sie SELinux
Vor der Installation von SKOOR Engine muss SELINUX deaktiviert werden. SELinux-Status anzeigen:
sestatus
Prüfen Sie, ob der Modus erzwungen wird:
SELinux status: enabled ... Current mode: enforcing
Wenn ja, ändern Sie es zumindest auf permissiv oder deaktivieren Sie es, indem Sie die SELinux-Konfiguration ändern:
vi /etc/selinux/config
Ändern Sie die Konfiguration in „permissive“ oder „disabled“:
SELINUX=disabled
Konfiguration aktivieren und mit sestatus verifizieren:
setenforce 0
Cron für Benutzer zulassen
Wenn Cron eingeschränkt ist, muss den Benutzern, die von der SKOOR-Software benötigt werden, Cron-Zugriff gewährt werden, indem sie zur folgenden Datei hinzugefügt werden:
/etc/cron.allow
Benutzer:
postgres eranger reranger
GPG-Fingerabdrücke des SKOOR-Repositorys:
RPM-GPG-KEY-SKOOR:
0C18 95B8 11D4 71E5 D043 EFA3 69E1 147C 2CB4 0F3A
RPM-GPG-KEY-PGDG:
68c9 e2b9 1a37 d136 fe74 d176 1f16 d2e1 442d f0f8
RPM-GPG-KEY-TIMESCALEDB:
1005 fb68 604c e9b8 f687 9cf7 59f1 8edf 47f2 4417
SKOOR Engine Installation (einzelner Server )
Für Systeme mit Datenbankreplikation müssen zwei separate Server installiert werden, wie in diesem Abschnitt beschrieben. Weitere Konfigurationsschritte finden Sie im Handbuch zur Datenbankreplikation
PostgreSQL-Installation
PostgreSQL 13 ist der Server von der SKOOR Engine benötigt wird. Es muss vor der SKOOR-Software installiert werden:
Installieren Sie den PostgreSQL- Server mit dem SKOOR PostgreSQL-Installationspaket:
dnf install eranger-postgresql
Dieses Paket führt die folgenden Schritte aus:
Installiert
postgresql13-server
,timescaledb-2-postgresql-13
,eranger-database-utils
über seine Abhängigkeiten.Initialisiert einen Datenbank-Cluster mit
initdb
Optimiert
postgresql.conf
für TimescaleDBInitialisiert eine Datenbank (einfache Datenbank, kein Schema oder Daten), die vom SKOOR Server verwendet werden kann
Öffnet den TCP-Port 5432 auf der Firewall
PgBouncer-Installation
PgBouncer wird als Verbindungspool verwendet und befindet sich zwischen SKOOR und PostgreSQL Server .
Installieren Sie PgBouncer mit dem SKOOR PgBouncer-Installationspaket:
dnf install eranger-pgbouncer
Dieses Paket führt die folgenden Schritte aus:
Installieren Sie
pgbouncer
über seine Abhängigkeiten.Konfiguriert PostgreSQL neu (postgresql.conf)
listen_addresses = 'localhost'
lauscht nur auf lokale Verbindungenunix_socket_directories = '/var/run/postgresql-backend'
verwendet keinen Standard-PostgreSQL-UNIX-Socketmax_connections = 300
erlaubt 300 Verbindungen
Konfiguriert PgPool
listen_addr = *
listen_port = 5432
unix_socket_dir = /var/run/postgresql
max_client_conn = 300
default_pool_size = 60
Standard- Server Installation
Für Kunden, die nur die Basissoftware benötigen (d. h. die meisten Kunden), führen Sie den folgenden Befehl aus, um die erforderlichen Pakete zu installieren:
dnf install eranger-server
Überprüfen Sie die installierten SKOOR Engine Pakete:
dnf list installed |grep eranger
Erwartete Ausgabe:
eranger-agent.x86_64 <version> eranger-auth.x86_64 <version> eranger-collector.x86_64 <version> eranger-collector-eem.x86_64 <version> eranger-collector-mail.x86_64 <version> eranger-common.x86_64 <version> eranger-database-utils.x86_64 <version> eranger-doc.x86_64 <version> eranger-nodejs.x86_64 <version> eranger-postgresql.x86_64 <version> eranger-pymodules.x86_64 <version> eranger-report.x86_64 <version> eranger-server.x86_64 <version> eranger-syncfs.x86_64 <version> eranger-ui.x86_64 <version>
SKOOR Engine Kollektor Installation
Seit dem Release 5.5 gibt es zwei Optionen für einen externen Kollektor , Vollinstallation und Basisinstallation. Die Basisinstallation kommt mit einem eingeschränkten Funktionsumfang und weniger Abhängigkeiten und kann später mit zusätzlichen Paketen zu einer vollständigen Installation erweitert werden.
Vollständige Skoor Engine Kollektor Installation:
Um einen externen SKOOR Engine Kollektor zu installieren, verwenden Sie den folgenden Befehl für die vollständige Installation:
dnf install eranger-collector eranger-collector-eem eranger-collector-mail
Grundlegende Skoor Engine Kollektor -Installation:
Um einen einfachen externen SKOOR Engine Kollektor zu installieren, verwenden Sie den folgenden Befehl:
dnf install eranger-collector
Zusätzliche Pakete für den minimalen Skoor Engine Kollektor :
Um EEM-Jobs auf dem externen Kollektor zu aktivieren, können Sie das Plugin mit dem folgenden Befehl installieren:
dnf install eranger-collector-eem
Um Mail Jobs (EWS, IMAP, POP3 oder SMTP) auf dem externen Kollektor zu aktivieren, können Sie das Plugin mit dem folgenden Befehl installieren:
dnf install eranger-collector-mail
Kommunikation mit SKOOR Engine
Nach der Installation eines neuen externen Kollektor muss die Kommunikation zur SKOOR Engine konfiguriert werden. Der folgende Abschnitt zeigt verschiedene Möglichkeiten, dies zu erreichen.
Allgemein
Für die SKOOR Engine ist ein Kollektor eine besondere Art von Benutzer. Daher muss jeder externe Kollektor im UI konfiguriert werden. Erstellen Sie einen lokal authentifizierten Benutzer mit der Rolle Kollektor in /root /Users /Users und setzen Sie ein Passwort.
Die weitere Konfiguration erfolgt in der Kollektoren Konfigurationsdatei auf dem Kollektor Server :
/etc/opt/eranger/eranger-collector.cfg
Zuerst muss die server_id der SKOOR Engine identifiziert werden. Öffnen Sie auf dem SKOOR Engine Host die eranger- Server :
/etc/opt/eranger/eranger-server.cfg
Suchen Sie den Parameter server_id in der Konfiguration (wenn wie im folgenden Beispiel kommentiert, ist die ID 1):
#server_id = 1
Wenn ein externer Kollektor Messungen an mehr als eine SKOOR Engine liefert, muss der Parameter server_id auf jeder SKOOR Engine unterschiedlich sein.
TCP
Dies ist die Standardmethode, mit Kollektoren mit der SKOOR Engine kommunizieren. Die Kommunikation ist unverschlüsselt.
Folgende Parameter müssen in eranger- Kollektor konfiguriert werden:
Setzen Sie den Parameter server1_id auf den Wert, der auf dem SKOOR Engine Server als server_id konfiguriert ist (Standard ist 1).
Setzen Sie den Parameter server1_address auf den Hostnamen oder die IP-Adresse der SKOOR Engine (Unix-Sockets werden nur für lokale Kollektoren verwendet)
Legen Sie server1_user und server1_passwd wie in der SKOOR Engine konfiguriert fest
server1_id = 1 server1_address = 10.10.10.10 #server1_port = 50001 #server1_domain = server1_user = collector-user server1_passwd = collector-password #server<server_id>_fetch_parse_dir (server_id instead of index)! #server1_fetch_parse_dir= /var/opt/run/eranger/collector/tmp
HTTP/HTTPS
Von der Kommunikation über HTTP ohne Verschlüsselung wird abgeraten. Falls aus irgendeinem Grund erforderlich, muss zuerst der httpd- Server auf der SKOOR Engine konfiguriert werden, um diese Art der Kommunikation zuzulassen.
Kollektoren , die HTTP(S) für die Kommunikation verwenden, können nicht automatisch umgeschaltet werden, wenn ein Failover in einer primären/Standby-Konfiguration durchgeführt wird
Im Folgenden wird beschrieben, wie Sie eine verschlüsselte Kommunikation über HTTPS einrichten. Zur Verschlüsselung muss das vom SKOOR Engine Server verwendete Root-CA-Zertifikat auf das Kollektor System kopiert werden. Standard-Linux-Pfade können verwendet werden, um es im Dateisystem zu platzieren.
Konfigurieren Sie die erforderlichen Parameter in eranger- Kollektor :
Setzen Sie den Parameter server1_id auf den Wert, der auf dem SKOOR Engine Server als server_id konfiguriert ist (Standard ist 1).
Setzen Sie den Parameter server1_address auf den Hostnamen oder die IP-Adresse der SKOOR Engine in Form einer URL, wie unten gezeigt
Stellen Sie sicher, dass der server1_port- Parameter kommentiert ist, sonst wird die Kommunikation unterbrochen
Legen Sie server1_user und server1_passwd wie in der SKOOR Engine konfiguriert fest
Konfigurieren Sie entweder server1_ssl_cacert oder server1_ssl_capath für den Speicherort, an dem das Zertifikat zuvor kopiert wurde
server1_id = 1 server1_address = https://10.10.10.10/skoor-collector #server1_port = 50001 #server1_domain = server1_user = collector-user server1_passwd = collector-password #server<server_id>_fetch_parse_dir (server_id instead of index)! #server1_fetch_parse_dir= /var/opt/run/eranger/collector/tmp server1_ssl_cacert = /etc/pki/tls/certs/rootCA.pem
HTTPS mit Client-Authentifizierung
Die Client-Authentifizierung muss zuerst auf der SKOOR Engine aktiviert werden. Öffnen Sie dazu die entsprechende Server Konfigurationsdatei:
/etc/httpd/conf.d/skoor-engine-over-http.conf
Entkommentieren Sie die SSLVerifyClient -Anweisung:
<Location "/skoor-collector"> ExpiresActive On ExpiresDefault "now" ProxyPass http://localhost:50080 retry=0 connectiontimeout=15 timeout=30 SSLVerifyClient require </Location>
httpd neu laden:
systemctl reload httpd
Name | Beschreibung |
---|---|
server1_ssl_cacert | Vollständiger Pfad zum Root-CA-Zertifikat, der Kollektor verwendet diese spezifische Datei |
server1_ssl_capath | Pfad zu einem Verzeichnis, das das Root-CA-Zertifikat enthält, der Kollektor sucht nach dem richtigen Zertifikat |
server1_ssl_verify_peer | Wenn auf true (Standard) gesetzt, wird das Zertifikat des SKOOR Engine Server verifiziert |
server1_ssl_verify_host | Wenn auf „true“ gesetzt (Standard), wird der Hostname des SKOOR Engine Server überprüft |
server1_ssl_cert_client_public_key | Der für die Client-Authentifizierung verwendete öffentliche Schlüssel ( Kollektor -Zertifikat) |
server1_ssl_cert_client_private_key | Der private Schlüssel, der für die Client-Authentifizierung verwendet wird ( privater Schlüssel von Kollektor ) |
server1_ssl_cert_client_private_key_passwd | Passwort zum Lesen des privaten Schlüssels des Kollektor , falls gesetzt |
SKOOR Engine Lizenz
Besorgen Sie sich eine gültige Lizenz von SKOOR und fügen Sie die erforderlichen Zeilen zur Datei hinzu:
/etc/opt/eranger/eranger-server.cfg
Beispiel mit einer Lizenz von 1000 Geräten:
license_name = Example customer license_feature_set = 3.1 license_devices= 1000 license_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxx… steht für den eigentlichen Lizenzschlüssel. Stellen Sie sicher, dass der eigentliche Schlüssel in einer einzigen Zeile ohne Zeilenumbrüche dazwischen eingefügt wird.
SKOOR Engine
Erweitern Sie die PATH-Variable für root:
~/.bashrc
Hinzufügen:
PATH=$PATH:/opt/eranger/bin
Wenden Sie dann die Änderungen an und führen Sie eRanger.sh start aus, um SKOOR Engine -Dienste zu starten:
. ~/.bashrc
eRanger.sh start
=========================================================================== Choose command eRanger Version 5.0.0 Command - Action - Object - Current State =========================================================================== 1 - start - eRanger Server - started 2 - start - eRanger Collector - started 3 - start - eRanger Report - started 4 - start - eRanger Agent - started a - start - all above 9 - start - eRanger Webservice - started 11 - start - PostgreSQL - started 12 - start - Rsyslog - started 13 - start - Trapd - stopped 14 - start - Httpd - started 15 - start - Smsd - stopped 16 - start - Postfix - started r - Switch to restart mode S - Switch to stop mode c - Current eRanger status 0 - do_exit program Enter selection:
Der Webservice, IC Alerter und Ethd werden nur aufgeführt, wenn das entsprechende Paket installiert ist.
Geben Sie a ein , um alle erforderlichen Dienste zu starten. Dann mit 0 beenden.
SKOOR Engine -Anmeldung
Jetzt sollte man sich über einen Webbrowser bei SKOOR Engine anmelden und den FQDN oder die IP-Adresse von SKOOR Engine in die Adressleiste eingeben können:
Die Standard-Anmeldeinformationen sind:
Nutzername | Administrator |
---|---|
Passwort | Administrator |
Nach einer Standardinstallation beschwert sich der Browser über nicht vertrauenswürdige SSL-Sicherheitszertifikate. Akzeptieren Sie entweder das selbstsignierte Standardzertifikat oder generieren und installieren Sie ein benutzerdefiniertes SSL-Zertifikat.
Standardmäßig befinden sich die Zertifikate unter:
/etc/pki/tls/certs/
Die Konfigurationsdatei
/etc/httpd/conf.d/eranger.conf
muss angepasst werden, um auf die richtigen Zertifikate zu verweisen. Ein Beispieleintrag sieht so aus:
SSLCertificateFile /etc/pki/tls/certs/wildcard_mycompany.ch.crt SSLCertificateKeyFile /etc/pki/tls/private/private-key_mycompany.ch.key
Beim Aufruf von http://skoor.company.com schreibt der Webserver die Adresse so um, dass https statt http verwendet wird. Wenn nur http verwendet werden soll, deaktivieren Sie die Umschreibungsregel in der Konfigurationsdatei:
/etc/httpd/conf.d/eranger.conf
Kommentieren Sie die folgenden drei Zeilen (mit Raute am Anfang):
# RewriteEngine On # RewriteCond %{HTTPS} !=on # RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
Starten Sie den Apache-Webserver mit dem Befehl neu:
eRanger.sh restart httpd
oder:
systemctl restart httpd
Optimierung von SKOOR in virtuellen Umgebungen
Wenn Sie SKOOR Engine oder SKOOR Kollektor in einer virtuellen Maschine ausführen, muss der IO-Scheduler aus Leistungsgründen angepasst werden. Standardmäßig wird Red Hat mit dem cfq IO-Scheduler installiert. Der empfohlene IO-Scheduler für Red Hat-Systeme, die in einer virtuellen Maschine ausgeführt werden, ist der noop -Scheduler.
Führen Sie die folgenden Befehle aus, um den Noop-Scheduler für ein laufendes System für die zu aktivierensda- Blockgerät, das normalerweise der ersten Festplatte entspricht:
# echo noop > /sys/block/sda/queue/scheduler # cat /sys/block/sda/queue/scheduler [noop] anticipatory deadline cfq
Der Noop -Scheduler ist jetzt als aktueller Scheduler markiert. Führen Sie diesen Befehl für alle virtuellen Laufwerke aus, die für das System konfiguriert sind (ersetzen Sie sda durch den Namen des virtuellen Laufwerks).
Die obige Einstellung wird jedoch nicht über Neustarts hinweg beibehalten. Verwenden Sie die folgende Anleitung, um den Noop- Scheduler dauerhaft zu aktivieren.
Für Red Hat 7-Systeme
Legen Sie noop global für alle Geräte fest, indem Sie the file /etc/default/grub
wie unten gezeigt bearbeiten und dann die grub2-Konfigurationsdatei neu erstellen:
# vi /etc/default/grub ... GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=rhel00/root rd.lvm.lv=rhel00/swap" (before) GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=rhel00/root rd.lvm.lv=rhel00/swap elevator=noop" (after) ... # grub2-mkconfig -o /boot/grub2/grub.cfg (on BIOS-based machines) # grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg (on UEFI-based machines)
Erstellen eines Yum-Repositorys
Falls entfernte Kollektor Hosts keinen Zugriff auf Red Hat-Repositories haben, aber die SKOOR Engine , kann es hilfreich sein, ein einfaches Software-Repository auf dem Server zu erstellen, das alle RPM-Dateien enthält, die für die Installation über yum verwendet werden. Das Repository wird den Kollektor Hosts über Port 443 zur Verfügung stehen, der bereits ein offener Port ist. Hier sind die Schritte, die erforderlich sind, um ein solches Repository einzurichten und von einem entfernten Kollektor Host darauf zuzugreifen:
Erstellen Sie das Repository-Stammverzeichnis und kopieren Sie alle erforderlichen RPM-Dateien:
# cd /srv/eranger/html # mkdir repo # cp /path/to/*.rpm repo/ # yum install createrepo # createrepo ./repo
Ersetzen Sie /path/to/ oben durch den Pfad, in den die erforderlichen RPM-Dateien auf den SKOOR Engine Host kopiert wurden. Dadurch wird ein neues Unterverzeichnis namens repodata im Repo-Verzeichnis erstellt.
Fügen Sie nun das Repository als Paketinstallationsquelle auf entfernten Hosts (z. B. einem SKOOR Engine Kollektor Host) hinzu:
# vi /etc/yum.repos.d/SKOOR.repo
[SKOOR] name=SKOOR baseurl=https://<ip or hostname of repository>/repo/ sslverify=false gpgcheck=0 enabled=1
Überprüfen Sie den Zugriff auf das neu hinzugefügte Repo vom Remote-Host:
# yum clean all # yum repolist
Jetzt kann der Remote-Host Software installieren, indem er das SKOOR-Repository als Paketquelle verwendet.
Hinzufügen einer DVD oder CD als Repository
Um Software von einem eingelegten RedHat DVD- oder CD-Laufwerk zu installieren, fügen Sie ein neues Repository hinzu, indem Sie die folgende Datei erstellen:
vi /etc/yum.repos.d/RHEL_6.5_DVD.repo
[RHEL_6.5_DVD] name=RHEL_6.5_DVD baseurl="file:///cdrom/" gpgcheck=0