So installieren und konfigurieren Sie Zabbix zur sicheren Überwachung von Remoteservern unter CentOS 7

Der Autor hat die Initiative Open Source ausgewählt, um eine Spende im Rahmen des Programms Write for DOnations zu erhalten.

Einführung

Zabbix ist eine Open-Source-Überwachungssoftware für Netzwerke und Anwendungen. Es bietet Echtzeitüberwachung von Tausenden von Messwerten, die von Servern, virtuellen Maschinen, Netzwerkgeräten und Webanwendungen erfasst wurden. Mithilfe dieser Metriken können Sie den aktuellen Zustand Ihrer IT-Infrastruktur ermitteln und Probleme mit Hardware- oder Softwarekomponenten erkennen, bevor sich Kunden beschweren. Nützliche Informationen werden in einer Datenbank gespeichert, damit Sie die Daten im Laufe der Zeit analysieren und die Qualität der bereitgestellten Dienste verbessern oder Upgrades Ihrer Geräte planen können.

Zabbix verwendet mehrere Optionen zum Erfassen von Metriken, einschließlich der Überwachung von Benutzerdiensten und der Client-Server-Architektur ohne Agents. Zum Erfassen von Servermetriken wird ein kleiner Agent auf dem überwachten Client verwendet, um Daten zu erfassen und an den Zabbix-Server zu senden. Zabbix unterstützt die verschlüsselte Kommunikation zwischen dem Server und verbundenen Clients, sodass Ihre Daten geschützt sind, während sie über unsichere Netzwerke übertragen werden.

Der Zabbix-Server speichert seine Daten in einer relationalen Datenbank, die von MySQL, PostgreSQL oder https://www.oracle.com bereitgestellt wird /index.html[Oracle]. Sie können historische Daten auch in nosql-Datenbanken wie Elasticsearch und TimescaleDB speichern. Zabbix bietet eine Weboberfläche, über die Sie Daten anzeigen und Systemeinstellungen konfigurieren können.

In diesem Lernprogramm konfigurieren Sie zwei Computer. Einer wird als Server und der andere als zu überwachender Client konfiguriert. Der Server verwendet eine MySQL-Datenbank, um Überwachungsdaten aufzuzeichnen und verwendet Apache, um das Webinterface zu bedienen.

Voraussetzungen

Um diesem Tutorial zu folgen, benötigen Sie:

Zwei CentOS 7-Server werden gemäß Initial Server Setup with CentOS 7 eingerichtet, einschließlich eines Nicht-Root-Benutzers mit sudo-Berechtigungen und eine firewall. Auf einem Server installieren Sie Zabbix. In diesem Tutorial wird dies als * Zabbix-Server * bezeichnet. Es wird Ihren zweiten Server überwachen; Dieser zweite Server wird als * zweiter CentOS-Server * bezeichnet.
Auf dem Zabbix-Server müssen Apache, MySQL und PHP installiert sein. Folgen Sie Wie installiere ich Linux, Apache, MySQL, PHP ( LAMP) Stack unter CentOS 7, um diese auf Ihrem Zabbix-Server zu konfigurieren.

Da Sie den Zabbix-Server verwenden, um auf wertvolle Informationen zu Ihrer Infrastruktur zuzugreifen, auf die nicht autorisierte Benutzer zugreifen sollen, ist es außerdem wichtig, dass Sie Ihren Server durch die Installation eines TLS / SSL-Zertifikats schützen. Dies ist optional, aber * dringend empfohlen *. Sie können der Let’s Encrypt on CentOS 7 Anleitung folgen, um eine zu erhalten Kostenloses TLS / SSL-Zertifikat.

Schritt 1 - Installieren des Zabbix-Servers

Zuerst müssen Sie Zabbix auf dem Server installieren, auf dem Sie MySQL, Apache und PHP installiert haben. Melden Sie sich bei diesem Computer als Nicht-Root-Benutzer an:

ssh @

Zabbix ist standardmäßig nicht im Paket-Manager verfügbar. Installieren Sie daher ein Repository-Konfigurationspaket über das official Zabbix-Repository für CentOS. In diesem Tutorial wird die Version ++ von Zabbix verwendet:

sudo rpm -Uvh https://repo.zabbix.com/zabbix/4.2/rhel/7/x86_64/zabbix-release-.el7.noarch.rpm

Sie werden die folgende Ausgabe sehen:

OutputRetrieving https://repo.zabbix.com/zabbix/4.2/rhel/7/x86_64/zabbix-release-.el7.noarch.rpm
warning: /var/tmp/rpm-tmp.WXsYNB: Header V4 RSA/SHA512 Signature, key ID a14fe591: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
  1:zabbix-release-4.2-1.el7         ################################# [100%]

Löschen Sie alle Einträge für derzeit aktivierte Repositorys aus dem Cache:

sudo yum clean all

Installieren Sie dann den Zabbix-Server und das Web-Frontend mit Unterstützung für MySQL-Datenbanken:

sudo yum install zabbix-server-mysql zabbix-web-mysql

Während des Installationsvorgangs werden Sie gefragt, ob Sie einen GPG-Schlüssel importieren möchten. Dieser Schlüssel überprüft die Echtheit des Pakets, das Sie installieren. Um die Installation zu beenden, akzeptieren Sie den GPG-Schlüssel, indem Sie "+ y " eingeben und " ENTER +" drücken, wenn Sie dazu aufgefordert werden.

Installieren Sie auch den Zabbix-Agenten, mit dem Sie Daten zum Zabbix-Serverstatus selbst erfassen können.

sudo yum install zabbix-agent

Bevor Sie Zabbix verwenden können, müssen Sie eine Datenbank einrichten, in der die Daten gespeichert werden, die der Zabbix-Server von seinen Agenten erfasst. Dies können Sie im nächsten Schritt tun.

Schritt 2 - Konfigurieren der MySQL-Datenbank für Zabbix

Sie müssen eine neue MySQL-Datenbank erstellen und mit einigen grundlegenden Informationen füllen, damit sie für Zabbix geeignet ist. Sie erstellen auch einen bestimmten Benutzer für diese Datenbank, damit sich Zabbix nicht mit dem "+ root +" - Konto bei MySQL anmeldet.

Melden Sie sich bei MySQL als * root * -Nutzer mit dem * root * -Kennwort an, das Sie während der Installation des MySQL-Servers eingerichtet haben:

mysql -uroot -p

Erstellen Sie die Zabbix-Datenbank mit UTF-8-Zeichenunterstützung:

create database zabbix character set utf8 collate utf8_bin;

Erstellen Sie dann einen Benutzer, den der Zabbix-Server verwenden wird, gewähren Sie ihm Zugriff auf die neue Datenbank und legen Sie das Kennwort für den Benutzer fest:

grant all privileges on zabbix.* to @localhost identified by '';

Wenden Sie dann diese neuen Berechtigungen an:

flush privileges;

Das kümmert sich um den Benutzer und die Datenbank. Beenden Sie die Datenbankkonsole:

quit;

Importieren Sie als Nächstes das ursprüngliche Schema und die ursprünglichen Daten. Die Zabbix-Installation hat Ihnen eine Datei zur Verfügung gestellt, die diese Einstellungen vornimmt.

Führen Sie den folgenden Befehl aus, um das Schema einzurichten und die Daten in die Datenbank "+ zabbix " zu importieren. Verwenden Sie ` zcat +`, da die Daten in der Datei komprimiert sind.

zcat /usr/share/doc/zabbix-server-mysql*/create.sql.gz | mysql -uzabbix -p zabbix

Geben Sie das Kennwort für den MySQL-Benutzer ein, den Sie bei entsprechender Aufforderung konfiguriert haben.

Dieser Befehl gibt keine Fehler aus, wenn er erfolgreich war. Wenn Sie den Fehler "+ ERROR 1045 (28000): Zugriff verweigert für Benutzer @" localhost "(mit Kennwort: YES) +" sehen, stellen Sie sicher, dass Sie das Kennwort für den * zabbix * -Benutzer und nicht für den * root * -Benutzer verwendet haben.

Damit der Zabbix-Server diese Datenbank verwenden kann, müssen Sie das Datenbankkennwort in der Zabbix-Serverkonfigurationsdatei festlegen. Öffnen Sie die Konfigurationsdatei in Ihrem bevorzugten Texteditor. In diesem Tutorial wird "+ vi +" verwendet:

sudo vi /etc/zabbix/zabbix_server.conf

Suchen Sie nach dem folgenden Abschnitt der Datei:

/etc/zabbix/zabbix_server.conf

...
### Option: DBPassword
#       Database password. Ignored for SQLite.
#       Comment this line if no password is used.
#
# Mandatory: no
# Default:
# DBPassword=
...

Diese Kommentare in der Datei erläutern, wie eine Verbindung zur Datenbank hergestellt wird. Sie müssen den Wert "+ DBPassword " in der Datei auf das Kennwort für Ihren Datenbankbenutzer setzen. Rufen Sie den Einfügemodus auf, indem Sie " i " drücken, das Kommentarzeichen " DBPassword = +" entfernen und Ihr Kennwort hinzufügen, um die Datenbank zu konfigurieren:

/etc/zabbix/zabbix_server.conf

...
# Mandatory: no
# Default
DBPassword=
...

Wenn Sie fertig sind, drücken Sie "+ ESC ", um den Einfügemodus zu verlassen, und dann ": wq " und " ENTER +", um die Datei zu speichern und zu beenden.

Das kümmert sich um die Zabbix-Serverkonfiguration. Als Nächstes nehmen Sie einige Änderungen an Ihrem PHP-Setup vor, damit die Zabbix-Weboberfläche ordnungsgemäß funktioniert.

Schritt 3 - PHP für Zabbix konfigurieren

Die Zabbix-Weboberfläche ist in PHP geschrieben und erfordert einige spezielle PHP-Servereinstellungen. Während des Zabbix-Installationsprozesses wurde eine Apache-Konfigurationsdatei erstellt, die diese Einstellungen enthält. Sie müssen eine kleine Änderung an dieser Datei vornehmen, öffnen Sie sie also wie folgt:

sudo vi /etc/httpd/conf.d/zabbix.conf

Die Datei enthält PHP-Einstellungen, die die erforderlichen Anforderungen für die Zabbix-Weboberfläche erfüllen. Die Zeitzoneneinstellung ist jedoch standardmäßig auskommentiert. Um sicherzustellen, dass Zabbix die richtige Zeit verwendet, müssen Sie die entsprechende Zeitzone festlegen.

/etc/httpd/conf.d/zabbix.conf

...
<IfModule mod_php5.c>
   php_value max_execution_time 300
   php_value memory_limit 128M
   php_value post_max_size 16M
   php_value upload_max_filesize 2M
   php_value max_input_time 300
   php_value max_input_vars 10000
   php_value always_populate_raw_post_data -1

</IfModule>

Kommentieren Sie die im vorhergehenden Codeblock hervorgehobene Zeitzonenzeile aus und ändern Sie sie in Ihre Zeitzone. Sie können diese liste der unterstützten Zeitzonen verwenden, um die richtige für Sie zu finden. Speichern und schließen Sie dann die Datei.

Starten Sie nun Apache neu, um diese neuen Einstellungen zu übernehmen:

sudo systemctl restart httpd

Sie können jetzt den Zabbix-Server und -Agent starten:

sudo systemctl start zabbix-server
sudo systemctl start zabbix-agent

Überprüfen Sie anschließend, ob der Zabbix-Server ordnungsgemäß ausgeführt wird:

sudo systemctl status zabbix-server

Sie sehen folgenden Status:

Output● zabbix-server.service - Zabbix Server
  Loaded: loaded (/usr/lib/systemd/system/zabbix-server.service; disabled; vendor preset: disabled)
  Active:  since Fri 2019-05-03 05:57:29 UTC; 2s ago
 Process: 4461 ExecStart=/usr/sbin/zabbix_server -c $CONFFILE (code=exited, status=0/SUCCESS)
 ...

Aktivieren Sie schließlich den Server und den Agenten, um beim Booten zu starten:

sudo systemctl enable zabbix-server
sudo systemctl enable zabbix-agent

Der Server ist eingerichtet und mit der Datenbank verbunden. Als nächstes richten Sie das Web-Frontend ein.

Schritt 4 - Konfigurieren der Einstellungen für das Zabbix-Webinterface

Über die Weboberfläche können Sie Berichte anzeigen und Hosts hinzufügen, die Sie überwachen möchten. Sie müssen jedoch erst eingerichtet werden, bevor Sie sie verwenden können. Starten Sie Ihren Browser und rufen Sie die Adresse "+ http: /// zabbix / +" auf. Auf dem ersten Bildschirm sehen Sie eine Willkommensnachricht. Klicken Sie auf * Nächster Schritt *, um fortzufahren.

Auf dem nächsten Bildschirm sehen Sie die Tabelle, in der alle Voraussetzungen für die Ausführung von Zabbix aufgeführt sind.

image: https://assets.digitalocean.com/cart_66486/Prerequisites_Cent.png [Voraussetzungen]

Alle Werte in dieser Tabelle müssen * OK * sein. Vergewissern Sie sich daher, dass dies der Fall ist. Scrollen Sie nach unten und sehen Sie sich alle Voraussetzungen an. Sobald Sie überprüft haben, dass alles bereit ist, klicken Sie auf "Weiter", um fortzufahren.

Im nächsten Bildschirm werden Informationen zur Datenbankverbindung abgefragt.

image: https://assets.digitalocean.com/articles/cart_66209/DB_Connection.png [DB-Verbindung]

Sie haben dem Zabbix-Server Ihre Datenbank mitgeteilt, die Zabbix-Weboberfläche benötigt jedoch auch Zugriff auf die Datenbank, um Hosts verwalten und Daten lesen zu können. Geben Sie daher die MySQL-Anmeldeinformationen ein, die Sie in Schritt 2 konfiguriert haben, und klicken Sie zum Fortfahren auf * Nächster Schritt *.

Auf dem nächsten Bildschirm können Sie die Standardwerte für die Optionen beibehalten.

image: https://assets.digitalocean.com/articles/cart_66209/Server_Details.png [Zabbix-Serverdetails]

Der * Name * ist optional; Es wird in der Weboberfläche verwendet, um einen Server von einem anderen zu unterscheiden, falls Sie über mehrere Überwachungsserver verfügen. Klicken Sie auf * Nächster Schritt *, um fortzufahren.

Auf dem nächsten Bildschirm wird die Zusammenfassung vor der Installation angezeigt, damit Sie überprüfen können, ob alles korrekt ist.

image: https://assets.digitalocean.com/articles/cart_66209/Summary.png [Zusammenfassung]

Klicken Sie auf * Nächster Schritt *, um zum letzten Bildschirm zu gelangen.

Die Einrichtung der Webschnittstelle ist abgeschlossen. Dieser Prozess erstellt die Konfigurationsdatei "+ / etc / zabbix / web / zabbix.conf.php +", die Sie sichern und in Zukunft verwenden können. Klicken Sie auf * Fertig stellen *, um zum Anmeldebildschirm zu gelangen. Der Standardbenutzer ist * Admin * und das Passwort ist * zabbix *.

Richten Sie vor der Anmeldung den Zabbix-Agenten auf Ihrem zweiten CentOS-Server ein.

Schritt 5 - Installieren und Konfigurieren des Zabbix-Agenten

Jetzt müssen Sie die Agentensoftware konfigurieren, die Überwachungsdaten an den Zabbix-Server sendet.

Melden Sie sich am zweiten CentOS-Server an:

ssh @

Führen Sie dann genau wie auf dem Zabbix-Server den folgenden Befehl aus, um das Repository-Konfigurationspaket zu installieren:

sudo rpm -Uvh https://repo.zabbix.com/zabbix/4.2/rhel/7/x86_64/zabbix-release-.el7.noarch.rpm

Löschen Sie als Nächstes den Yum-Cache:

sudo yum clean all

Dann installieren Sie den Zabbix-Agenten:

sudo yum install zabbix-agent

Während des Installationsvorgangs werden Sie gefragt, ob Sie einen GPG-Schlüssel importieren möchten. Bestätigen Sie dies, damit die Installation abgeschlossen werden kann.

Während Zabbix die zertifikatbasierte Verschlüsselung unterstützt, geht das Einrichten einer Zertifizierungsstelle über den Rahmen dieses Lernprogramms hinaus. In diesem Lernprogramm wird stattdessen pre-shared keys (PSK) verwendet, um die Verbindung zwischen Server und Agent zu sichern.

Erstellen Sie zunächst eine PSK:

sudo sh -c "openssl rand -hex 32 > /etc/zabbix/zabbix_agentd.psk"

Zeigen Sie den Schlüssel, damit Sie ihn irgendwo kopieren können. Sie benötigen es, um den Host zu konfigurieren.

cat /etc/zabbix/zabbix_agentd.psk

Der Schlüssel sieht ungefähr so aus:

Output

Bearbeiten Sie nun die Einstellungen des Zabbix-Agenten, um dessen sichere Verbindung zum Zabbix-Server einzurichten. Öffnen Sie die Agentenkonfigurationsdatei in Ihrem Texteditor:

sudo vi /etc/zabbix/zabbix_agentd.conf

Jede Einstellung in dieser Datei wird durch informative Kommentare in der gesamten Datei dokumentiert, aber Sie müssen nur einige von ihnen bearbeiten.

Zuerst müssen Sie die IP-Adresse des Zabbix-Servers bearbeiten. Suchen Sie den folgenden Abschnitt: