In questa guida, ti mostreremo come installare e configurare l'ultima versione del software Observium Network Monitoring (Community Edition) su Debian 9, al fine di monitorare le apparecchiature di rete presso la tua sede.
Observium è un potente e flessibile software di monitoraggio della rete di rilevamento automatico gratuito e open source scritto principalmente in linguaggio di programmazione PHP e distribuito in Linux su server Web Apache/Nginx, sistema di gestione di database PHP e MySQL/MariaDB, noto anche come stack LAMP o LEMP. Ovservium utilizza il protocollo SNMP per interrogare lo stato di host di rete, server, router, switch e altri dispositivi di rete, supportando un'ampia gamma di hardware di rete e sistemi operativi, come Linux, Windows, Cisco, HP, FreeBSD, Juniper, Brocade, Dell e altri importanti fornitori di dispositivi di rete. Il processo di gestione dell'applicazione può essere facilmente realizzato tramite un'interfaccia web based semplice ed intuitiva.
Requisiti
- Installazione minima di Debian 9 su una macchina server bare-metal o su un server privato virtuale
- privilegi sudo root per un account locale o remoto o accesso diretto all'account root
- Un indirizzo IP statico configurato per una delle schede di interfaccia di rete del tuo sistema
- Un nome di dominio, privato o pubblico, a seconda della distribuzione, con record DNS appropriati configurati per i servizi Web. Se non possiedi un nome a dominio valido o registrato puoi eseguire l'installazione e accedere al sito tramite l'indirizzo IP del tuo server
- Se si desidera utilizzare le notifiche e-mail di Observium, è necessario disporre di un server di posta in esecuzione correttamente configurato presso la propria sede con accesso remoto ai suoi servizi IMAP e SMTP. Per la stessa attività puoi anche utilizzare un servizio di posta elettronica pubblico, come Gmail o Yahoo! Posta.
Installa Apache, PHP e MySQL
Prima di iniziare con l'installazione e la configurazione di Observium dai sorgenti nel tuo server, assicurati innanzitutto che il sistema soddisfi tutti i requisiti software per la compilazione e l'installazione dell'applicazione. Nel primo passaggio, aggiorna i repository di sistema e i pacchetti software emettendo il seguente comando.
aggiornamento adatto
aggiornamento appropriato
Quindi, esegui il comando seguente per installare alcune utilità necessarie che verranno utilizzate per gestire ulteriormente il tuo sistema dalla riga di comando.
apt install wget bash-completion curl
Dopo che il sistema è stato completamente aggiornato e sono state installate le utilità necessarie per gestire il tuo server, imposta il nome del tuo sistema eseguendo il comando seguente. Sostituisci la tua variabile hostname di conseguenza.
hostnamectl set-hostname www.mynet.com
Verifica il nome host della macchina e il file hosts eseguendo i seguenti comandi.
nomehost
cat /etc/hostname
nome host –s
nome host –f
Infine, riavvia il server Debian per applicare correttamente gli aggiornamenti del kernel e il nome host.
riavvio systemctl
Observium è una piattaforma di monitoraggio della rete basata sul Web scritta nel linguaggio di programmazione lato server PHP. Per eseguire gli script di file PHP dell'applicazione, è necessario installare e rendere operativo nel sistema un server Web, come il server HTTP Apache, e un gateway di elaborazione PHP. Per installare il server Web Apache e l'interprete PHP insieme a tutti i moduli PHP necessari per il corretto funzionamento dell'applicazione, immetti il seguente comando nella console del tuo server.
apt install apache2 libapache2-mod-php7.0 php7.0 php7.0-gd php7.0-opcache php7.0-json php7.0-mbstring php7.0-mcrypt php-pear php7.0-cli php7 .0-snmp
Emetti il seguente comando per verificare se tutti i moduli PHP installati sono abilitati nel tuo sistema
php –m
Inoltre, assicurati di installare le seguenti utilità richieste da Observium per interrogare e monitorare i dispositivi di rete tramite il protocollo SNMP, rilevare e inserire altri parametri di rete e visualizzare grafici delle risorse di sistema.
apt install fping rrdtool graphviz ipmitool snmp whois mtr-tiny imagemagick python-mysqldb
Dopo aver installato Apache e PHP, verifica se il server Web è attivo e funzionante e in attesa di connessioni di rete sulla porta 80 eseguendo il comando seguente con privilegi di root.
netstat –tlpn
Nel caso netstat l'utilità di rete non è installata per impostazione predefinita nel tuo sistema Debian, esegui il seguente comando per installarla.
apt install net-tools
Esaminando l'output del comando netstat, puoi vedere che il server web di Apache è in ascolto per le connessioni di rete in entrata sulla porta 80. Per la stessa attività puoi anche usare ss comando, che viene installato automaticamente, per impostazione predefinita, in Debian 9.
sstulpn
Nel caso in cui tu abbia un firewall abilitato nel tuo sistema, come l'applicazione firewall UFW, dovresti aggiungere una nuova regola per consentire al traffico HTTP di passare attraverso il firewall emettendo il seguente comando.
ufw consenti WWW
o
ufw consente 80/tcp
Se stai utilizzando iptables raw rules per gestire le regole del firewall nel tuo server Debian, aggiungi la seguente regola per consentire il traffico in entrata delle porte 80 e 22 (per SSH) sul firewall in modo che altri amministratori di rete possano navigare nell'applicazione online.
apt-get install -y iptables-persistent
iptables -I INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -I INPUT -p tcp --destination-port 22 -j ACCEPT
salvataggio persistente con netfilter
systemctl riavvia netfilter-persistent
stato systemctl netfilter-persistent
systemctl enable netfilter-persistent.service
Quindi, abilita e applica i seguenti moduli Apache richiesti dall'applicazione per funzionare correttamente, eseguendo i seguenti comandi.
a2enmod riscrittura
systemctl riavvia apache2
Infine, verifica se la pagina Web predefinita del server Web Apache può essere visualizzata nei browser del tuo client visitando l'indirizzo IP della tua macchina Debian o il tuo nome di dominio o FQDN del server tramite il protocollo HTTP, come mostrato nell'immagine seguente. Se non conosci l'indirizzo IP della tua macchina, esegui ifconfig o ip a comandi per rivelare l'indirizzo IP del tuo server.
http://tuo_dominio.tld
Per installare e accedere alla dashboard dell'amministratore web di Observium tramite il protocollo HTTPS (che proteggerà il traffico per i tuoi client), immetti il seguente comando per abilitare il modulo SSL del server web Apache e il file di configurazione del sito SSL.
a2enmod ssl
a2ensite default-ssl.conf
Quindi, apri il file di configurazione del sito SSL predefinito di Apache con un editor di testo e abilita le regole di riscrittura degli URL aggiungendo le seguenti righe di codice dopo DocumentRoot direttiva, come mostrato nell'esempio seguente:
nano /etc/apache2/sites-enabled/default-ssl.conf
Estratto del file di configurazione del sito SSL:
Opzioni +SeguiSymlinks
ConsentiSostituisci tutto
Richiedi tutto concesso
Inoltre, apporta una modifica a VirtualHost linea in modo che assomigli alla seguente:
Chiudi il file Apache SSL e apri /etc/apache2/sites-enabled/000-default.conf file per la modifica e aggiungere le stesse regole di riscrittura URL del file di configurazione SSL. Inserisci le seguenti righe di codice dopo DocumentRoot dichiarazione:
Opzioni +SeguiSymlinks
ConsentiSostituisci tutto
Richiedi tutto concesso
Infine, riavvia il demone Apache per applicare tutte le regole configurate finora e visita il tuo dominio tramite protocollo HTTP. Poiché stai utilizzando le coppie di certificati autofirmati automaticamente emessi da Apache al momento dell'installazione, certificato non attendibile dal browser, nel browser dovrebbe essere visualizzato un avviso di errore.
systemctl riavvia apache2
https://tuodominio.tld
Accetta l'avviso per accettare il certificato non attendibile e continua a essere reindirizzato alla pagina Web predefinita di Apache, come illustrato nell'immagine seguente.
Nel caso in cui l'applicazione firewall UFW blocchi le connessioni di rete in entrata alla porta HTTPS, dovresti aggiungere una nuova regola per consentire al traffico HTTPS di passare attraverso il firewall eseguendo il comando seguente.
ufw consenti "WWW completo"
o
ufw consente 443/tcp
Se iptables è l'applicazione firewall predefinita installata per proteggere il tuo sistema Debian a livello di rete, aggiungi la seguente regola per consentire il traffico in entrata della porta 443 nel firewall in modo che i visitatori possano esplorare il tuo nome di dominio.
iptables -I INPUT -p tcp --destination-port 443 -j ACCEPT
salvataggio persistente con netfilter
systemctl riavvia netfilter-persistent
stato systemctl netfilter-persistent
Nel passaggio successivo, dobbiamo apportare ulteriori modifiche al file di configurazione predefinito di PHP per garantire che le seguenti variabili PHP siano abilitate e il fuso orario PHP l'impostazione è configurata correttamente e corrisponde alla posizione geografica del sistema. Apri il /etc/php/7.0/apache2/php.ini file per la modifica e assicurarsi che le seguenti righe siano impostate come mostrato. Inoltre, inizialmente, fai un backup del file di configurazione PHP.
cp /etc/php/7.0/apache2/php.ini{,.backup} nano /etc/php/7.0/apache2/php.ini
Cerca, modifica e cambia le seguenti variabili in php.ini file di configurazione:
file_uploads =On
default_charset =UTF-8
error_reporting =E_ALL &~E_NOTICE
date.timezone =Europa/Londra
Sostituisci date.timezone variabile in base alla posizione geografica del proprio server consultando l'elenco dei fusi orari fornito da PHP docs al seguente link http://php.net/manual/en/timezones.php
Se desideri aumentare la velocità di caricamento delle pagine del tuo sito Web tramite il plug-in OPCache disponibile per PHP7, aggiungi le seguenti impostazioni OPCache nella parte inferiore del file di configurazione dell'interprete PHP, sotto [opcache] dichiarazione, come di seguito dettagliato:
nano /etc/php/7.0/apache2/php.ini
[opcache]
opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1
Chiudi php.ini file di configurazione e verifica la fine del file di configurazione PHP per verificare se le variabili OPCache sono state aggiunte correttamente eseguendo il comando seguente.
grep opcache /etc/php/7.0/apache2/php.ini
Dopo aver apportato tutte le modifiche spiegate sopra, riavvia il demone apache per applicare le nuove modifiche eseguendo il comando seguente.
systemctl riavvia apache2
Infine, crea un file di informazioni PHP eseguendo il comando seguente e controlla se il fuso orario PHP è stato configurato correttamente visitando il file di script di informazioni PHP da un browser al seguente URL, come illustrato nell'immagine seguente. Scorri verso il basso fino a data impostazione per controllare la configurazione del fuso orario PHP.
eco ''| tee /var/www/html/info.php
https://dominio.tld/info.php
L'applicazione Web Observium memorizza diverse configurazioni, come utenti, sessioni, contatti, dispositivi di rete, indirizzi IP, interfacce di rete e altri dati, in un database RDBMS. In questa guida, configureremo l'applicazione Observium per utilizzare il database MariaDB come backend. Emetti il seguente comando per installare il database MariaDB e il modulo PHP necessario per accedere al database MySQL.
apt install mariadb-server php7.0-mysql mariadb-client
Dopo aver installato MariaDB, verifica eseguendo netstat comando se il demone è in esecuzione ed è in attesa di connessioni su localhost, porta 3306.
netstat –tlpn | grep mysql
Quindi, accedi alla console MySQL e proteggi l'account root di MariaDB eseguendo i seguenti comandi.
mysql -h localhost
Benvenuto nel monitor MariaDB. I comandi terminano con; o \g.
L'ID di connessione a MariaDB è 2
Versione server:10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab e altri.
Digita 'help;' o '\h' per aiuto. Digita '\c' per cancellare l'istruzione di input corrente.
MariaDB [(none)]> use mysql;
Lettura delle informazioni sulla tabella per il completamento dei nomi di tabelle e colonne
Puoi disattivare questa funzione per ottenere un avvio più rapido con -A
Database modificato
MariaDB [mysql]> update user set plugin='' where user='root';
Query OK, 1 riga interessata (0,00 sec)
Righe corrispondenti:1 Modificate:1 Avvisi:0
MariaDB [mysql]> privilegi di svuotamento;
Query OK, 0 righe interessate (0,00 sec)
MariaDB [mysql]> exit
Ciao
Nel passaggio successivo, proteggi MariaDB eseguendo lo script mysql_secure_installation fornito dai pacchetti di installazione dai repository stretch di Debian. Durante l'esecuzione lo script porrà una serie di domande progettate per proteggere il database MariaDB, come ad esempio:modificare la password di root di MySQL, rimuovere utenti anonimi, disabilitare gli accessi root remoti ed eliminare il database di test. Esegui lo script emettendo il seguente comando e assicurati di digitare sì a tutte le domande poste per proteggere completamente il demone MySQL. Utilizza il seguente estratto di output dello script come guida.
installazione_mysql_secure
NOTA:ESEGUIRE TUTTE LE PARTI DI QUESTO SCRIPT È RACCOMANDATO PER TUTTI I MariaDBSERVER IN USO DI PRODUZIONE! SI PREGA DI LEGGERE ATTENTAMENTE OGNI PASSO! Per poter accedere a MariaDB per proteggerlo, avremo bisogno della password corrente per l'utente root. Se hai appena installato MariaDB e non hai ancora impostato la password di root, la password sarà vuota, quindi dovresti semplicemente premere invio qui. Inserisci la password corrente per root (inserisci per none):OK, password utilizzata con successo, spostamento on...L'impostazione della password di root assicura che nessuno possa accedere all'utente MariaDBroot senza la corretta autorizzazione.Hai già impostato una password di root, quindi puoi rispondere in sicurezza 'n'.Cambiare la password di root? [S/n] yNuova password:reinserire la nuova password:password aggiornata correttamente! Ricaricamento delle tabelle dei privilegi... Successo! Per impostazione predefinita, un'installazione di MariaDB ha un utente anonimo, consentendo a chiunque di accedere a MariaDB senza dover avere un utente account creato per loro. Questo è inteso solo per il test e per rendere l'installazione un po' più agevole. Dovresti rimuoverli prima di passare a un ambiente di produzione. Rimuovere gli utenti anonimi? [S/n] y... Successo! Normalmente, root dovrebbe essere autorizzato a connettersi solo da 'localhost'. Ciò garantisce che qualcuno non possa indovinare la password di root dalla rete. Non consentire l'accesso root da remoto? [S/n] y... Successo! Per impostazione predefinita, MariaDB viene fornito con un database chiamato 'test' a cui chiunque può accedere. Anche questo è inteso solo per il test e dovrebbe essere rimosso prima di passare a un ambiente di produzione. Rimuovere il database di test e accedervi? [S/n] y- Eliminazione del database di test... Operazione riuscita!- Rimozione dei privilegi sul database di test... Operazione riuscita! Il ricaricamento delle tabelle dei privilegi assicurerà che tutte le modifiche apportate fino ad ora abbiano effetto immediato.Ricarica il privilegio tavoli adesso? [S/n] y... Successo! Pulizia... Tutto fatto! Se hai completato tutti i passaggi precedenti, l'installazione di MariaDB ora dovrebbe essere sicura. Grazie per aver utilizzato MariaDB!
Per testare la sicurezza di MariaDB, prova ad accedere al database dalla console senza password di root. L'accesso al database dovrebbe essere negato se non viene fornita alcuna password per l'account root, come illustrato nell'estratto del comando seguente:
mysql -h localhost -u root
ERRORE 1045 (28000):accesso negato per l'utente 'root'@'localhost' (usando la password:NO)
Se viene fornita la password, il processo di accesso deve essere concesso alla console MySQL, come mostrato nell'esempio di comando seguente:
mysql -h localhost -u root -p
Inserisci la password:
Benvenuto nel monitor MariaDB. I comandi terminano con; o \g.
Il tuo ID di connessione MariaDB è 15
Versione server:10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab e altri.
Digita 'help;' o '\h' per aiuto. Digita '\c' per cancellare l'istruzione di input corrente.
MariaDB [(none)]> exit
Ciao
Successivamente, accedi alla console del database MariaDB e crea emettendo i seguenti comandi un database per l'applicazione Observium e un utente con una password che verrà utilizzata per gestire il database dell'applicazione. Sostituisci il nome del database, l'utente e la password di conseguenza.
mysql –u root -p
Benvenuto nel monitor MariaDB. I comandi terminano con; o \g.
L'ID di connessione a MariaDB è 2
Versione server:10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab e altri.
Digita 'help;' o '\h' per aiuto. Digitare '\c' per cancellare l'istruzione di input corrente.
MariaDB [(none)]> create database observium_db;
Query OK, 1 riga interessata (0,00 sec)
MariaDB [(none)]> concede tutti i privilegi su observium_db.* a 'observium_user'@'localhost' identificato da 'password1234';
Query OK, 0 righe interessate (0,00 sec)
MariaDB [(nessuno)]> svuota i privilegi;
Query OK, 0 righe interessate (0,00 sec)
MariaDB [(none)]> exit
Ciao
Per applicare tutte le modifiche apportate finora, riavvia i demoni MySQL e Apache e verifica se i demoni sono in esecuzione eseguendo i seguenti comandi.
systemctl riavvia mysql apache2
stato systemctl mysql apache2
Installa la piattaforma di monitoraggio della rete di Observium
Dopo aver soddisfatto tutti i requisiti di sistema per installare l'applicazione, visita la pagina ufficiale di Observium all'indirizzo www.observium.org e prendi l'ultimo archivio compresso gzip eseguendo il comando seguente.
wget http://www.observium.org/observium-community-latest.tar.gz
Al termine del download dell'archivio gzip, estrai il file di archivio Observium nella directory di lavoro corrente ed elenca i file estratti eseguendo i seguenti comandi. Inoltre, rimuovi il file index.html predefinito installato dal server web Apache nel percorso webroot ed elimina anche il file info.php creato in precedenza.
tar xfz observium-community-latest.tar.gz
ls
rm /var/www/html/index.html
rm /var/www/html/info.php
I file di installazione di Observium si trovano nella directory di lavoro corrente in observium/ directory. Problema ls comando per elencare i file di questa directory. Copia tutto il contenuto della directory estratta nel percorso radice del documento del server Web di un livello superiore (/var/www/ directory) eseguendo i seguenti comandi. Inoltre, assicurati di copiare i file nascosti nella directory di installazione e di creare i registri e rrd directory in questa posizione.
cp -rf observium/* /var/www/
cp observium/.scrutinizer.yml /var/www/
mkdir /var/www/logs
mkdir /var/www/rrd
ls -al /var/www/
Quindi, esegui i seguenti comandi per concedere all'utente di runtime Apache le autorizzazioni di scrittura complete per il percorso radice Web e rrd dell'applicazione e registri directory. Usa ls comando per elencare le autorizzazioni per i file installati dell'applicazione, che si trovano nelle directory /var/www/html/ e rrd e logs.
chown -R www-data:www-data /var/www/rrd/
chown -R www-data:www-data /var/www/logs/
chown -R www-data:www-data /var/www/html/
ls -al /var/www/html/
Nel passaggio successivo, crea un nuovo file di configurazione dell'applicazione basato sul file di configurazione del modello predefinito di Observium eseguendo i seguenti comandi.
cd /var/www/
cp config.php.default config.php
Quindi, inizia a modificare il file di configurazione di Observium e sostituisci le seguenti variabili di connessione MySQL di conseguenza.
nano /var/www/config.php
In cima a config.php file, cerca e aggiorna il nome e le credenziali del database MySQL in base alle tue impostazioni, come mostrato nel seguente estratto del file:
$config['db_extension'] ='mysqli';
$config['db_host'] ='localhost';
$config['db_user'] ='observium_user';
$config['db_pass'] ='password1234';
$config['db_name'] ='observium_db';
Quindi, salva e chiudi il file config.php e importa lo schema del database MySQL di Observium eseguendo discover.php script con –u flag come mostrato nello screenshot seguente. Lo script PHP si trova nella directory /var/www/.
/var/www/discovery.php –u
Quindi, aggiungi il primo account amministratore di Observium con il livello di privilegi più alto (10) eseguendo adduser.php script che si trova nella directory /var/www/. Scegli una password complessa per l'account amministratore di Observium.
/var/www/adduser.php observium_admin strongpass123 10
Per accedere al pannello di amministrazione web di Observium, apri un browser e naviga nell'indirizzo IP del server o nel nome di dominio o nell'FQDN del server tramite il protocollo HTTPS. Accedi alla dashboard di Observium con il nome utente e la password configurati per l'account amministratore nel passaggio precedente.
https://tuodominio.tld
Dopo aver effettuato l'accesso all'applicazione con le credenziali di amministratore, puoi perfezionare ulteriormente le impostazioni dell'applicazione accedendo a /impostazioni/URL o facendo clic su Impostazioni globali -> menu Modifica, come illustrato nella schermata seguente. I parametri di Observium configurati tramite interfaccia web possono anche essere hardcoded nel file di configurazione dell'applicazione:/var/www/config.php
Per monitorare un dispositivo di rete tramite il protocollo SNMP, premi sul menu in alto a sinistra e seleziona Aggiungi dispositivo dal menu a discesa, come mostrato nell'immagine seguente. Puoi anche aggiungere un nuovo dispositivo tramite la riga di comando.
/var/www/add_device.php hostname_or_IP SNMP_community_string v2c
Infine, per costringere i visitatori a navigare in modo sicuro nell'interfaccia di Observium tramite il protocollo HTTPS che crittografa il traffico tra il server e i browser dei client, torna al terminale del tuo server e modifica il .htaccess file che si trova nel percorso principale del documento del tuo sito Web, eseguendo il comando seguente.
nano /var/www/html/.htaccess
Aggiungi le seguenti regole nel file .htaccess dopo RewriteEngine on linea, per reindirizzare automaticamente il traffico del dominio su HTTPS.
.htaccess estratto del file:
# Reindirizzamento a HTTPS
RewriteEngine attivato
RewriteCond %{HTTPS} disattivato
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
Puoi anche disabilitare l'elenco dei documenti Web del server HTTP Apache aggiungendo la seguente riga dopo il reindirizzamento alle righe HTTPS:
Opzioni -Indici
Nella parte inferiore del file puoi modificare le impostazioni del server PHP nativo con i seguenti esempi di configurazione. Modifica le impostazioni PHP in modo che corrispondano alle tue risorse e configurazioni del server.
# Modifica impostazioni PHP
php_value session.use_trans_sid 0
php_value register_globals 1
Affinché l'applicazione possa rilevare e aggiungere automaticamente nuovi dispositivi di rete al database e controllarne e aggiornarne lo stato ogni cinque minuti, aggiungi i seguenti processi crontab da eseguire con i privilegi utente di runtime di Apache:
crontab –u www-data –e
cronaca estratto del file:
# Esegui un rilevamento completo di tutti i dispositivi una volta ogni 6 ore
33 */6 * * * /var/www/discovery.php -h all>> /dev/null 2>&1
# Esegui il rilevamento automatico dei dispositivi appena aggiunti ogni 5 minuti
*/5 * * * * /var/www/discovery.php -h new>> /dev/null 2>&1
# Esegui il wrapper poller multithread ogni 5 minuti
*/5 * * * * /var/www/poller-wrapper.py 4>> /dev/null 2>&1
È tutto! Hai installato e configurato correttamente l'applicazione di monitoraggio della rete Observium in Debian 9. Tuttavia, poiché il server HTTP Apache utilizza certificati autofirmati per crittografare il traffico tra il server e il browser del visitatore, verrà sempre generato e visualizzato un messaggio di avviso nel browser del visitatore. Questo avviso può essere fastidioso per gli amministratori di rete che visitano l'applicazione Web tramite un nuovo browser o indirizzo IP. In questo caso dovresti acquistare un certificato emesso da un'autorità di certificazione affidabile o ottenere una coppia di certificati gratuita da Let's Encrypt CA.
Per altre configurazioni personalizzate relative all'applicazione Observium, visita la pagina della documentazione al seguente indirizzo: http://docs.observium.org/