Ce guide décrit l'installation des packages RPM à l'aide de yum .

Conditions préalables

Désactiver SELinux

Avant d'installer SKOOR Engine , SELINUX doit être désactivé. Afficher l'état de SELinux :

sestatus

Vérifiez si le mode est appliqué :

SELinux status:                 enabled
...
Current mode:                   enforcing

Si tel est le cas, modifiez-le au moins en permissif ou désactivez-le en modifiant la configuration SELinux :

vi /etc/selinux/config

Modifiez la configuration en permissive ou désactivée :

SELINUX=disabled

Activez la configuration et vérifiez avec sistat :

setenforce 0 

Autoriser cron pour les utilisateurs

Si cron est restreint, les utilisateurs nécessaires au logiciel SKOOR doivent être autorisés à accéder à cron en les ajoutant au fichier suivant :

/etc/cron.allow

Utilisateurs:

postgres
eranger
reranger

Empreintes digitales GPG du référentiel SKOOR :

RPM-GPG-KEY-SKOOR :

RPM-GPG-KEY-PGDG :

RPM-GPG-KEY-TIMESCALEDB :

Installation SKOOR Engine ( server unique)

Installation de PostgreSQL

PostgreSQL 13 est le server de base de données nécessaire au SKOOR Engine . Il doit être installé avant le logiciel SKOOR :

Installez le server PostgreSQL à l'aide du package d'installation SKOOR PostgreSQL :

dnf install eranger-postgresql

Ce package effectue les étapes suivantes :

• Installe postgresql13-server , timescaledb-2-postgresql-13 , eranger-database-utils via ses dépendances.

• Initialise un cluster de bases de données à l'aide de initdb

• Ajuste postgresql.conf pour TimescaleDB

• Initialise une base de données (base de données simple, sans schéma ni données) pouvant être utilisée par le SKOOR Server

• Ouvre le port TCP 5432 sur le pare-feu

Installation de PgBouncer

PgBouncer est utilisé comme pool de connexions et se situe entre SKOOR et PostgreSQL Server .

Installez PgBouncer à l'aide du package d'installation SKOOR PgBouncer :

dnf install eranger-pgbouncer

Ce package effectue les étapes suivantes :

• Installez pgbouncer via ses dépendances.

• Reconfigure PostgreSQL (postgresql.conf)

  • listen_addresses = 'localhost' écoute uniquement les connexions locales

  • unix_socket_directories = '/var/run/postgresql-backend' n'utilise pas le socket PostgreSQL UNIX par défaut

  • max_connections = 300 autorise 300 connexions

• Configure PgPool

  • listen_addr = *

  • listen_port = 5432

  • unix_socket_dir = /var/run/postgresql

  • max_client_conn = 300

  • default_pool_size = 60

Installation standard Server

Pour les clients nécessitant uniquement l'ensemble de logiciels de base (c'est-à-dire la plupart des clients), exécutez la commande suivante pour installer les packages requis :

dnf install eranger-server

Vérifiez les packages SKOOR Engine installés :

dnf list installed |grep eranger

Production attendue:

eranger-agent.x86_64                      <version>
eranger-auth.x86_64                       <version>
eranger-collector.x86_64                  <version>
eranger-collector-eem.x86_64              <version>
eranger-collector-mail.x86_64             <version>
eranger-common.x86_64                     <version>
eranger-database-utils.x86_64             <version>
eranger-doc.x86_64                        <version>
eranger-nodejs.x86_64                     <version>
eranger-postgresql.x86_64                 <version>
eranger-pymodules.x86_64                  <version>
eranger-report.x86_64                     <version>
eranger-server.x86_64                     <version>
eranger-syncfs.x86_64                     <version>
eranger-ui.x86_64                         <version>

Installation Collecteur SKOOR Engine

Depuis la version 5.5, il existe deux options pour un collecteur externe, une installation complète et une installation de base. L'installation de base est livrée avec un ensemble de fonctionnalités limité et moins de dépendances et peut ensuite être étendue à une installation complète avec des packages supplémentaires.

Installation complète Collecteur Engine Skoor :

Pour installer un Collecteur SKOOR Engine externe, utilisez la commande suivante pour l'installation complète :

dnf install eranger-collector eranger-collector-eem eranger-collector-mail

Installation de base Collecteur Engine Skoor :

Pour installer un Collecteur SKOOR Engine externe de base, utilisez la commande suivante :

dnf install eranger-collector

Packages supplémentaires pour le Skoor Engine Collecteur minimal :

Pour activer les jobs EEM sur le collecteur externe, vous pouvez installer le plugin avec la commande suivante :

dnf install eranger-collector-eem

Pour activer les Mail Jobs (EWS, IMAP, POP3 ou SMTP) sur le collecteur externe vous pouvez installer le plugin avec la commande suivante :

dnf install eranger-collector-mail

Communication avec SKOOR Engine

Après avoir installé un nouveau collecteur externe, la communication avec le SKOOR Engine doit être configurée. La section suivante montre différentes possibilités pour y parvenir.

Général

Pour le SKOOR Engine , un collecteur est un type particulier d'utilisateur. Ainsi, chaque collecteur externe doit être configuré dans l'interface utilisateur. Créez un utilisateur authentifié localement avec le rôle Collecteur dans /root /Users /Users et définissez un mot de passe.

La configuration ultérieure est effectuée dans le fichier de configuration collecteurs sur le server collecteur :

/etc/opt/eranger/eranger-collector.cfg

Tout d’abord, le server_id du SKOOR Engine doit être identifié. Sur l'hôte SKOOR Engine , ouvrez le fichier eranger- server :

/etc/opt/eranger/eranger-server.cfg

Recherchez le paramètre server_id dans la configuration (s'il est commenté comme dans l'exemple suivant, l'id est 1) :

#server_id      = 1

TCP

Il s'agit de la manière standard dont collecteurs communiquent avec le SKOOR Engine . La communication n'est pas cryptée.

Les paramètres suivants doivent être configurés dans eranger- collecteur .cfg :

• Définissez le paramètre server1_id sur la valeur configurée sur le server SKOOR Engine en tant que server_id (la valeur par défaut est 1)

• Définissez le paramètre server1_address sur le nom d'hôte ou l'adresse IP SKOOR Engine (les sockets Unix sont utilisées uniquement pour collecteurs locaux)

• Définissez server1_user et server1_passwd comme configurés dans le SKOOR Engine
  

server1_id            = 1
server1_address        = 10.10.10.10
#server1_port           = 50001
#server1_domain         =
server1_user           = collector-user
server1_passwd         = collector-password
#server<server_id>_fetch_parse_dir (server_id instead of index)!
#server1_fetch_parse_dir= /var/opt/run/eranger/collector/tmp

HTTP/HTTPS

La section suivante décrit comment configurer une communication cryptée à l'aide de HTTPS. Pour le chiffrement, le certificat CA racine utilisé par le server SKOOR Engine doit être copié sur le système collecteur . Les chemins Linux standard peuvent être utilisés pour le placer dans le système de fichiers.

Configurez les paramètres requis dans eranger- collecteur :

• Définissez le paramètre server1_id sur la valeur configurée sur le server SKOOR Engine en tant que server_id (la valeur par défaut est 1)

• Définissez le paramètre server1_address sur le nom d'hôte ou l'adresse IP SKOOR Engine sous la forme d'une URL, comme indiqué ci-dessous.

• Assurez-vous que le paramètre server1_port est commenté, cela interromprait la communication sinon

• Définissez server1_user et server1_passwd comme configurés dans le SKOOR Engine

• Configurez soit server1_ssl_cacert , soit server1_ssl_capath à l'emplacement où le certificat a été copié auparavant.
  

server1_id            = 1
server1_address        = https://10.10.10.10/skoor-collector
#server1_port           = 50001
#server1_domain         =
server1_user           = collector-user
server1_passwd         = collector-password
#server<server_id>_fetch_parse_dir (server_id instead of index)!
#server1_fetch_parse_dir= /var/opt/run/eranger/collector/tmp
server1_ssl_cacert     = /etc/pki/tls/certs/rootCA.pem

HTTPS avec authentification client

L'authentification client doit d'abord être activée sur le SKOOR Engine . Ouvrez à cet effet le fichier de configuration server Web correspondant :

/etc/httpd/conf.d/skoor-engine-over-http.conf

Décommentez la directive SSLVerifyClient :

<Location "/skoor-collector">
        ExpiresActive On
        ExpiresDefault "now"
        ProxyPass http://localhost:50080 retry=0 connectiontimeout=15 timeout=30
    SSLVerifyClient require
</Location>

Recharger httpd :

systemctl reload httpd

server1_ssl_cacert

server1_ssl_capath

server1_ssl_verify_peer

server1_ssl_verify_host

server1_ssl_cert_client_public_key

server1_ssl_cert_client_private_key

server1_ssl_cert_client_private_key_passwd

Permis SKOOR Engine

Obtenez une licence valide auprès de SKOOR et ajoutez les lignes nécessaires au fichier :

/etc/opt/eranger/eranger-server.cfg

Exemple avec une licence de 1000 appareils :

license_name   = Example customer
license_feature_set = 3.1
license_devices= 1000
license_key    = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxx… représente la clé de licence réelle. Assurez-vous que la clé réelle est insérée sur une seule ligne sans caractère de nouvelle ligne entre les deux.

Configuration SKOOR Engine

Développez la variable PATH pour root :

~/.bashrc

Ajouter:

PATH=$PATH:/opt/eranger/bin

Appliquez ensuite les modifications et exécutez eRanger.sh start pour démarrer les services SKOOR Engine :

. ~/.bashrc

eRanger.sh start

===========================================================================
 Choose command                                 eRanger Version 5.0.0

 Command - Action       - Object                - Current State
===========================================================================

 1       - start        - eRanger Server        - started
 2       - start        - eRanger Collector     - started
 3       - start        - eRanger Report        - started
 4       - start        - eRanger Agent         - started
 a       - start        - all above
 9       - start        - eRanger Webservice    - started
 11      - start        - PostgreSQL            - started
 12      - start        - Rsyslog               - started
 13      - start        - Trapd                 - stopped
 14      - start        - Httpd                 - started
 15      - start        - Smsd                  - stopped
 16      - start        - Postfix               - started

 r       - Switch to restart mode
 S       - Switch to stop mode
 c       - Current eRanger status
 0       - do_exit program

Enter selection:

Entrez un pour démarrer tous les services requis. Sortez ensuite avec 0 .

Connexion SKOOR Engine

Vous devriez maintenant pouvoir vous connecter à SKOOR Engine à l'aide d'un navigateur Web et saisir le nom de domaine complet ou l'adresse IP de SKOOR Engine dans la barre d'adresse :

Les identifiants de connexion par défaut sont :

Suite à une installation par défaut, le navigateur se plaindra de certificats de sécurité SSL non fiables. Acceptez le certificat auto-signé par défaut ou générez et installez un certificat SSL personnalisé.

Par défaut les certificats se trouvent sous :

/etc/pki/tls/certs/

Le fichier de configuration

/etc/httpd/conf.d/eranger.conf

doit être ajusté pour pointer vers les bons certificats. Un exemple d'entrée ressemble à ceci :

SSLCertificateFile /etc/pki/tls/certs/wildcard_mycompany.ch.crt
SSLCertificateKeyFile /etc/pki/tls/private/private-key_mycompany.ch.key 

Lors de l'appel de http://skoor.company.com, le serveur Web réécrira l'adresse pour utiliser https au lieu de http. Si seul http doit être utilisé, désactivez la règle de réécriture dans le fichier de configuration :

/etc/httpd/conf.d/eranger.conf

Commentez les trois lignes suivantes (en mettant un dièse au début) :

# RewriteEngine On
# RewriteCond %{HTTPS} !=on
# RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

Redémarrez le serveur Web Apache avec la commande :

eRanger.sh restart httpd

ou:

systemctl restart httpd

Optimiser SKOOR sur les environnements virtuels

Si vous exécutez SKOOR Engine ou SKOOR collecteur dans une machine virtuelle, le planificateur d'E/S doit être adapté pour des raisons de performances. Par défaut, Red Hat <7 s'installe avec le planificateur cfq IO. Le planificateur d'E/S recommandé pour les systèmes Red Hat exécutés sur une machine virtuelle est le planificateur noop sur Red Hat 7 et le planificateur none/strong>planificateur sur Red Hat 8/9.

Pour les systèmes Red Hat 7

Exécutez les commandes suivantes pour activer le planificateur noop pour un système en cours d'exécution pour le périphérique de bloc sda qui correspond généralement au premier disque :

# echo noop > /sys/block/sda/queue/scheduler
# cat /sys/block/sda/queue/scheduler
[noop] anticipatory deadline cfq

Le planificateur noop est désormais marqué comme planificateur actuel. Exécutez cette commande pour chacun des disques virtuels configurés pour le système (remplacez sda par le nom du disque virtuel).
Cependant, le paramètre ci-dessus ne persistera pas lors des redémarrages. Utilisez le guide suivant pour activer le planificateur noop de manière persistante.

Définissez noop globalement pour tous les appareils en éditant the file /etc/default/grub comme indiqué ci-dessous, puis en reconstruisant le fichier de configuration grub2 :

# vi /etc/default/grub
...
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=rhel00/root rd.lvm.lv=rhel00/swap"                            (before)
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=rhel00/root rd.lvm.lv=rhel00/swap elevator=noop"              (after)
...

# grub2-mkconfig -o /boot/grub2/grub.cfg                                                                     (on BIOS-based machines)
# grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg                                                            (on UEFI-based machines)

Pour les systèmes Red Hat 8/9

Exécutez les commandes suivantes pour activer le planificateur noop pour un système en cours d'exécution pour le périphérique de bloc sda qui correspond généralement au premier disque :

# echo none > /sys/block/sda/queue/scheduler
# cat /sys/block/sda/queue/scheduler
[none] mq-deadline kyber bfq

Le planificateur aucun est désormais marqué comme planificateur actuel. Exécutez cette commande pour chacun des disques virtuels configurés pour le système (remplacez sda par le nom du disque virtuel).
Cependant, le paramètre ci-dessus ne persistera pas lors des redémarrages. Utilisez le guide suivant pour activer le planificateur aucun de manière persistante.

Définissez none globalement pour tous les appareils en éditant the file /etc/default/grub comme indiqué ci-dessous, puis en reconstruisant le fichier de configuration grub2 :

# vi /etc/default/grub
...
GRUB_CMDLINE_LINUX="crashkernel=auto resume=/dev/mapper/rh9-swap rd.lvm.lv=rh9/root rd.lvm.lv=rh9/swap"                            (before)
GRUB_CMDLINE_LINUX="crashkernel=auto resume=/dev/mapper/rh9-swap rd.lvm.lv=rh9/root rd.lvm.lv=rh9/swap elevator=none"              (after)
...

# grub2-mkconfig -o /boot/grub2/grub.cfg                                                                     (on BIOS-based machines)
# grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg                                                            (on UEFI-based machines)

Création d'un référentiel Yum

Dans le cas où les hôtes collecteur distants n'ont accès à aucun référentiel Red Hat contrairement au SKOOR Engine , il peut être utile de créer un référentiel de logiciels simple sur le server contenant tous les fichiers RPM utilisés pour l'installation via yum. Le référentiel sera disponible pour les hôtes collecteur via le port 443 qui est déjà un port ouvert. Voici les étapes nécessaires pour configurer un tel référentiel et y accéder depuis un hôte collecteur distant :

Créez le répertoire racine du référentiel et copiez tous les fichiers RPM requis :

# cd /srv/eranger/html
# mkdir repo
# cp /path/to/*.rpm repo/
# yum install createrepo
# createrepo ./repo

Remplacez /path/to/ ci-dessus par le chemin où les fichiers RPM requis ont été copiés sur l'hôte SKOOR Engine . Cela créera un nouveau sous-répertoire nommé repodata dans le répertoire repo.

Ajoutez maintenant le référentiel en tant que source d'installation du package sur des hôtes distants (par exemple un hôte collecteur SKOOR Engine ) :

# vi /etc/yum.repos.d/SKOOR.repo

[SKOOR]
name=SKOOR
baseurl=https://<ip or hostname of repository>/repo/
sslverify=false
gpgcheck=0
enabled=1

Vérifiez l'accès au dépôt nouvellement ajouté à partir de l'hôte distant :

# yum clean all
# yum repolist 

L'hôte distant peut désormais installer le logiciel en utilisant le référentiel SKOOR comme source du package.

Ajouter un DVD ou un CD comme référentiel

Pour installer un logiciel à partir d'un lecteur de DVD ou de CD RedHat inséré, ajoutez un nouveau référentiel en créant le fichier suivant :

vi /etc/yum.repos.d/RHEL_6.5_DVD.repo

[RHEL_6.5_DVD]
name=RHEL_6.5_DVD
baseurl="file:///cdrom/"
gpgcheck=0