En esta guía, discutiremos cómo instalar y configurar la última versión de la herramienta de monitoreo web Icinga 2 en la versión Debian 9.2, para monitorear todos los dispositivos de infraestructura de red importantes, como servidores físicos o virtuales o VM, enrutadores, conmutadores, dispositivos de firewall y otros dispositivos IoT de red. También puede monitorear el estado de los protocolos de red, como HTTP, FTP, SMTP, IMAP u otros servicios de red, recursos de host, sensores físicos, así como software, carga de CPU, memoria, espacio en disco, etc. y casi todos interconectados. dispositivos de red a través de ICMP o solicitudes de ping.
Icinga, en su origen una bifurcación del sistema de monitoreo Nagios, es una aplicación de monitoreo de red moderna de código abierto, escrita en PHP y altamente implementada en Linux bajo los componentes Apache/Nginx, PHP y MySQL/MariaDB, también conocidos como pilas LAMP o LEMP. Icinga 2 se puede configurar para notificar a los administradores del sistema o de la red por correo, SMS, chat u otros tipos de alertas sobre la red, los sistemas, los servicios u otras interrupciones de la red relacionadas y también puede generar gráficos sobre el tiempo de inactividad o el rendimiento de la red.
Requisitos
- Debian 9.2 instalado en una máquina completa o en un servidor privado virtual.
- Una de las tarjetas de interfaz de red del servidor configurada con una dirección IP estática.
- Acceso directo a la cuenta raíz a través de la consola o de forma remota a través del servicio SSH o privilegios de raíz sudo en una cuenta local o remota.
- Un nombre de dominio, privado o público, según su implementación, con los registros DNS adecuados configurados para servicios web.
- Un servicio de correo debidamente configurado en sus instalaciones para poder enviar alertas por correo.
Configuración inicial
Antes de comenzar a instalar y configurar la herramienta de monitoreo web Icinga 2 en su propio servidor, primero asegúrese de que el sistema cumpla con todos los requisitos de software para compilar e instalar la aplicación. En el primer paso, actualice los repositorios de su sistema y los paquetes de software emitiendo el siguiente comando.
apt update
apt upgrade
En el siguiente paso, ejecute el siguiente comando para instalar algunas utilidades necesarias que se utilizarán para administrar su sistema desde la línea de comandos.
apt install wget bash-completion unzip
A continuación, configure el nombre de host para su sistema ejecutando el siguiente comando. Reemplace su variable de nombre de host en consecuencia.
hostnamectl set-hostname icinga
Verifique el nombre de host de la máquina y el archivo de hosts emitiendo los siguientes comandos.
hostnamectl
cat /etc/hostname
hostname –s
Finalmente, reinicie el servidor Debian para aplicar las actualizaciones del núcleo y el nombre de host cambie correctamente.
init 6
Icinga 2 es una aplicación de monitoreo de red que se puede configurar desde la web y su funcionalidad se basa principalmente en el lenguaje de programación del lado del servidor PHP. Para ejecutar los scripts de archivos PHP de la aplicación, se debe instalar y operar en el sistema un servidor web, como un servidor HTTP Apache, y una puerta de enlace de procesamiento PHP. Para instalar el servidor web Apache y el intérprete PHP junto con todos los módulos PHP necesarios que necesita Icinga para funcionar correctamente, emita el siguiente comando en la consola de su servidor.
apt install apache2 libapache2-mod-php7.0 php7.0-xml php7.0-opcache php7.0-xml php7.0-mbstring php7.0-json php7.0-curl php7.0-ldap php7.0-cli php7.0-gd php7.0-intl php7.0-readline
Después de que se hayan instalado Apache y PHP, pruebe si el servidor web está funcionando y escuchando las conexiones de red en el puerto 80 emitiendo el siguiente comando con privilegios de root.
netstat –tlpn
En caso de que la utilidad de red netstat no esté instalada de forma predeterminada en su sistema Debian, ejecute el siguiente comando para instalarla.
apt install net-tools
Al inspeccionar la salida del comando netstat, puede ver que el servidor web Apache está escuchando las conexiones de red entrantes en el puerto 80. Para la misma tarea, también puede usar ss comando, que se instala automáticamente de forma predeterminada en Debian 9.
ss- tulpn
En caso de que tenga un firewall habilitado en su sistema, como la aplicación de firewall UFW, debe agregar una nueva regla para permitir que el tráfico HTTP pase a través del firewall emitiendo el siguiente comando.
ufw allow WWW
o
ufw allow 80/tcp
Si está utilizando iptables reglas sin procesar para administrar las reglas del cortafuegos en su servidor Debian, agregue la siguiente regla para permitir el tráfico entrante del puerto 80 en el cortafuegos para que los visitantes puedan navegar por la interfaz web de Icinga2.
apt-get install -y iptables-persistent
iptables -I INPUT -p tcp --destination-port 80 -j ACCEPT
systemctl iptables-persistent save
systemctl iptables-persistent reload
A continuación, habilite y aplique los siguientes módulos de Apache que se utilizarán para redirigir las conexiones HTTP a HTTPS, emitiendo el siguiente comando.
a2enmod rewrite
systemctl restart apache2
Finalmente, pruebe si la página web predeterminada del servidor web Apache se puede mostrar en los navegadores de su cliente visitando la dirección IP de su máquina Debian o su nombre de dominio o servidor FQDN a través del protocolo HTTP. Si no conoce la dirección IP de su máquina, ejecute ifconfig o ip a comandos para revelar la dirección IP de su servidor. La página predeterminada de Apache para Debian se mostrará en su navegador, como se muestra en la siguiente captura de pantalla.
http://tu_dominio.tld
Para acceder a la aplicación de monitoreo Icinga 2 a través del protocolo HTTPS que asegurará el tráfico para sus clientes, emita el siguiente comando para habilitar el módulo SSL del servidor web Apache y el archivo de configuración del sitio SSL. Además, habilite el módulo de reescritura de Apache para obligar a los usuarios a visitar la interfaz a través de HTTPS.
a2enmod ssl rewrite
a2ensite default-ssl.conf
A continuación, abra el archivo de configuración del sitio SSL predeterminado de Apache con un editor de texto y habilite las reglas de reescritura de URL agregando las siguientes líneas de código después de DocumentRoot directiva, como se muestra en el siguiente ejemplo:
nano /etc/apache2/sites-enabled/default-ssl.conf
Extracto del archivo de configuración del sitio SSL:
<Directory /var/www/html>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>
Además, realice el siguiente cambio en la línea VirtualHost para que se vea como se muestra en el siguiente extracto:
<VirtualHost *:443>
Cierre el archivo TLS Apache y abra /etc/apache2/sites-enabled/000-default.conf para editar y agregar las mismas reglas de reescritura de URL que para el archivo de configuración SSL. Inserte las líneas de código después de DocumentRoot declaración como se muestra en el siguiente ejemplo.
<Directory /var/www/html>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>
Finalmente, reinicie el demonio Apache para aplicar todas las reglas configuradas hasta el momento y visite su dominio a través del protocolo HTTP. Debido a que está utilizando el par de certificados autofirmados automáticamente emitidos por Apache en la instalación, debería mostrarse una advertencia de error en el navegador, como se muestra en la siguiente captura de pantalla.
systemctl restart apache2
https://tudominio.tld
Acepte la advertencia para continuar y ser redirigido a la página web predeterminada de Apache a través del protocolo HTTPS. La siguiente página se mostrará en su navegador.
En caso de que la aplicación de firewall UFW bloquee las conexiones de red entrantes al puerto HTTPS, debe agregar una nueva regla para permitir que el tráfico HTTPS pase a través del firewall emitiendo el siguiente comando.
ufw allow 'WWW Full'
o
ufw allow 443/tcp
Si iptables es la aplicación de firewall predeterminada instalada para proteger su sistema Debian a nivel de red, agregue la siguiente regla para permitir el tráfico entrante del puerto 443 en el firewall para que los visitantes puedan navegar por su nombre de dominio.
iptables -I INPUT -p tcp --destination-port 443 -j ACCEPT
systemctl iptables-persistent save
systemctl iptables-persistent reload
En el siguiente paso, debemos realizar algunos cambios adicionales en el archivo de configuración predeterminado de PHP para garantizar que las siguientes variables de PHP estén habilitadas y la zona horaria de PHP la configuración está configurada correctamente y coincide con la ubicación geográfica de su sistema. Abra /etc/php/7.0/apache2/php.ini archivo para editarlo y asegúrese de que las siguientes líneas estén configuradas de la siguiente manera. Además, inicialmente, haga una copia de seguridad del archivo de configuración de PHP.
cp /etc/php/7.0/apache2/php.ini{,.backup} nano /etc/php/7.0/apache2/php.ini
Busque, edite y cambie las siguientes variables en php.ini archivo de configuración:
php_value max_execution_time 300
php_value memory_limit 128M
php_value max_input_time 300
date.timezone = Europe/London
Reemplace time.zone variable de acuerdo a su tiempo físico consultando la lista de zonas horarias proporcionada por PHP docs en el siguiente enlace http://php.net/manual/en/timezones.php
Si desea aumentar la velocidad de carga de las páginas de su sitio web a través del complemento OPCache disponible para PHP7, agregue la siguiente configuración de OPCache en la parte inferior del archivo de configuración del intérprete de PHP, como se detalla a continuación:
opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1
Cierre el archivo de configuración php.ini y verifique si verifica el final del archivo de configuración de PHP para verificar si las variables se agregaron correctamente emitiendo el siguiente comando.
tail /etc/php/7.0/apache2/php.ini
Después de realizar los cambios explicados anteriormente, reinicie el demonio apache para aplicar los nuevos cambios emitiendo el siguiente comando.
systemctl restart apache2
Finalmente, cree un archivo de información de PHP ejecutando el siguiente comando y verifique si la zona horaria de PHP se ha configurado correctamente visitando el archivo de script de información de PHP desde un navegador en la siguiente URL, como se ilustra en la imagen a continuación. Desplácese hacia abajo hasta fecha configuración para verificar la configuración de la zona horaria de php.
echo '<?php phpinfo(); ?>'| tee /var/www/html/info.php
https://dominio.tld/info.php
Icinga 2 almacena usuarios, contactos y otros datos recopilados en una base de datos RDBMS específica, como MySQL, SQLite o PostgreSQL. En esta guía, configuraremos Icinga con la base de datos MariaDB, una bifurcación de la base de datos MySQL, como backend. Ejecute el siguiente comando para instalar la base de datos MariaDB y el módulo PHP necesario para acceder a la base de datos mysql.
apt install mariadb-server mariadb-client php7.0-mysql
Después de instalar MariaDB, verifique si el demonio se está ejecutando y escucha las conexiones en el host local, puerto 3306, ejecutando netstat. o ss comando.
netstat –tlpn | grep mysql
Luego, inicie sesión en la consola MySQL y asegure la cuenta raíz de MariaDB emitiendo los siguientes comandos.
mysql -h localhost
use mysql;
update user set plugin='' where user='root';
flush privileges;
exit
Ahora aseguraremos MariaDB ejecutando el script mysql_secure_installation proporcionada por los paquetes de instalación de los repositorios de Debian. Mientras se ejecuta, el script hará una serie de preguntas diseñadas para asegurar la base de datos MariaDB, tales como:cambiar la contraseña raíz de MySQL, eliminar usuarios anónimos, deshabilitar los inicios de sesión raíz remotos y eliminar la base de datos de prueba. Ejecute el script emitiendo el siguiente comando y asegúrese de escribir sí a todas las preguntas formuladas para asegurar completamente el demonio MySQL. Use la salida del script a continuación, excepto como guía.
sudo mysql_secure_installation
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY!
In order to log into MariaDB to secure it, we'll need the current
password for the root user. If you've just installed MariaDB, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.
Enter current password for root (enter for none):
OK, successfully used password, moving on...
Setting the root password ensures that nobody can log into the MariaDB
root user without the proper authorisation.
You already have a root password set, so you can safely answer 'n'.
Change the root password? [Y/n] y
New password:
Re-enter new password:
Password updated successfully!
Reloading privilege tables..
... Success!
By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them. This is intended only for testing, and to make the installation
go a bit smoother. You should remove them before moving into a
production environment.
Remove anonymous users? [Y/n] y
... Success!
Normally, root should only be allowed to connect from 'localhost'. This
ensures that someone cannot guess at the root password from the network.
Disallow root login remotely? [Y/n] y
... Success!
By default, MariaDB comes with a database named 'test' that anyone can
access. This is also intended only for testing, and should be removed
before moving into a production environment.
Remove test database and access to it? [Y/n] y
- Dropping test database...
... Success!
- Removing privileges on test database...
... Success!
Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.
Reload privilege tables now? [Y/n] y
... Success!
Cleaning up...
All done! If you've completed all of the above steps, your MariaDB
installation should now be secure.
Thanks for using MariaDB!
Para probar la seguridad de MariaDB, intente iniciar sesión en la base de datos desde la consola sin contraseña de root. Se debe denegar el acceso a la base de datos si no se proporciona una contraseña para la cuenta raíz. Si se proporciona la contraseña, el proceso de inicio de sesión debe otorgarse a la consola MySQL, como se muestra en la siguiente captura de pantalla.
mysql -h localhost -u root
mysql -h localhost -u root –p
Luego, inicie sesión en la consola de la base de datos MariaDB y, primero, cree una base de datos para que la use la aplicación Icinga2 y un usuario con una contraseña que se usará para administrar esta base de datos, emitiendo los siguientes comandos. Reemplace este nombre de base de datos, usuario y contraseña según corresponda.
mysql –u root -p
create database icingadb;
grant all privileges on icingadb.* to 'icinga_user'@'localhost' identified by 'icinga_pass';
flush privileges
exit
A continuación, cree una segunda base de datos MySQL que se usará para almacenar usuarios de la interfaz web Icinga2, grupos y otros datos personalizados de la interfaz web, emitiendo los siguientes comandos. Además, como en la base de datos anterior, asegúrese de reemplazar el nombre de la base de datos y las credenciales correspondientes y elija una contraseña segura para el usuario de la base de datos.
mysql –u root –p
create database icinga_users;
grant all privileges on icinga_users.* to 'icinga_user'@'localhost' identified by 'icinga_pass';
flush privileges
exit
Para aplicar todos los cambios realizados hasta el momento, reinicie los demonios de MySQL y Apache y verifique si los demonios se están ejecutando emitiendo los siguientes comandos.
systemctl restart mysql apache2
systemctl status mysql apache2
Instalar Icinga 2
Una vez que se cumplan todos los requisitos del sistema para instalar nuestra aplicación de monitoreo web, proceda con la instalación de la aplicación junto con el módulo MySQL, necesario para acceder a la base de datos MySQL, emitiendo el siguiente comando. Icinga 2 tiene paquetes binarios precompilados ofrecidos por los repositorios de Debian 9. La instalación se realizará a través del administrador de paquetes apt de Debian 9.
apt install icinga2 icinga2-ido-mysql
Mientras instala los binarios precompilados de Icinga2 de los repositorios de Debian 9, aparecerá una serie de indicaciones en su pantalla para configurar la aplicación. En el primer aviso, se le preguntará si desea configurar y habilitar Icinga 2 para usar el módulo MySQL. Seleccione Sí en el mensaje y presione la tecla [enter] para continuar como se ilustra en la imagen a continuación.
En el siguiente mensaje, se le preguntará si desea configurar la base de datos para icinga2-ido-mysql con la opción dbconfig-common. Elija No en el mensaje y presione la tecla [enter] para finalizar la instalación de Icinga 2.
Después de instalar Icinga 2, inicie el demonio Icinga 2 y verifique el estado del servicio ejecutando los siguientes comandos.
systemctl start icinga2.service
systemctl status icinga2.service
En el siguiente paso, instale la interfaz web Icinga 2 y los paquetes de utilidades de línea de comandos de Debian 9 con la ayuda del siguiente comando.
apt install icingaweb2 icingacli
Antes de comenzar a configurar Icinga 2 desde la web, reinicie el demonio de Icinga 2 para recoger todos los cambios y verificar el estado de la aplicación emitiendo el siguiente comando.
systemctl restart icinga2.service
systemctl status icinga2.service
A continuación, elimine el archivo index.html predeterminado instalado por el servidor web Apache en la ruta webroot y también elimine el archivo info.php creado anteriormente.
rm /var/www/html/index.html
rm /var/www/html/info.php
Ahora instale el esquema MySQL para la base de datos Icinga ejecutando el siguiente comando. El esquema de la base de datos MySQL se encuentra en /usr/share/icinga2-ido-mysql/schema/ directorio.
mysql -u root icingadb -p < /usr/share/icinga2-ido-mysql/schema/mysql.sql
Para realizar la instalación de Icinga 2 desde la web, genere un token de instalación con el siguiente comando. Asegúrese de anotar este token, ya que lo escribiremos más adelante en la interfaz web cuando se le solicite.
icingacli setup token create
En caso de que no pueda encontrar este token más adelante, puede ejecutar el siguiente comando para mostrar el token generado.
icingacli setup token show
Ahora continúe con el proceso de instalación de la interfaz web de Icinga2 abriendo un navegador y navegue por la dirección IP o el nombre de dominio de su servidor a través del protocolo HTTP a la siguiente URL.
http://tu_dominio.tld/icingaweb2/setup
En la primera pantalla de instalación, se le pedirá que anote el token generado anteriormente para iniciar el proceso de instalación, como se muestra en la siguiente captura de pantalla. Después de agregar su token, presione el botón Siguiente para continuar con el proceso de instalación.
En la siguiente pantalla de instalación, se le pedirá que habilite algunos módulos para la instalación web de Icinga 2. Seleccione los módulos Doc y Monitoring y presione el botón siguiente para continuar, como se ilustra en la imagen a continuación.
A continuación, el instalador web de Icinga2 realizará una serie de comprobaciones del sistema y de los módulos PHP para detectar si se cumplen todos los requisitos para continuar con el proceso de instalación. Desplácese hacia abajo hasta la lista de todos los módulos PHP necesarios instalados y configurados correctamente y presione el botón Siguiente para pasar a la siguiente sección de instalación, como se muestra en las imágenes a continuación.
En la siguiente pantalla, elija Base de datos como método de backend de autenticación para Icinga Web 2 y presione el botón Siguiente para continuar.
En el siguiente paso, agregue el nombre de la base de datos MySQL web de Icinga 2 y las credenciales de acceso para esta base de datos. Esta base de datos se utilizará para almacenar usuarios y grupos de la interfaz web de Icinga 2. Utilice la información de la base de datos para la segunda base de datos creada anteriormente. Agregar icingaweb_db como nombre para este recurso y deje las variables Host, Port y Character set como predeterminadas. No marque las opciones persistentes y SSL y presione el botón Validar configuración para validar la conexión de la base de datos, como se muestra en la imagen a continuación. Cuando termine, presione el botón Siguiente para pasar a la siguiente sección del instalador.
Ahora establezca un nombre para la autenticación de la base de datos respaldada y presione el botón Siguiente para continuar, como se ilustra en la siguiente captura de pantalla.
En la siguiente pantalla, proporcione un nombre de usuario administrativo para administrar la interfaz web de Icinga2 y elija una contraseña segura para esta cuenta. Cuando termine, presione el botón Siguiente para pasar a la siguiente pantalla de instalación.
Configure la aplicación Icinga y la configuración de registro con las siguientes configuraciones y cuando termine presione el botón Siguiente para continuar.
- Marque Mostrar seguimientos de pila
- Tipo de almacenamiento =Base de datos
- Tipo de registro =Archivo
- Nivel de registro =Error
- Ruta del archivo =/var/log/icingaweb2/icingaweb2.log
En la siguiente pantalla, un mensaje le informará que Icinga Web2 se ha configurado correctamente y un informe detallado mostrará toda la configuración realizada hasta el momento. Revise el informe y presione el botón Siguiente para continuar con la siguiente sección de instalación.
Presione el botón Siguiente para avanzar con la configuración del módulo de monitoreo Icinga 2, como se muestra en la imagen a continuación.
En la siguiente pantalla, agregue un nombre para Icinga2 Backend, seleccione IDO como tipo de backend y presione el botón Siguiente para continuar.
Vuelva a la consola del servidor, abra y edite el archivo de configuración Icinga MySQL IDO y agregue las credenciales de la base de datos Icinga (la primera información de la base de datos), como se muestra en el ejemplo a continuación.
nano /etc/icinga2/features-enabled/ido-mysql.conf
ido-mysql.conf extracto del archivo:
library "db_ido_mysql"
object IdoMysqlConnection "ido-mysql" {
user = "icinga_user",
password = "icinga_pass",
host = "localhost",
database = "icingadb"
}
Guarde el archivo y reinicie el demonio Icinga2 para aplicar la configuración emitiendo el siguiente comando. Luego, regrese a la interfaz web de Icinga y continúe con el proceso de instalación.
systemctl restart icinga2.service
Agregue información de la base de datos de Icinga para configurar el entorno de recursos de IDO. Utilice la información de la base de datos para la primera base de datos creada, como se ilustra en la siguiente imagen. Una vez que haya terminado de editar la información de la base de datos, presione el botón Validar configuración para validar el recurso IDO de monitoreo de Icinga y presione el botón Siguiente para pasar a la siguiente pantalla de instalación.
Configure Icinga Command Transport con las siguientes configuraciones y presione el botón Siguiente para continuar.
- Nombre del transporte =icinga2
- Tipo de transporte =Archivo de comando local
- Archivo de comandos =/var/run/icinga2/cmd/icinga2.cmd
En la siguiente pantalla, deje las variables predeterminadas configuradas para monitorear la seguridad como se ilustra en la imagen a continuación y presione el botón Siguiente para continuar.
En la siguiente pantalla, un nuevo mensaje le informará que el módulo de monitoreo Icinga2 se ha configurado correctamente. Revise el informe que se muestra para verificar si todo está configurado correctamente y presione el botón Finalizar para completar la instalación.
Una vez que el proceso de instalación se haya completado con éxito, un mensaje de felicitación le informará que Icinga Web 2 se ha instalado correctamente. Haga clic en el enlace Iniciar sesión para ser redirigido a la página de inicio de sesión de Icinga2.
Inicie sesión en Icinga Web 2 con las credenciales configuradas durante el proceso de instalación y será dirigido al panel de control de Icinga Web 2, donde verá una lista de los servicios monitoreados actuales y los recursos del sistema que pertenecen a su servidor.
Finalmente, vuelva a iniciar sesión en la línea de comandos del servidor y ejecute los siguientes comandos para asegurarse de que se crearán los registros de Icinga Web 2.
mkdir -p /var/log/icingaweb2/
chgrp -R icingaweb2 /var/log/icingaweb2/
chmod -R 775 /var/log/icingaweb2/
Para obligar a los visitantes a navegar por la interfaz Icinga Web 2 a través del protocolo HTTPS, cree un nuevo .htaccess archivo en la ruta raíz del documento de su servidor web con el siguiente contenido.
nano /var/www/html/.htaccess
.htaccess extracto del archivo:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
</IfModule>
RewriteEngine on
Options -Indexes
¡Eso es todo! Ha instalado y configurado con éxito la aplicación de monitoreo de red Icinga 2 en Debian 9.2. Sin embargo, debido a que el servidor Apache HTTP utiliza certificados autofirmados para encriptar el tráfico entre el servidor y el navegador del cliente, siempre se generará y mostrará un mensaje de advertencia en su navegador cada vez que acceda a su dominio. En este caso, debe comprar un certificado emitido por una autoridad de certificación de confianza u obtener un par de certificados gratuitos de Let's Encrypt CA.
Para otras configuraciones personalizadas relacionadas con Icinga 2, visite la página de documentación en la siguiente dirección:https://www.icinga.com/docs