Dans ce guide, nous allons vous montrer comment installer et configurer la dernière version du logiciel Observium Network Monitoring (Community Edition) sur la version Debian 9, afin de surveiller l'équipement réseau de vos locaux.
Observium est un logiciel de surveillance de réseau de découverte automatique, libre et open source, puissant et flexible, écrit principalement en langage de programmation PHP et déployé sous Linux sous des serveurs Web Apache/Nginx, un système de gestion de base de données PHP et MySQL/MariaDB, également connu sous le nom de pile LAMP ou LEMP. Ovservium utilise le protocole SNMP pour interroger l'état des hôtes réseau, des serveurs, des routeurs, des commutateurs et d'autres périphériques réseau, prenant en charge un large éventail de matériel réseau et de systèmes d'exploitation, tels que Linux, Windows, Cisco, HP, FreeBSD, Juniper, Brocade, Dell et d'autres fournisseurs importants de périphériques réseau. Le processus de gestion de l'application peut être facilement réalisé via une interface Web simple et intuitive.
Exigences
- Installation minimale de Debian 9 sur une machine serveur bare metal ou sur un serveur privé virtuel
- Privilèges sudo root pour un compte local ou distant ou accès direct au compte root
- Une adresse IP statique configurée pour l'une des cartes d'interface réseau de votre système
- Un nom de domaine, privé ou public, selon votre déploiement, avec des enregistrements DNS appropriés configurés pour les services Web. Si vous n'avez pas de nom de domaine valide ou enregistré, vous pouvez effectuer l'installation et accéder au site Web via l'adresse IP de votre serveur
- Si vous souhaitez utiliser les notifications par e-mail d'Observium, vous devez disposer d'un serveur de messagerie en cours d'exécution correctement configuré dans vos locaux avec un accès à distance à ses services IMAP et SMTP. Pour la même tâche, vous pouvez également utiliser un service de messagerie public, tel que Gmail ou Yahoo! Courrier.
Installer Apache, PHP et MySQL
Avant de commencer l'installation et la configuration d'Observium à partir de sources sur votre propre serveur, assurez-vous d'abord que le système répond à toutes les exigences logicielles pour compiler et installer l'application. Dans un premier temps, mettez à jour vos référentiels système et vos packages logiciels en exécutant la commande suivante.
apt update
apt upgrade
Ensuite, exécutez la commande suivante afin d'installer certains utilitaires nécessaires qui seront utilisés pour gérer davantage votre système à partir de la ligne de commande.
apt install wget bash-completion curl
Une fois le système entièrement mis à jour et les utilitaires requis pour gérer votre serveur installés, configurez le nom de votre système en exécutant la commande suivante. Remplacez votre variable de nom d'hôte en conséquence.
hostnamectl set-hostname www.mynet.com
Vérifiez le nom d'hôte de la machine et le fichier d'hôtes en exécutant les commandes suivantes.
hostnamectl
cat /etc/hostname
hostname –s
hostname –f
Enfin, redémarrez le serveur Debian afin d'appliquer les mises à jour du noyau et les changements de nom d'hôte correctement.
systemctl reboot
Observium est une plate-forme de surveillance de réseau basée sur le Web écrite en langage de programmation côté serveur PHP. Afin d'exécuter les scripts de fichiers PHP de l'application, un serveur Web, tel qu'un serveur HTTP Apache, et une passerelle de traitement PHP doivent être installés et rendus opérationnels dans le système. Afin d'installer le serveur Web Apache et l'interpréteur PHP avec tous les modules PHP nécessaires au bon fonctionnement de l'application, exécutez la commande suivante dans la console de votre serveur.
apt install apache2 libapache2-mod-php7.0 php7.0 php7.0-gd php7.0-opcache php7.0-json php7.0-mbstring php7.0-mcrypt php-pear php7.0-cli php7.0-snmp
Exécutez la commande suivante afin de vérifier si tous les modules PHP installés sont activés sur votre système
php –m
Assurez-vous également d'installer les utilitaires suivants requis par Observium pour interroger et surveiller les périphériques réseau via le protocole SNMP, détecter et insérer d'autres paramètres réseau et afficher les graphiques des ressources système.
apt install fping rrdtool graphviz ipmitool snmp whois mtr-tiny imagemagick python-mysqldb
Une fois Apache et PHP installés, testez si le serveur Web est opérationnel et écoute les connexions réseau sur le port 80 en exécutant la commande suivante avec les privilèges root.
netstat –tlpn
Dans le cas netstat l'utilitaire de réseau n'est pas installé par défaut sur votre système Debian, exécutez la commande suivante pour l'installer.
apt install net-tools
En inspectant la sortie de la commande netstat, vous pouvez voir que le serveur Web apache écoute les connexions réseau entrantes sur le port 80. Pour la même tâche, vous pouvez également utiliser le ss commande, qui est automatiquement installée, par défaut, dans Debian 9.
ss- tulpn
Si un pare-feu est activé sur votre système, tel qu'une application de pare-feu UFW, vous devez ajouter une nouvelle règle pour autoriser le trafic HTTP à traverser le pare-feu en exécutant la commande suivante.
ufw allow WWW
ou
ufw allow 80/tcp
Si vous utilisez iptables règles brutes pour gérer les règles de pare-feu sur votre serveur Debian, ajoutez la règle suivante pour autoriser le trafic entrant des ports 80 et 22 (pour SSH) sur le pare-feu afin que d'autres administrateurs réseau puissent parcourir l'application en ligne.
apt-get install -y iptables-persistent
iptables -I INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -I INPUT -p tcp --destination-port 22 -j ACCEPT
netfilter-persistent save
systemctl restart netfilter-persistent
systemctl status netfilter-persistent
systemctl enable netfilter-persistent.service
Ensuite, activez et appliquez les modules Apache suivants requis par l'application pour s'exécuter correctement, en exécutant les commandes suivantes.
a2enmod rewrite
systemctl restart apache2
Enfin, testez si la page Web par défaut du serveur Web Apache peut être affichée dans les navigateurs de votre client en visitant l'adresse IP de votre machine Debian ou votre nom de domaine ou FQDN de serveur via le protocole HTTP, comme indiqué dans l'image ci-dessous. Si vous ne connaissez pas l'adresse IP de votre machine, exécutez ifconfig ou ip a commandes pour révéler l'adresse IP de votre serveur.
http://votre_domaine.tld
Afin d'installer et d'accéder au tableau de bord d'administration Web d'Observium via le protocole HTTPS (qui sécurisera le trafic pour vos clients), exécutez la commande suivante pour activer le module SSL du serveur Web Apache et le fichier de configuration du site SSL.
a2enmod ssl
a2ensite default-ssl.conf
Ensuite, ouvrez le fichier de configuration du site SSL par défaut d'Apache avec un éditeur de texte et activez les règles de réécriture d'URL en ajoutant les lignes de code suivantes après DocumentRoot directive, comme illustré dans l'exemple ci-dessous :
nano /etc/apache2/sites-enabled/default-ssl.conf
Extrait du fichier de configuration du site SSL :
<Directory /var/www/html>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>
Modifiez également VirtualHost ligne ressemble à ce qui suit :
<VirtualHost *:443>
Fermez le fichier SSL Apache et ouvrez /etc/apache2/sites-enabled/000-default.conf fichier à modifier et ajoutez les mêmes règles de réécriture d'URL que pour le fichier de configuration SSL. Insérez les lignes de code suivantes après DocumentRoot déclaration :
<Directory /var/www/html>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>
Enfin, redémarrez le démon Apache pour appliquer toutes les règles configurées jusqu'à présent et visitez votre domaine via le protocole HTTP. Étant donné que vous utilisez les paires de certificats auto-signés automatiquement émis par Apache lors de l'installation, certificat non approuvé par le navigateur, un avertissement d'erreur doit s'afficher dans le navigateur.
systemctl restart apache2
https://votredomaine.tld
Acceptez l'avertissement pour accepter le certificat non approuvé et continuer à être redirigé vers la page Web par défaut d'Apache, comme illustré dans l'image suivante.
Si l'application de pare-feu UFW bloque les connexions réseau entrantes au port HTTPS, vous devez ajouter une nouvelle règle pour autoriser le trafic HTTPS à traverser le pare-feu en exécutant la commande suivante.
ufw allow ‘WWW Full’
ou
ufw allow 443/tcp
Si iptables est l'application de pare-feu par défaut installée pour protéger votre système Debian au niveau du réseau, ajoutez la règle suivante pour autoriser le trafic entrant du port 443 dans le pare-feu afin que les visiteurs puissent parcourir votre nom de domaine.
iptables -I INPUT -p tcp --destination-port 443 -j ACCEPT
netfilter-persistent save
systemctl restart netfilter-persistent
systemctl status netfilter-persistent
Dans l'étape suivante, nous devons apporter d'autres modifications au fichier de configuration PHP par défaut afin de nous assurer que les variables PHP suivantes sont activées et que le fuseau horaire PHP est correctement configuré et correspond à l'emplacement géographique de votre système. Ouvrez le fichier /etc/php/7.0/apache2/php.ini fichier à éditer et assurez-vous que les lignes suivantes sont configurées comme indiqué. Aussi, dans un premier temps, faites une sauvegarde du fichier de configuration PHP.
cp /etc/php/7.0/apache2/php.ini{,.backup} nano /etc/php/7.0/apache2/php.ini
Recherchez, modifiez et modifiez les variables suivantes dans le php.ini fichier de configuration :
file_uploads = On
default_charset = UTF-8
error_reporting = E_ALL & ~E_NOTICE
date.timezone = Europe/London
Remplacez le date.timezone variable selon la localisation géographique de votre serveur en consultant la liste des fuseaux horaires fournie par les docs PHP au lien suivant http://php.net/manual/en/timezones.php
Si vous souhaitez augmenter la vitesse de chargement des pages de votre site Web via le plug-in OPCache disponible pour PHP7, ajoutez les paramètres OPCache suivants au bas du fichier de configuration de l'interpréteur PHP, sous [opcache] déclaration, comme détaillé ci-dessous :
nano /etc/php/7.0/apache2/php.ini
[opcache]
opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1
Fermez le php.ini fichier de configuration et vérifiez la fin du fichier de configuration PHP pour vérifier si les variables OPCache ont été correctement ajoutées en exécutant la commande ci-dessous.
grep opcache /etc/php/7.0/apache2/php.ini
Après avoir apporté toutes les modifications expliquées ci-dessus, redémarrez le démon apache pour appliquer les nouvelles modifications en exécutant la commande suivante.
systemctl restart apache2
Enfin, créez un fichier d'informations PHP en exécutant la commande suivante et vérifiez si le fuseau horaire PHP a été correctement configuré en visitant le fichier de script d'informations PHP à partir d'un navigateur à l'URL suivante, comme illustré dans l'image ci-dessous. Faites défiler jusqu'à date paramètre pour vérifier la configuration du fuseau horaire PHP.
echo '<?php phpinfo(); ?>'| tee /var/www/html/info.php
https://domain.tld/info.php
L'application Web Observium stocke différentes configurations, telles que les utilisateurs, les sessions, les contacts, les périphériques réseau, les adresses IP, les interfaces réseau et d'autres données, dans une base de données RDBMS. Dans ce guide, nous allons configurer l'application Observium pour utiliser la base de données MariaDB comme backend. Émettez la commande suivante pour installer la base de données MariaDB et le module PHP nécessaire pour accéder à la base de données MySQL.
apt install mariadb-server php7.0-mysql mariadb-client
Après avoir installé MariaDB, vérifiez en exécutant netstat commande si le démon est en cours d'exécution et écoute les connexions sur localhost, port 3306.
netstat –tlpn | grep mysql
Ensuite, connectez-vous à la console MySQL et sécurisez le compte racine MariaDB en exécutant les commandes suivantes.
mysql -h localhost
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 2
Server version: 10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> use mysql;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
MariaDB [mysql]> update user set plugin='' where user='root';
Query OK, 1 row affected (0.00 sec)
Rows matched: 1 Changed: 1 Warnings: 0
MariaDB [mysql]> flush privileges;
Query OK, 0 rows affected (0.00 sec)
MariaDB [mysql]> exit
Bye
À l'étape suivante, sécurisez MariaDB en exécutant le script mysql_secure_installation fourni par les packages d'installation à partir des dépôts Debian Stretch. Lors de l'exécution, le script posera une série de questions conçues pour sécuriser la base de données MariaDB, telles que :changer le mot de passe root MySQL, supprimer les utilisateurs anonymes, désactiver les connexions root à distance et supprimer la base de données de test. Exécutez le script en lançant la commande suivante et assurez-vous de taper oui à toutes les questions posées afin de sécuriser complètement le démon MySQL. Utilisez l'extrait de sortie de script suivant comme guide.
mysql_secure_installation
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! In order to log into MariaDB to secure it, we'll need the current password for the root user. If you've just installed MariaDB, and you haven't set the root password yet, the password will be blank, so you should just press enter here. Enter current password for root (enter for none): OK, successfully used password, moving on... Setting the root password ensures that nobody can log into the MariaDB root user without the proper authorisation. You already have a root password set, so you can safely answer 'n'. Change the root password? [Y/n] y New password: Re-enter new password: Password updated successfully! Reloading privilege tables.. ... Success! By default, a MariaDB installation has an anonymous user, allowing anyone to log into MariaDB without having to have a user account created for them. This is intended only for testing, and to make the installation go a bit smoother. You should remove them before moving into a production environment. Remove anonymous users? [Y/n] y ... Success! Normally, root should only be allowed to connect from 'localhost'. This ensures that someone cannot guess at the root password from the network. Disallow root login remotely? [Y/n] y ... Success! By default, MariaDB comes with a database named 'test' that anyone can access. This is also intended only for testing, and should be removed before moving into a production environment. Remove test database and access to it? [Y/n] y - Dropping test database... ... Success! - Removing privileges on test database... ... Success! Reloading the privilege tables will ensure that all changes made so far will take effect immediately. Reload privilege tables now? [Y/n] y ... Success! Cleaning up... All done! If you've completed all of the above steps, your MariaDB installation should now be secure. Thanks for using MariaDB!
Afin de tester la sécurité de MariaDB, essayez de vous connecter à la base de données depuis la console sans mot de passe root. L'accès à la base de données doit être refusé si aucun mot de passe n'est fourni pour le compte root, comme illustré dans l'extrait de commande ci-dessous :
mysql -h localhost -u root
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO)
Si le mot de passe est fourni, le processus de connexion doit être accordé à la console MySQL, comme indiqué dans l'exemple de commande suivant :
mysql -h localhost -u root -p
Enter password:
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 15
Server version: 10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> exit
Bye
Ensuite, connectez-vous à la console de base de données MariaDB et créez en exécutant les commandes suivantes une base de données pour l'application Observium et un utilisateur avec un mot de passe qui sera utilisé pour gérer la base de données de l'application. Remplacez le nom de la base de données, l'utilisateur et le mot de passe en conséquence.
mysql –u root -p
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 2
Server version: 10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> create database observium_db;
Query OK, 1 row affected (0.00 sec)
MariaDB [(none)]> grant all privileges on observium_db.* to 'observium_user'@'localhost' identified by 'password1234';
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> exit
Bye
Afin d'appliquer toutes les modifications apportées jusqu'à présent, redémarrez les démons MySQL et Apache et vérifiez si les démons sont en cours d'exécution en exécutant les commandes suivantes.
systemctl restart mysql apache2
systemctl status mysql apache2
Installer la plateforme de surveillance réseau Observium
Une fois que toutes les exigences du système sont remplies pour installer l'application, visitez la page officielle d'Observium à l'adresse www.observium.org et récupérez la dernière archive compressée gzip en lançant la commande suivante.
wget http://www.observium.org/observium-community-latest.tar.gz
Une fois le téléchargement de l'archive gzip terminé, extrayez le fichier d'archive Observium dans votre répertoire de travail actuel et répertoriez les fichiers extraits en exécutant les commandes suivantes. Supprimez également le fichier index.html par défaut installé par le serveur Web Apache sur le chemin Webroot et supprimez également le fichier info.php créé précédemment.
tar xfz observium-community-latest.tar.gz
ls
rm /var/www/html/index.html
rm /var/www/html/info.php
Les fichiers d'installation d'Observium se trouvent dans votre répertoire de travail actuel dans le dossier observium/ annuaire. Émettez ls commande pour lister les fichiers de ce répertoire. Copiez tout le contenu du répertoire extrait dans le chemin racine du document de votre serveur Web au niveau supérieur (/var/www/ répertoire) en exécutant les commandes suivantes. Assurez-vous également de copier les fichiers cachés dans le répertoire d'installation et de créer les journaux et rrd répertoires à cet emplacement.
cp -rf observium/* /var/www/
cp observium/.scrutinizer.yml /var/www/
mkdir /var/www/logs
mkdir /var/www/rrd
ls -al /var/www/
Ensuite, exécutez les commandes suivantes afin d'accorder à l'utilisateur d'exécution Apache des autorisations d'écriture complètes sur le chemin racine Web et le rrd de l'application. et journaux répertoires. Utilisez ls pour répertorier les autorisations pour les fichiers installés de l'application, situés dans les répertoires /var/www/html/ et rrd et logs.
chown -R www-data:www-data /var/www/rrd/
chown -R www-data:www-data /var/www/logs/
chown -R www-data:www-data /var/www/html/
ls -al /var/www/html/
À l'étape suivante, créez un nouveau fichier de configuration d'application basé sur le fichier de configuration du modèle par défaut d'Observium en exécutant les commandes suivantes.
cd /var/www/
cp config.php.default config.php
Ensuite, commencez à modifier le fichier de configuration d'Observium et remplacez les variables de connexion MySQL suivantes en conséquence.
nano /var/www/ config.php
En plus de config.php fichier, recherchez et mettez à jour le nom et les informations d'identification de la base de données MySQL en fonction de vos propres paramètres, comme indiqué dans l'extrait de fichier suivant :
$config['db_extension'] = 'mysqli';
$config['db_host'] = 'localhost';
$config['db_user'] = 'observium_user';
$config['db_pass'] = 'password1234';
$config['db_name'] = 'observium_db';
Ensuite, enregistrez et fermez le fichier config.php et importez le schéma de la base de données Observium MySQL en exécutant discover.php script avec –u comme illustré dans la capture d'écran suivante. Le script PHP se trouve dans le répertoire /var/www/.
/var/www/discovery.php –u
Ensuite, ajoutez le premier compte administrateur Observium avec le niveau de privilèges le plus élevé (10) en exécutant le adduser.php script situé dans le répertoire /var/www/. Choisissez un mot de passe fort pour le compte administrateur Observium.
/var/www/adduser.php observium_admin strongpass123 10
Pour vous connecter au panneau d'administration Web d'Observium, ouvrez un navigateur et accédez à l'adresse IP ou au nom de domaine ou au FQDN du serveur via le protocole HTTPS. Connectez-vous au tableau de bord Observium avec le nom d'utilisateur et le mot de passe configurés pour le compte administrateur à l'étape ci-dessus.
https://votredomaine.tld
Une fois que vous vous êtes connecté à l'application avec les informations d'identification d'administrateur, vous ajustez davantage les paramètres de l'application en naviguant vers /settings/ URL ou en cliquant sur Paramètres généraux -> Modifier le menu, comme illustré dans la capture d'écran suivante. Les paramètres Observium configurés via l'interface Web peuvent également être codés en dur dans le fichier de configuration de l'application :/var/www/config.php
Pour surveiller un périphérique réseau via le protocole SNMP, cliquez sur le menu en haut à gauche et sélectionnez Ajouter un périphérique dans le menu déroulant, comme indiqué dans l'image ci-dessous. Vous pouvez également ajouter un nouvel appareil via la ligne de commande.
/var/www/add_device.php hostname_or_IP SNMP_community_string v2c
Enfin, pour obliger les visiteurs à naviguer en toute sécurité sur l'interface de l'Observium via le protocole HTTPS qui crypte le trafic entre le serveur et les navigateurs clients, retournez sur le terminal de votre serveur et éditez le .htaccess fichier situé dans le chemin racine du document de votre site Web, en exécutant la commande ci-dessous.
nano /var/www/html/.htaccess
Ajoutez les règles suivantes dans le fichier .htaccess après RewriteEngine on ligne, afin de rediriger automatiquement le trafic du domaine vers HTTPS.
.htaccess extrait de fichier :
# Redirect to HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
Vous pouvez également désactiver la liste des documents Web du serveur HTTP Apache en ajoutant la ligne suivante après la redirection vers les lignes HTTPS :
Options -Indexes
Au bas du fichier, vous pouvez modifier les paramètres du serveur PHP natif à l'aide des exemples de configuration suivants. Modifiez les paramètres PHP pour qu'ils correspondent à vos propres ressources et configurations de serveur.
# Modify PHP settings
php_value session.use_trans_sid 0
php_value register_globals 1
Pour que l'application découvre et ajoute automatiquement de nouveaux périphériques réseau dans la base de données et vérifie et mette à jour leur état toutes les cinq minutes, ajoutez les tâches crontab suivantes à exécuter sous les privilèges utilisateur d'exécution Apache :
crontab –u www-data –e
crontab extrait de fichier :
# Run a complete discovery of all devices once every 6 hours
33 */6 * * * /var/www/discovery.php -h all >> /dev/null 2>&1
# Run automated discovery of newly added devices every 5 minutes
*/5 * * * * /var/www/discovery.php -h new >> /dev/null 2>&1
# Run multithreaded poller wrapper every 5 minutes
*/5 * * * * /var/www/poller-wrapper.py 4 >> /dev/null 2>&1
C'est tout! Vous avez installé et configuré avec succès l'application de surveillance du réseau Observium dans Debian 9. Cependant, comme le serveur HTTP Apache utilise des certificats auto-signés pour crypter le trafic entre le serveur et le navigateur du visiteur, un message d'avertissement sera toujours généré et affiché dans le navigateur du visiteur. Cet avertissement peut être gênant pour les administrateurs réseau qui visitent l'application Web via un nouveau navigateur ou une nouvelle adresse IP. Dans ce cas, vous devez acheter un certificat émis par une autorité de certification de confiance ou obtenir une paire de certificats gratuite auprès de Let's Encrypt CA.
Pour d'autres configurations personnalisées concernant l'application Observium, visitez la page de documentation à l'adresse suivante : http://docs.observium.org/