Difference between revisions of "Pandora: Documentation ja: RemoteManagement"
(Created page with "Pandora FMS ドキュメント一覧に戻る = Pandora FMS でのシステムリモート管理 = == 概要 == Pandora FMS は監視ツール...") |
(→Pandora FMS から SSH/Telnet を使ったリモートシステムへの接続) |
||
Line 105: | Line 105: | ||
ユーザーが telnet または SSH 経由でリモートデバイスに直接接続できる拡張機能があります。 これは「リモートゲートウェイ」拡張で行うことができます。 このコンポーネントには特別な設定が必要で、Pandora FMS のデフォルトではインストールされません。詳細確認およびダウンロードは、Pandora FMS モジュールのライブラリを参照してください。 [https://pandorafms.com/library/anytermd/] | ユーザーが telnet または SSH 経由でリモートデバイスに直接接続できる拡張機能があります。 これは「リモートゲートウェイ」拡張で行うことができます。 このコンポーネントには特別な設定が必要で、Pandora FMS のデフォルトではインストールされません。詳細確認およびダウンロードは、Pandora FMS モジュールのライブラリを参照してください。 [https://pandorafms.com/library/anytermd/] | ||
− | この拡張は、内部コール forkptt() のセキュリティ制限のため、最新バージョンの Centos/RHEL ではうまく機能しません。 この機能を置き換えるには、eHorus を使用することをお勧めします。 | + | {{Warning|この拡張は、内部コール forkptt() のセキュリティ制限のため、最新バージョンの Centos/RHEL ではうまく機能しません。 この機能を置き換えるには、eHorus を使用することをお勧めします。}} |
<br><br> | <br><br> |
Revision as of 10:41, 4 October 2018
Contents
1 Pandora FMS でのシステムリモート管理
1.1 概要
Pandora FMS は監視ツールであり、その目的のもとにエージェントによる機器との接続をします。オペレータが監視対象システムを遠隔から制御できるようにするためには別の方法を使用します。ルータやスイッチなどの一部のシステムは、Telnet や SSH で管理することができます。これらのシステムにアクセスするには、コマンドを起動するだけです。 これを行うためには、バージョン 7.0 以降には標準でインストールされていない Anytermd ツールに基づく、オプションの拡張機能を使用します。この拡張は Pandora FMS モジュールライブラリ[1]にあります。
Pandora FMS の標準ツールは、リモートシステム(Windows、Mac、のいずれでも可)にアクセスできる eHorus [2]です。遠隔操作ツールは WEB で完全にPandora FMS のインタフェースに統合されています。
1.2 Pandora FMS での eHorus の利用
eHorus は、IP、ファイアウォール、その他の変化にかかわらず、クラウド(SaaS)を使用してコンピュータに接続するリモート管理システムです。
これを有効化するには、設定画面で統合を有効化する必要があります。
その後、サービスユーザから有効なログインをする必要があります。 このユーザは、指定されたエージェントへのリモート接続を認可するために使用されます。
通常は必要ではありませんが、APIホスト名 (デフォルトでは switch.ehorus.com)と APIポート(デフォルトでは 18080)フィールドを編集して別の eHorus プロバイダーを設定することができます。
接続設定を行うと、eHorusID という新しいカスタムフィールドがエージェントビューに表示されることを確認できます。このフィールドには、管理する eHorus エージェント ID が含まれています。 この ID は、マシン上または eHorus Portal 上で実行されている eHorus エージェント(図を参照)など、いくつかの場所で見つけることができます。
Pandora FMS エージェント 7.0 以降を使用している場合は、次の設定トークンを使用して自動的に eHorus ID を取得することができます。
ehorus_conf <path>
設定トークンは、eHorus エージェントの有効な構成ファイルへの絶対パスをサポートします。 エージェントは、 eHorus エージェントの識別キーを含む eHorusID というカスタムフィールドを作成します。
Pandora FMS エージェントがカスタムフィールドに eHorus エージェントの ID を定義すると、管理者ユーザまたはエージェントの管理権限を持つユーザには、エージェントメニューに Pandora FMS から eHorus クライアントを利用することができる新たなタブが表示されます。
ehorus id (EKID) は、エージェントのこのカスタムフィールドに入ります。
設定が完了したら、エージェントが提供する、シェル、リモートテスクトップ、プロセス表示、サービス表示、ファイルのコピーなど、 ehorus のリモート制御拡張の任意のセクションをクリックするだけです。
eHorus エージェントでは、ローカルパスワードを使用することをお勧めします。 設定されている場合、対話形式でプロンプトが表示されます。
一度認証されると、root 権限でインタラクティブコマンドラインセッション(linux、mac、windows)にアクセスできます:
リモートプロセスの管理とファイルのコピー(アップロードとダウンロードの両方)でも同じです。
そして、もちろん、リモートデスクトップ(Windows, Linux, Mac)もできます。
eHorus の詳細については、Webサイト[3]を参照してください。 eHorus は最大で 10台のコンピュータまで無料で使用できます。eHorus は Pandora FMS を開発した同じチームによって開発されました。 |
|
Pandora FMS を Windows で実行している場合は、Mozilla CA certificate store で PEM フォーマットをダウンロードし、 |
|
1.3 Pandora FMS から SSH/Telnet を使ったリモートシステムへの接続
ユーザーが telnet または SSH 経由でリモートデバイスに直接接続できる拡張機能があります。 これは「リモートゲートウェイ」拡張で行うことができます。 このコンポーネントには特別な設定が必要で、Pandora FMS のデフォルトではインストールされません。詳細確認およびダウンロードは、Pandora FMS モジュールのライブラリを参照してください。 [4]
この拡張は、内部コール forkptt() のセキュリティ制限のため、最新バージョンの Centos/RHEL ではうまく機能しません。 この機能を置き換えるには、eHorus を使用することをお勧めします。 |
|
Pandora FMS は、「anytermd」というツールを使用して、ユーザのブラウザとリモートの宛先との間に一種のプロキシを作成します。 このツールは、コマンドを実行するポートで待機しているデーモンを起動し、接続のすべての内容をユーザのブラウザに転送します。 これは、すべての接続が Pandora FMS サーバから行われ、Pandora サーバにシステムの ssh および telnet クライアントがインストールされていることを意味します。 これがこのシステムの仕組みです。
1.3.1 インストールと設定
ソースコードは、プロジェクトリポジトリの extras/anytermd にあります。また、プロジェクトの公式ダウンロードページに RPM および tar ファイルがあります。
gcc-c++, make, boost-deve, zlib-deve パッケージがインストールされていることを確認してください。
実行:
make
そして、バイナリを手動で /usr/bin にインストールします。
cp anytermd /usr/bin
サーバデーモンを実行するには、"手動で" 行う必要があります。サーバや Pandora コンソールはそれを起動しないためです。SSH/Telnet リモート接続拡張は、それぞれ接続に異なるポートを利用します。SSH が 8022、telnet が 8023 です。
contrib/anytermd に anytermd の起動スクリプトがあります。それを /etc/init.d/anytermd にコピーし、次のように起動します。
/etc/init.d/anytermd start
デフォルトでは、実行にユーザに "pandora" を利用します。変更したい場合は、スクリプトを修正します。
1.3.1.1 Anytermd のセキュリティ強化
セキュリティ上の理由により、ポート 8022 と 8023 へのアクセスは、認証されたシステムからのみにすることをお勧めします。それには、ファイアーウォールルールを使うことをお勧めします。(Linux の iptables)
Anytermd が動作しているサーバ上にて:
iptables -I INPUT -p tcp --dport 8023 -s <source_ip> -j ACCEPT iptables -I INPUT -p tcp --dport 8022 -s <source_ip> -j ACCEPT
ここで、<source_ip> は、アクセスしてくるユーザのブラウザの IP です。