LINUX.ORG.RU
ФорумAdmin

Система управления конфигурациями, которой не обязателен ssh?

 , , , rexify


1

3

Ситуация такая: есть доступы к портам, которые зарезервированы за совершенно другим софтом, хотелось бы их полулегально использовать для системы управления конфигурациями.

Для этого от СУК требуется:

1) Управление клиентами/нодами/агентами со стороны мастера/сервера коннектом на порт X

Собственно, всё... :)

Но проблема в том, что порт - совсем не 22-й, а сам протокол очень желательно, чтобы не был слишком уж похож на ssh.

Можно замутить openvpn во все концы, тогда вообще любая конфигурация взлетит, но как-то это геморно, да и openvpn тоже засечь не так уж сложно (всякие грёбаные фаерволлы его легко распознают).

В идеале хотелось бы, чтобы мастер коннектился к своим нодам на порту X и общался с ними по своему протоколу, который фаерволлам неведом/неинтересен.

С оговорками puppet (ruby) вроде устраивал, но во-первых что-то к 5-й версии он уже стал ппц мудрёным и тяжёлым, а во-вторых - по-моему там всё-таки есть коннекты от нод к мастеру? Мне такое точно не нужно.

Смотрел ещё rexify (perl'овый) - тотально ssh-ный и как всегда через Ж описано самое главное - взаимодействие нод и сервера, ansible (python) хочет подключаться к нодам по ssh и на 22-м порту (поправьте меня, если я не прав).

Может, ещё что-то есть? Я уж думаю хотя бы для самых простых зада ч синхронизации файлов вообще rsync-демон использовать, а то достало уже: что так всем этот ssh сдался-то.

★★★★★

Что тебе нужно то конкретно, возьми какой-нить rpc

pawnhearts ★★★★★
()

obfsproxy не подойдет?

Deleted
()

ansible (python) хочет подключаться к нодам по ssh и на 22-м порту

Порт-то можно поменять, а вот протокол — только ssh.

dexpl ★★★★★
()

Saltstack смотрел? Там вроде бы можно обойтись коннектами от мастера с подчинённым, без SSH.

spijet ★★★
()

забыл тег «хочу странного»

Noob_Linux ★★★★
()

я себе давно такую штуку написал. но только в обратную сторону. агенты сами ходят за задачами и их исполняют.

Будет интересно - ищи меня в телеге @MikeDM

MikeDM ★★★★★
()
Последнее исправление: MikeDM (всего исправлений: 1)
Ответ на: комментарий от Shulman

Не меняется. Он прибит к агенту мониторинга поскольку именно вместо последнего трафик и должен ходить (реальный агент перемещается на loopback).

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от spijet

Saltstack смотрел?

Спасибо, погляжу, что за зверь такой!

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от dexpl

Протокол слишком легко палится, и глаз у безопасников на него намётан: если вдруг по 10050-му начнёт ходить распознанный ssh-трафик - всё это великолепие быстро пресекут. А вот протокол того же агента мониторинга и тем более какой-то никому не интересной системы управления конфигурациями - не обращает на себя внимания, и это именно то, чего и нужно добиться.

DRVTiny ★★★★★
() автор топика
Последнее исправление: DRVTiny (всего исправлений: 1)
Ответ на: комментарий от spijet

Очень неплохая штука в целом. Там действительно master <> agent композиция и она покрывает 100% возможностей системы, но возможна работа и по ssh (если хочется странного).

BOOBLIK ★★★★
()
Ответ на: комментарий от BOOBLIK

In addition, instead of using multi-master mode, the minion can be configured to use the list of master addresses as a failover list, trying the first address, then the second, etc. until the minion successfully connects. To enable this behavior, set master_type to failover:

minion'ам зачем-то вынь, да положь нужно подключаться к мастеру, а у меня с этим проблема. Можно только от мастера к агентам/миньонам, а не наоборот. А здесь и в ту сторону, и в обратную коннекты... Или можно обойти как-то?

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

Это безнадёжно:

The Salt master communicates with the minions using an AES-encrypted ZeroMQ connection. These communications are done over TCP ports 4505 and 4506, which need to be accessible on the master only. This document outlines suggested firewall rules for allowing these incoming connections to the master.

Note

No firewall configuration needs to be done on Salt minions. These changes refer to the master only.

DRVTiny ★★★★★
() автор топика

В идеале хотелось бы, чтобы мастер коннектился к своим нодам на порту X и общался с ними по своему протоколу, который фаерволлам неведом/неинтересен.

То есть если у вас на кучу нод будет идти какой-то левый трафик то безопасники им не заинтересуются? Или если какой-нибудь voip на хосты где стоят только базы да вебсервера?

Так то проще уж смотреть какой трафик точно не будет вызывать подозрений и городить велосипеды в зависимости от этого. Например, у вас на хосте стоит nginx - запилите какой-нибудь демон, который будет принимать таски в виде какого-нибудь куска http-запроса.

Но вообще тут два варианта - либо соблюдать регламенты, либо валить. Если ваша задача - обслуживание *nix-серверов, при этом по ssh вы ходить не можете - это дурь какая-то.

micronekodesu ★★★
()
Ответ на: комментарий от DRVTiny

Насколько мне известно возможно только инициация подключения от миньонов к серверу и это вроде как не настраивается. Подробнее вот тут.

BOOBLIK ★★★★
()
Ответ на: комментарий от micronekodesu

ОК. Это инфраструктура Zabbix, в которой куча однотипных задач выполняется на всех серверах/прокси. Соотв., хотелось бы фигачить задачи на прокси-серверы с сервера zabbix.

Есть 2 варианта: либо понавставлять фейковых UserParameter'ов в конфиг агента - и дёргать что-то вроде fake_cmd[«this_needs_to_be_executed»], но это не только неудобно само по себе, но и убого в плане функционала (по сути-то cms и нужна, а не тупо возможность выполнять команды), да ещё и sudo на хостах настраивается централизованно, а значит даже просто сигнал прокси-серверу zabbix я не могу отправить такой командой, а это одна из очень распространённых задач: активные прокси-серверы реконфигурируются отправкой сигнала главному их процессу, но этот процесс работает под root'ом.

Синхронизацию SNMP MIB файлов я уже почти доделал через rsync на всех прокси-серверах (демон rsync работает на порту для агента мониторинга), но хотелось бы всё-таки полноценный cms. который СУК.

P.S. О том, почему сам сервер Zabbix ни черта не умеет управлять своими же сателлитами-прокси я умолчу: что есть - то есть.

P.P.S.

Интересно девки пляшут, что ж я раньше-то не проверил:

$ sudo -u zabbix /usr/sbin/zabbix_proxy -R config_cache_reload
zabbix_proxy [10325]: command sent successfully

Да, можно всё же через агента реконфигурировать прокси.

DRVTiny ★★★★★
() автор топика
Последнее исправление: DRVTiny (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.