Come installare lo strumento di monitoraggio Icinga 2 su Debian 9.2

In questa guida discuteremo come installare e configurare l’ultima versione dello strumento di monitoraggio web Icinga 2 nella release Debian 9.2, al fine di monitorare tutti i dispositivi di infrastruttura di rete importanti, come server fisici o virtuali o VM, router, switch, appliance firewall e altri dispositivi IoT di rete. Può anche monitorare lo stato dei protocolli di rete, come HTTP, FTP, SMTP, IMAP o altri servizi di rete, risorse degli host, sensori fisici, così come software, carico della CPU, memoria, spazio su disco ecc. e quasi tutti i dispositivi di rete interconnessi tramite richieste ICMP o ping.

Icinga, originariamente un fork del sistema di monitoraggio Nagios, è un’applicazione di monitoraggio di rete moderna Open-Source, scritta in PHP e ampiamente distribuita in Linux sotto i componenti Apache/Nginx, PHP e MySQL/MariaDB, noti anche come stack LAMP o LEMP. Icinga 2 può essere configurato per notificare gli amministratori di sistema o di rete tramite email, SMS, chat o altri tipi di avvisi riguardanti interruzioni di rete, sistemi, servizi o altre interruzioni di rete correlate e può anche generare grafici riguardanti i tempi di inattività o le prestazioni della rete.

Requisiti

• Debian 9.2 installato su una macchina bare-metal o su un server privato virtuale.
• Una delle schede di interfaccia di rete del server configurata con un indirizzo IP statico.
• Accesso diretto all’account root tramite console o remotamente tramite servizio SSH o privilegi sudo root su un account locale o remoto.
• Un nome di dominio, privato o pubblico, a seconda della tua distribuzione, con i corretti record DNS configurati per i servizi web.
• Un servizio di posta elettronica correttamente configurato presso la tua sede per inviare avvisi via email.

Configurazione iniziale

Prima di iniziare a installare e configurare lo strumento di monitoraggio web Icinga 2 sul tuo server, assicurati prima che il sistema soddisfi tutti i requisiti software per compilare e installare l’applicazione. Nel primo passaggio, aggiorna i repository di sistema e i pacchetti software emettendo il comando sottostante.

apt update

apt upgrade

Nel passaggio successivo, esegui il seguente comando per installare alcune utilità necessarie che saranno utilizzate per gestire ulteriormente il tuo sistema dalla riga di comando.

apt install wget bash-completion unzip

Successivamente, imposta il nome host per il tuo sistema eseguendo il seguente comando. Sostituisci la variabile del tuo nome host di conseguenza.

hostnamectl set-hostname icinga

Verifica il nome host della macchina e il file hosts emettendo i comandi sottostanti.

hostnamectl

cat /etc/hostname

hostname –s

Infine, riavvia il server Debian per applicare correttamente gli aggiornamenti del kernel e le modifiche al nome host.

init 6

Icinga 2 è un’applicazione di monitoraggio di rete che può essere configurata dal web e la sua funzionalità si basa principalmente sul linguaggio di programmazione server-side PHP. Per eseguire gli script PHP dell’applicazione, deve essere installato e operativo un server web, come il server HTTP Apache, e un gateway di elaborazione PHP. Per installare il server web Apache e l’interprete PHP insieme a tutti i moduli PHP richiesti da Icinga per funzionare correttamente, emetti il seguente comando nella console del tuo server.

apt install apache2 libapache2-mod-php7.0 php7.0-xml php7.0-opcache php7.0-xml php7.0-mbstring php7.0-json php7.0-curl php7.0-ldap php7.0-cli php7.0-gd php7.0-intl php7.0-readline

Dopo che Apache e PHP sono stati installati, verifica se il server web è attivo e in ascolto per connessioni di rete sulla porta 80 emettendo il seguente comando con privilegi di root.

netstat –tlpn

Nel caso in cui l’utilità di rete netstat non sia installata per impostazione predefinita nel tuo sistema Debian, esegui il comando sottostante per installarla.

apt install net-tools

Ispezionando l’output del comando netstat puoi vedere che il server web Apache è in ascolto per connessioni di rete in entrata sulla porta 80. Per lo stesso compito, puoi anche utilizzare il comando ss, che è installato automaticamente per impostazione predefinita su Debian 9.

ss- tulpn

Nel caso in cui tu abbia un firewall abilitato nel tuo sistema, come l’applicazione firewall UFW, dovresti aggiungere una nuova regola per consentire il traffico HTTP di passare attraverso il firewall emettendo il seguente comando.

ufw allow WWW

oppure

ufw allow 80/tcp

Se stai utilizzando regole raw iptables per gestire le regole del firewall nel tuo server Debian, aggiungi la seguente regola per consentire il traffico in entrata sulla porta 80 nel firewall in modo che i visitatori possano navigare nell’interfaccia web di Icinga2.

apt-get install -y iptables-persistent

iptables -I INPUT -p tcp --destination-port 80 -j ACCEPT

systemctl iptables-persistent save

systemctl iptables-persistent reload

Successivamente, abilita e applica i seguenti moduli Apache che saranno utilizzati per reindirizzare le connessioni HTTP a HTTPS, emettendo il comando sottostante.

a2enmod rewrite

systemctl restart apache2

Infine, verifica se la pagina web predefinita del server web Apache può essere visualizzata nei browser dei tuoi client visitando l’indirizzo IP della tua macchina Debian o il tuo nome di dominio o FQDN del server tramite il protocollo HTTP. Se non conosci l’indirizzo IP della tua macchina, esegui i comandi ifconfig o ip a per rivelare l’indirizzo IP del tuo server. La pagina predefinita di Apache per Debian verrà visualizzata nel tuo browser, come mostrato nello screenshot sottostante.

http://your_domain.tld

Per accedere all’applicazione di monitoraggio Icinga 2 tramite il protocollo HTTPS che garantirà il traffico per i tuoi clienti, emetti il seguente comando per abilitare il modulo SSL del server web Apache e il file di configurazione del sito SSL. Inoltre, abilita il modulo di riscrittura di Apache per costringere gli utenti a visitare l’interfaccia tramite HTTPS.

a2enmod ssl rewrite

a2ensite default-ssl.conf

Successivamente, apri il file di configurazione del sito SSL predefinito di Apache con un editor di testo e abilita le regole di riscrittura URL aggiungendo le seguenti righe di codice dopo la direttiva DocumentRoot, come mostrato nel campione sottostante:

nano /etc/apache2/sites-enabled/default-ssl.conf

Estratto del file di configurazione del sito SSL:

  
  Options +FollowSymlinks  
  AllowOverride All  
  Require all granted  

Inoltre, apporta la seguente modifica alla riga VirtualHost affinché appaia come mostrato nell’estratto sottostante:

Chiudi il file TLS di Apache e apri il file /etc/apache2/sites-enabled/000-default.conf per la modifica e aggiungi le stesse regole di riscrittura URL come per il file di configurazione SSL. Inserisci le righe di codice dopo l’istruzione DocumentRoot come mostrato nell’esempio sottostante.

  
  Options +FollowSymlinks  
  AllowOverride All  
  Require all granted  

Infine, riavvia il demone Apache per applicare tutte le regole configurate finora e visita il tuo dominio tramite il protocollo HTTP. Poiché stai utilizzando il certificato auto-firmato emesso automaticamente da Apache durante l’installazione, un avviso di errore dovrebbe essere visualizzato nel browser, come mostrato nello screenshot sottostante.

systemctl restart apache2

https://yourdomain.tld

Accetta l’avviso per continuare e essere reindirizzato alla pagina web predefinita di Apache tramite il protocollo HTTPS. La seguente pagina verrà visualizzata nel tuo browser.

Nel caso in cui l’applicazione firewall UFW blocchi le connessioni di rete in entrata alla porta HTTPS, dovresti aggiungere una nuova regola per consentire il traffico HTTPS di passare attraverso il firewall emettendo il seguente comando.

ufw allow 'WWW Full'

oppure

ufw allow 443/tcp

Se iptables è l’applicazione firewall predefinita installata per proteggere il tuo sistema Debian a livello di rete, aggiungi la seguente regola per consentire il traffico in entrata sulla porta 443 nel firewall in modo che i visitatori possano navigare nel tuo nome di dominio.

iptables -I INPUT -p tcp --destination-port 443 -j ACCEPT

systemctl iptables-persistent save

systemctl iptables-persistent reload

Nel passaggio successivo, dobbiamo apportare alcune ulteriori modifiche al file di configurazione predefinito di PHP per assicurarci che le seguenti variabili PHP siano abilitate e che l’impostazione del fuso orario PHP sia configurata correttamente e corrisponda alla tua posizione geografica del sistema. Apri il file /etc/php/7.0/apache2/php.ini per la modifica e assicurati che le seguenti righe siano impostate come segue. Inoltre, inizialmente, esegui un backup del file di configurazione PHP.

cp /etc/php/7.0/apache2/php.ini{,.backup}

nano /etc/php/7.0/apache2/php.ini

Cerca, modifica e cambia le seguenti variabili nel file di configurazione php.ini:

php_value max_execution_time 300  
php_value memory_limit 128M  
php_value max_input_time 300  
date.timezone = Europe/London

Sostituisci la variabile time.zone di conseguenza con il tuo fuso orario fisico consultando l’elenco dei fusi orari fornito dalla documentazione PHP al seguente link http://php.net/manual/en/timezones.php

Se desideri aumentare la velocità di caricamento delle pagine del tuo sito web tramite il plugin OPCache disponibile per PHP7, aggiungi le seguenti impostazioni OPCache in fondo al file di configurazione dell’interprete PHP, come dettagliato di seguito:

opcache.enable=1   
opcache.enable_cli=1   
opcache.interned_strings_buffer=8   
opcache.max_accelerated_files=10000   
opcache.memory_consumption=128   
opcache.save_comments=1  
opcache.revalidate_freq=1

Chiudi il file di configurazione php.ini e verifica se le variabili sono state correttamente aggiunte emettendo il seguente comando.

tail /etc/php/7.0/apache2/php.ini

Dopo aver apportato le modifiche spiegate sopra, riavvia il demone apache per applicare le nuove modifiche emettendo il seguente comando.

systemctl restart apache2

Infine, crea un file di informazioni PHP eseguendo il seguente comando e verifica se il fuso orario PHP è stato configurato correttamente visitando il file di script PHP info da un browser al seguente URL, come illustrato nell’immagine sottostante. Scorri verso il basso fino all’impostazione date per controllare la configurazione del fuso orario php.

echo ''| tee /var/www/html/info.php

https://domain.tld/info.php

Icinga 2 memorizza utenti, contatti e altri dati raccolti in un database RDBMS specifico, come MySQL, SQLite o PostgreSQL. In questa guida configureremo Icinga con il database MariaDB, un fork del database MySQL, come backend. Emetti il comando sottostante per installare il database MariaDB e il modulo PHP necessario per accedere al database mysql.

apt install mariadb-server mariadb-client php7.0-mysql

Dopo aver installato MariaDB, verifica se il demone è in esecuzione e ascolta le connessioni su localhost, porta 3306, eseguendo il comando netstat o ss.

netstat –tlpn | grep mysql

Quindi, accedi alla console MySQL e proteggi l’account root di MariaDB emettendo i seguenti comandi.

mysql -h localhost

use mysql;  
update user set plugin='' where user='root';  
flush privileges;  
exit

Ora proteggeremo MariaDB eseguendo lo script mysql_secure_installation fornito dai pacchetti di installazione dei repository Debian. Durante l’esecuzione, lo script porrà una serie di domande progettate per proteggere il database MariaDB, come: cambiare la password root di MySQL, rimuovere utenti anonimi, disabilitare accessi remoti all’utente root e eliminare il database di test. Emetti lo script emettendo il comando sottostante e assicurati di digitare sì a tutte le domande poste per proteggere completamente il demone MySQL. Usa l’output dello script sottostante come guida.

sudo mysql_secure_installation

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB

 SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current

password for the root user.  If you've just installed MariaDB, and

you haven't set the root password yet, the password will be blank,

so you should just press enter here.

Enter current password for root (enter for none):

OK, successfully used password, moving on...

Setting the root password ensures that nobody can log into the MariaDB

root user without the proper authorisation.

You already have a root password set, so you can safely answer 'n'.

Change the root password? [Y/n] y

New password:

Re-enter new password:

Password updated successfully!

Reloading privilege tables..

 ... Success!

By default, a MariaDB installation has an anonymous user, allowing anyone

to log into MariaDB without having to have a user account created for

them.  This is intended only for testing, and to make the installation

go a bit smoother.  You should remove them before moving into a

production environment.

Remove anonymous users? [Y/n] y

 ... Success!

Normally, root should only be allowed to connect from 'localhost'.  This

ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] y

 ... Success!

By default, MariaDB comes with a database named 'test' that anyone can

access.  This is also intended only for testing, and should be removed

before moving into a production environment.

Remove test database and access to it? [Y/n] y

 - Dropping test database...

 ... Success!

 - Removing privileges on test database...

 ... Success!

Reloading the privilege tables will ensure that all changes made so far

will take effect immediately.

Reload privilege tables now? [Y/n] y

 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB

installation should now be secure.

Thanks for using MariaDB!

Per testare la sicurezza di MariaDB, prova ad accedere al database dalla console senza password root. L’accesso al database dovrebbe essere negato se non viene fornita alcuna password per l’account root. Se la password è fornita, il processo di accesso dovrebbe essere concesso alla console MySQL, come mostrato nello screenshot sottostante.

mysql -h localhost -u root

mysql -h localhost -u root –p

Successivamente, accedi alla console del database MariaDB e, prima, crea un database da utilizzare per l’applicazione Icinga2 e un utente con una password che sarà utilizzata per gestire questo database, emettendo i seguenti comandi. Sostituisci il nome di questo database, utente e password di conseguenza.

mysql –u root -p

create database icingadb;  
grant all privileges on icingadb.* to 'icinga_user'@'localhost' identified by 'icinga_pass';  
flush privileges   
exit

Successivamente, crea un secondo database MySQL che sarà utilizzato per memorizzare gli utenti dell’interfaccia web di Icinga2, gruppi e altri dati personalizzati dell’interfaccia web, emettendo i seguenti comandi. Inoltre, come nel database sopra, assicurati di sostituire il nome del database e le credenziali di conseguenza e scegli una password forte per l’utente del database.

mysql –u root –p

create database icinga_users;  
grant all privileges on icinga_users.* to 'icinga_user'@'localhost' identified by 'icinga_pass';  
flush privileges   
exit

Per applicare tutte le modifiche effettuate finora, riavvia i demoni MySQL e Apache e verifica se i demoni sono in esecuzione emettendo i seguenti comandi.

systemctl restart mysql apache2

systemctl status mysql apache2

Installa Icinga 2

Dopo che tutti i requisiti di sistema sono stati soddisfatti per installare la nostra applicazione di monitoraggio web, procedi con l’installazione dell’applicazione insieme al modulo MySQL, necessario per accedere al database MySQL, emettendo il comando sottostante. Icinga 2 ha pacchetti binari precompilati offerti dai repository Debian 9. L’installazione sarà eseguita tramite il gestore di pacchetti apt di Debian 9.

apt install icinga2 icinga2-ido-mysql

Durante l’installazione dei binari precompilati di Icinga2 dai repository Debian 9, apparirà una serie di prompt sullo schermo per configurare l’applicazione. Al primo prompt, ti verrà chiesto se desideri configurare e abilitare Icinga 2 per utilizzare il modulo MySQL. Seleziona Sì dal prompt e premi il tasto [invio] per continuare come illustrato nell’immagine sottostante.

Nel prompt successivo, ti verrà chiesto se desideri configurare il database per icinga2-ido-mysql con l’opzione dbconfig-common. Scegli No dal prompt e premi il tasto [invio] per terminare l’installazione di Icinga 2.

Dopo che Icinga 2 è stato installato, avvia il demone Icinga 2 e verifica lo stato del servizio eseguendo i seguenti comandi.

systemctl start icinga2.service

systemctl status icinga2.service

Nel passaggio successivo, installa l’interfaccia web di Icinga 2 e i pacchetti dell’utilità da riga di comando da Debian 9 con l’aiuto del comando sottostante.

apt install icingaweb2 icingacli

Prima di iniziare a configurare Icinga 2 dal web, riavvia il demone Icinga 2 per raccogliere tutte le modifiche e verifica lo stato dell’applicazione emettendo il comando sottostante.

systemctl restart icinga2.service

systemctl status icinga2.service

Successivamente, rimuovi il file index.html predefinito installato dal server web Apache nel percorso webroot e elimina anche il file info.php creato in precedenza.

rm /var/www/html/index.html

rm /var/www/html/info.php

Ora installa lo schema MySQL per il database Icinga eseguendo il seguente comando. Lo schema del database MySQL si trova nella directory /usr/share/icinga2-ido-mysql/schema/.

mysql -u root icingadb -p < /usr/share/icinga2-ido-mysql/schema/mysql.sql

Per eseguire l’installazione di Icinga 2 dal web, genera un token di installazione con il seguente comando. Assicurati di annotare questo token, perché lo scriveremo più tardi nell’interfaccia web quando richiesto.

icingacli setup token create

Nel caso in cui non riesci a trovare questo token in seguito, puoi eseguire il comando sottostante per mostrare il token generato.

icingacli setup token show

Ora procedi con il processo di installazione dell’interfaccia web di Icinga2 aprendo un browser e navigando all’indirizzo IP del tuo server o al nome di dominio tramite il protocollo HTTP al seguente URL.

http://your_domain.tld/icingaweb2/setup

Nella prima schermata di installazione, ti verrà chiesto di scrivere il token generato in precedenza per avviare il processo di installazione, come mostrato nello screenshot sottostante. Dopo aver aggiunto il tuo token, premi il pulsante Avanti per continuare con il processo di installazione.

Nella schermata di installazione successiva ti verrà chiesto di abilitare alcuni moduli per l’installazione web di Icinga 2. Seleziona i moduli Doc e Monitoring e premi il pulsante Avanti per continuare, come illustrato nell’immagine sottostante.

Successivamente, l’installatore web di Icinga2 eseguirà una serie di controlli sui moduli di sistema e PHP per rilevare se tutti i requisiti sono soddisfatti per continuare con il processo di installazione. Scorri verso il basso per elencare tutti i moduli PHP richiesti installati e configurati correttamente e premi il pulsante Avanti per passare alla sezione successiva dell’installazione, come mostrato nelle immagini sottostanti.

Nella schermata successiva, scegli Database come metodo di backend di autenticazione per Icinga Web 2 e premi il pulsante Avanti per continuare.

Nel passaggio successivo, aggiungi il nome del database MySQL di Icinga 2 e le credenziali di accesso per questo database. Questo database sarà utilizzato per memorizzare gli utenti e i gruppi dell’interfaccia web di Icinga 2. Usa le informazioni del database per il secondo database creato in precedenza. Aggiungi icingaweb_db come nome per questa risorsa e lascia le variabili Host, Port e Character set come predefinite. Non selezionare le opzioni Persistente e SSL e premi il pulsante Valida configurazione per convalidare la connessione al database, come mostrato nell’immagine sottostante. Quando hai finito, premi il pulsante Avanti per passare alla sezione successiva dell’installatore.

Ora imposta un nome per il backend di autenticazione del database e premi il pulsante Avanti per continuare, come illustrato nello screenshot sottostante.

Nella schermata successiva, fornisci un nome utente amministrativo per gestire l’interfaccia web di Icinga2 e scegli una password forte per questo account. Quando hai finito, premi il pulsante Avanti per passare alla schermata di installazione successiva.

Configura l’applicazione Icinga e la configurazione dei log con le seguenti impostazioni e quando hai finito premi il pulsante Avanti per continuare.

• Controlla Mostra Stacktraces
• Tipo di archiviazione = Database
• Tipo di registrazione = File
• Livello di registrazione = Errore
• Percorso file = /var/log/icingaweb2/icingaweb2.log

Nella schermata successiva, un messaggio ti informerà che Icinga Web2 è stato configurato con successo e un rapporto dettagliato mostrerà tutte le configurazioni effettuate finora. Rivedi il rapporto e premi il pulsante Avanti per continuare alla sezione successiva dell’installazione.

Premi il pulsante Avanti per procedere con la configurazione del modulo di monitoraggio di Icinga 2, come mostrato nell’immagine sottostante.

Nella schermata successiva aggiungi un nome per il backend di Icinga2, seleziona IDO come tipo di backend e premi il pulsante Avanti per continuare.

Torna alla console del server, apri e modifica il file di configurazione IDO MySQL di Icinga e aggiungi le credenziali del database Icinga (le informazioni del primo database), come mostrato nel campione sottostante.

nano /etc/icinga2/features-enabled/ido-mysql.conf

Estratto del file ido-mysql.conf:

library "db_ido_mysql"  
   
object IdoMysqlConnection "ido-mysql" {  
  user = "icinga_user",  
  password = "icinga_pass",  
  host = "localhost",  
  database = "icingadb"  
}

Salva il file e riavvia il demone Icinga2 per applicare le impostazioni emettendo il seguente comando. Successivamente, torna all’interfaccia web di Icinga e continua il processo di installazione.

systemctl restart icinga2.service

Aggiungi le informazioni del database Icinga per configurare l’ambiente delle risorse IDO. Usa le informazioni del database per il primo database creato, come illustrato nell’immagine sottostante. Dopo aver terminato di modificare le informazioni del database, premi il pulsante Valida configurazione per convalidare la risorsa IDO di monitoraggio di Icinga e premi il pulsante Avanti per passare alla schermata di installazione successiva.

Configura il Trasporto Comandi di Icinga con le seguenti impostazioni e premi il pulsante Avanti per continuare.

• Nome Trasporto = icinga2
• Tipo Trasporto = File di Comando Locale
• File di Comando = /var/run/icinga2/cmd/icinga2.cmd

Nella schermata successiva lascia le variabili predefinite configurate per la sicurezza del monitoraggio come illustrato nell’immagine sottostante e premi il pulsante Avanti per continuare.

Nella schermata successiva, un nuovo messaggio ti informerà che il modulo di monitoraggio di Icinga2 è stato configurato con successo. Rivedi il rapporto visualizzato per controllare se tutto è configurato correttamente e premi il pulsante Fine per completare l’installazione.

Dopo che il processo di installazione è stato completato con successo, un messaggio di congratulazioni ti informerà che Icinga Web 2 è stato installato con successo. Premi il link Accedi per essere reindirizzato alla pagina di accesso di Icinga2.

Accedi a Icinga Web 2 con le credenziali configurate durante il processo di installazione e verrai indirizzato al Dashboard di Icinga Web 2, dove vedrai un elenco dei servizi monitorati attuali e delle risorse di sistema appartenenti al tuo server.

Infine, accedi di nuovo alla riga di comando del server ed esegui i seguenti comandi per assicurarti che i log di Icinga Web 2 vengano creati.

mkdir -p /var/log/icingaweb2/

chgrp -R icingaweb2 /var/log/icingaweb2/

chmod -R 775 /var/log/icingaweb2/

Per costringere i visitatori a navigare nell’interfaccia di Icinga Web 2 tramite il protocollo HTTPS, crea un nuovo file .htaccess nel percorso della radice del documento del tuo server web con il seguente contenuto.

nano /var/www/html/.htaccess

Estratto del file .htaccess:

  
RewriteEngine On  
RewriteCond %{HTTPS} off  
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]   
  
  
RewriteEngine on  
Options -Indexes 

Ecco fatto! Hai installato e configurato con successo l’applicazione di monitoraggio di rete Icinga 2 su Debian 9.2. Tuttavia, poiché il server HTTP Apache utilizza certificati auto-firmati per crittografare il traffico tra il server e il browser del client, un messaggio di avviso verrà sempre generato e visualizzato nel tuo browser ogni volta che accedi al tuo dominio. In questo caso, dovresti acquistare un certificato emesso da un’autorità di certificazione fidata o ottenere un paio di certificati gratuiti da Let’s Encrypt CA.

Per altre configurazioni personalizzate riguardanti Icinga 2, visita la pagina di documentazione al seguente indirizzo: https://www.icinga.com/docs