Versions Compared

Old Version 2

changes.mady.by.user Shinken Trainee

Saved on

compared with

New Version 3

changes.mady.by.user Shinken Trainee

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Contexte

Cette page a pour but de décrire la mise en place d'une configuration minimale nécessaire pour un Linux supervisé par le pack linux_by_ssh

Procédure de configuration

Comment configurer la connexion SSH ?

Pour l'exécution correcte des commandes du pack linux_by_ssh, vous aurez besoin d'une connexion SSH.

Quelques informations au préalable sont nécessaires pour la bonne compréhension de cette partie.

  • D'une part, du côté de l'architecture Shinken, l'exécution des checks ( plus exactement les sondes ) sont réalisées par les Pollers, en tant qu'utilisateur "shinken".
    • Donc l'utilisateur "shinken " devra avoir accès aux clefs SSH que vous utiliserez pour la connexion SSH sur les serveurs distants monitorés.
  • D'autre part, du côté des machines Linux supervisées,
    • un nom d'utilisateur, et une clé SSH ou mot de passe sont requis.
    • Dans le modèle linux_by_ssh, des données sont prévues à cet effet.

Nous conseillons l'utilisation d'un utilisateur spécifique ( pour le service de supervision ) ainsi que l'utilisation d'une connexion via clé SSH, afin d'éviter l'utilisation du super utilisateur root qui n'est pas requis par les checks.

Côté client ( machine ou serveur Linux supervisé )

Si votre utilisateur de supervision n'est pas déjà créé sur votre linux à superviser, depuis un terminal de la machine supervisée "linux-1" ( en root ), il faut créer un nouvel utilisateur local avec mot de passe.

  • dans cet exemple, nous utilisons "user-service-shinken" mais vous pouvez créer un autre utilisateur.


Code Block
languagetext
themeEmacs
               [root@linux-1 ~]# useradd -m -r user-service-shinken 
[FACULTATIF] : [root@linux-1 ~]# passwd user-service-shinken
Info
Notez que la mise en place d'un mot de passe pour cet utilisateur n'est pas obligatoire, mais il vous faudra copier la clé SSH via la méthode manuelle expliquée plus bas, car la commande automatique ssh-copy-id requiert un mot de passe pour l'utilisateur du système de destination.

Côté serveur Poller

Copie de la clé SSH de votre utilisateur de supervision "shinken" depuis le serveur Poller "shinken-poller" ( pour cet exemple ), vers le serveur supervisé "linux-1" pour l'utilisateur "user-service-shinken" ( dans cet exemple, IP : 192.168.1.19

Copie clé SSH via commande ssh-copy-id

Soit via la méthode "automatique" via la commande ssh-copy-id en se connectant au préalable via l'utilisateur shinken sur le ou les serveurs pollers :

Code Block
languagetext
themeEmacs
[root@shinken-poller ~]# su - shinken
[shinken@shinken-poller ~]#  ssh-copy-id -i ~/.ssh/id_rsa.pub user-service-shinken@linux-1
The authenticity of host '192.168.1.19 (192.168.1.19)' can't be established.
RSA key fingerprint is 00:ff:ee:dd:cc:bb:aa:d6:d3:79:1d:f6:93:47:80:27.
Are you sure you want to continue connecting (yes/no)? yes
user-service-shinken@linux-1's password: XXXXXXXXXXX
Now try logging into the machine, with "ssh 'user-service-shinken@linux-1'", and check in:
  .ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.

Copie clé SSH via commande ssh

Soit via une commande SSH depuis le serveur Poller, il s'agit d'ajouter la clé publique au fichier "authorized_keys" du serveur supervisé ( ici linux-1 ) :

Code Block
languagetext
themeEmacs
cat /var/lib/shinken/.ssh/id_rsa.pub | ssh root@linux-1 "cat >> /home/user-service-shinken/.ssh/authorized_keys"

Ici la connexion se fait via l'utilisateur root du serveur linux-1 ( mais vous pouvez utiliser votre propre utilisateur ), le but étant de rajouter, en une commande SSH, la clé de l'utilisateur shinken du Poller /var/lib/shinken/.ssh/id_rsa.pub à la fin du fichier /home/user-service-shinken/.ssh/authorized_keys du serveur supervisé.

Copie clé SSH manuellement

Soit via méthode "manuelle" via rajout de la clé dans le fichier authorized_keys

  • Récupérez la clé publique de l'utilisateur qui va établir la connexion SSH, et la copier

    Code Block
    languagetext
    themeEmacs
    [root@shinken-poller ~]# su - shinken
[-bash-4.1]$ cat .ssh/id_rsa.pub

-> copiez la clé

  • Connectez-vous sur le serveur linux supervisé avec votre utilisateur de supervision et collez cette clé dans le fichier "authorized_keys" de l'utilisateur de supervision :

    Code Block
    languagetext
    themeEmacs
    [root@linux-1 ~]# su - user-service-shinken
[-bash-4.1]$ vi .ssh/authorized_keys

-> collez la clé

Test de connexion

Test de connexion au serveur "linux-1" en tant qu'utilisateur "user-service-shinken" via l'utilisateur du Poller ( shinken ) :

Code Block
languagetext
themeEmacs
[root@shinken-poller ~]# su - shinken
[shinken@shinken-poller ~]# ssh user-service-shinken@linux-1 -i .ssh/id_rsa

La connexion doit s'établir avec succès.

Problème de connexion : regarder dans les logs

Si la connexion échoue, les logs du service "sshd" peuvent donner des indications précieuses sur la cause de l'échec. La méthode de consultation de ces informations dépend de la distribution utilisée et de son ancienneté.

Ci-dessous, la liste non exhaustive des méthodes connues pour consulter les logs, sur les distributions officiellement supportées par Shinken :


Pour Redhat / Almalinux / Rockylinux / Centos :

  • la commande journactl permet d'afficher les logs du service :

    Code Block
    languagetext
    themeEmacs
    journalctl -xf -u sshd

  • Le fichier de log "secure" contient les informations concernant les dernières connexions :

    Code Block
    languagetext
    themeEmacs
    cat /var/log/secure

Pour Debian :

  • la commande journactl permet d'afficher les logs du service (le nom de service utilisé n'est pas le même que pour les autres distributions) :

    Code Block
    languagetext
    themeEmacs
    journalctl -xf -u ssh



Ces logs permettent, entre autres, de savoir :

  • Si le problème de connexion provient du client ou du serveur.
  • Si les algorithmes de chiffrement utilisés sont cohérents entre les serveurs et permettent l'établissement de la connexion. 
  • Si les droits attribués aux répertoires contenant les clés d'authentification sont les bons.

Exemple :

Dans l'exemple ci-dessous, les droits n'ont pas été correctement appliqués au répertoire de Shinken contenant les clés SSH. La connexion n'a pas pu s'établir 

Code Block
languagetext
themeEmacs
[root@alpachouette-shinken01 shinken]# journalctl -xf -u sshd
-- Logs begin at Wed 2025-09-03 14:44:35 CEST. --
Sep 04 15:32:21 shinken-server sshd[1372868]: Authentication refused: bad ownership or modes for directory /var/lib/shinken/.ssh
Sep 04 15:32:21 shinken-server sshd[1372868]: Connection closed by authenticating user shinken 172.17.0.37 port 48152 [preauth]
Sep 04 15:32:25 shinken-server sshd[1372968]: Authentication refused: bad ownership or modes for directory /var/lib/shinken/.ssh
Sep 04 15:32:25 shinken-server sshd[1372968]: Connection closed by authenticating user shinken 172.17.0.37 port 48160 [preauth]
Sep 04 15:32:25 shinken-server sshd[1372971]: Authentication refused: bad ownership or modes for directory /var/lib/shinken/.ssh

Côté interface de configuration

Dans chaque hôte héritant du modèle d'hôte "linux_by_ssh", "linux_by_ssh_advanced" ou "linux_by_ssh_extra",

  • vous aurez 4 données concernant la connexion SSH ( SSH_KEY, SSH_KEY_PASSPHRASE, SSH_PORT, SSH_USER )
  • Ces 4 données seront par la suite utilisées par tous les checks.
    • Par défaut, ces données sont configurées pour utiliser des variables globales défini par défaut dans le fichier /etc/shinken/resource.d/ssh.cfg ( sur le serveur central hébergeant l'Arbiter ).
    • Si vous souhaitez les changer globalement,
      • vous pouvez modifier le fichier "/etc/shinken/resource.d/ssh.cfg",
      • ou faire vos propres modèles qui héritent des modèles d'hôtes proposés par ce pack en surchargeant ces 4 valeurs ( ainsi vous aurez vos propres valeurs par défaut ).


DonnéeDescriptionValeur par défautValeur par défaut à l'installation de shinken
SSH_KEY

Chemin vers la clé générée sur votre serveur hébergeant le démon Poller

$SSH_KEY$~/.ssh/id_rsa
SSH_KEY_PASSPHRASE

Phrase secrète utilisé pour déverrouiller la clé privée de l'utilisateur (si celle-ci est protégée par une passphrase). La clé privée déverrouillée est ensuite utilisée pour authentifier l'utilisateur.

$SSH_KEY_PASSPHRASE$''
SSH_PORT

Port de connexion SSH

$SSH_PORT$22
SSH_USER

Utilisateur pour la connexion SSH

$SSH_USER$shinken
Info
titleRemarque
  • Toutes les valeurs par défaut renvoient à une globale ( voir la page Les Variables ( Remplacement dynamique de contenu - Anciennement les Macros ) ) qui sont modifiables dans le fichier /etc/shinken/resource.d/ssh.cfg, attention cependant, la modification dans le fichier direct entraînera une modification sur tous les hôtes utilisant ces globales.
  • La modification des valeurs par défaut présentes dans le fichier du serveur ( /etc/shinken/resource.d/ssh.cfg ) nécessite un redémarrage intégral de Shinken 
    Excerpt Include
    Les 7 Démons et 1 script
    Les 7 Démons et 1 script
    nopaneltrue



Panel

Image Added

Par exemple, voici le paramétrage d'une connexion via Utilisateur/Mot de passe :

Panel

Image Added

La supervision d'un Linux par un poller Shinken se fait par requête SSH.

  • Sur le poller Shinken, la sonde SSH installée est responsable d'envoyer les requêtes et de traiter les réponses.
    • Sur les serveurs Linux à superviser, c'est l'agent sshd qui est responsable de répondre aux requêtes.