监控与服务安全-CSDN博客

本文链接：https://blog.csdn.net/m0_56801312/article/details/117671896

【●】监控与服务安全
一、监控概述
1.监控的目的
●报告系统运行状况
—每一部分必须同时监控
—内容包括吞吐量、反应时间、使用率等
●提前发现问题
—进行服务器性能调整前，知道调整什么
—找出系统的瓶颈在什么地方

2.监控的资源类别
●公开数据
—Web、FTP、SSH、数据库等应用服务
—TCP或UDP端口
●私有数据
—CPU、内存、磁盘、网卡流量等使用数量
—用户、进程等运行信息

二、监控软件
1.系统监控命令
●ps ●ifconfig
●uptime ●netstat或ss
●free ●ping
●swapon -s ●traceroute
●df -h ●iostat
2. 自动化监控系统
●Cacti
— 基于SNMP协议的监控软件，强大的绘图能力
●Nagios
— 基于Agent监控，强大的状态检查与报警机制
—插件极多，自己写监控脚本嵌入到Nagios非常方便
●Zabbix
— 基于多种监控机制，支持分布式监控
3.常用系统监控命令
● 查看内存信息
● 查看交换分区信息
● 查看磁盘信息
● 查看CPU信息
● 查看网卡信息
● 查看端口信息
● 查看网络连接信息

步骤一：使用命令查看计算机状态数据
1）查看内存与交换分区信息
[root@proxy ~]# free #查看内存信息
[root@proxy ~]# free | awk '/Mem/{print $4}' #查看剩余内存容量
[root@proxy ~]# swapon -s #查看交换分区信息
文件名类型大小已用权限
/dev/sda3 partition 4194300 218268 -1

步骤二：查看磁盘与CPU利用率
1）查看磁盘信息
[root@proxy ~]# df #查看所有磁盘的使用率
文件系统 1K-块已用可用已用% 挂载点
/dev/sda2 476254208 116879624 335159084 26% /
/dev/sda1 198174 133897 49737 73% /boot
[root@proxy ~]# df | awk '/\/$/{print $5}' #查看根分区的利用率

2）查看CPU平均负载
[root@proxy ~]# uptime #查看CPU负载（1，5，15分钟）
23:54:12 up 38 days, 14:54, 9 users, load average: 0.00, 0.04, 0.05
[root@proxy ~]# uptime |awk '{print $NF}' #仅查看CPU的15分钟平均负载
0.05

步骤二：查看网卡信息、端口信息、网络连接信息
1）查看网卡信息
[root@proxy ~]# ifconfig eth0 #查看eth0网卡的信息
[root@proxy ~]# ifconfig eth0 |awk '/inet /{print $2}' #查看IP地址信息
192.168.4.5
[root@proxy ~]# ifconfig eth0 |awk '/RX p/{print $5}' #网卡接受数据包流量
10625295
[root@proxy ~]# ifconfig eth0 |awk '/TX p/{print $5}' #网卡发送数据包流量
4130821

2）查看端口信息
[root@proxy ~]# ss -ntulp #查看本机监听的所有端口
#-n以数字显示端口号
#-t显示tcp连接
#-u显示udp连接
#-p显示监听端口对应的程序名称

3）查看网络连接信息
[root@proxy ~]# ss -antup #查看所有的网络连接信息（-a查看所有连接状态信息）

三、Zabbix基础
1.Zabbix简介
●Zabbix是一个高度集成的监控解决方案
●可以实现企业级的开源分布式监控
●Zabbix通过C/S模式采集监控数据（client/server）
●Zabbix通过B/S模式实现Web管理（ /server）

2.
1）监控服务器（需要使用Web页面操作，因此需要先部署LNMP）
— 监控服务器可以通过SNMP或Agent采集数据
— 数据可以写入MySQL、Oracle等数据库中
—服务器使用LNMP实现web前端的管理
2）被监控主机
—被监控主机需要安装Agent
—常见的网络设备一般支持SNMP

四、部署Zabbix监控平台
步骤一：部署监控服务器
1）安装LNMP环境
Zabbix监控管理控制台需要通过Web页面展示出来，并且还需要使用MySQL来存储数据，因此需要先为Zabbix准备基础LNMP环境。

[root@proxy~]# yum -y install gcc pcre-devel openssl-devel
[root@proxy ~]# cd lnmp_soft/
[root@proxy~]# tar -xf nginx-1.12.2.tar.gz
[root@proxy~]# cd nginx-1.12.2
[root@proxy~nginx-1.12.2]# ./configure --with-http_ssl_module
[root@proxy~nginx-1.12.2]# make && make install
[root@proxy~]# yum -y install php php-mysql php-fpm
[root@proxy~]# yum -y install mariadb mariadb-devel mariadb-server

2）修改Nginx配置文件
配置Nginx支持PHP动态网站，因为有大量PHP脚本需要执行，因此还需要开启Nginx的各种fastcgi缓存，加速PHP脚本的执行速度。

[root@proxy~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
… …
fastcgi_buffers 8 16k; #缓存php生成的页面内容，8个16k
fastcgi_buffer_size 32k; #缓存php生产的头部信息，32k
fastcgi_connect_timeout 300; #连接PHP的超时时间，300秒
fastcgi_send_timeout 300; #发送请求的超时时间，300秒
fastcgi_read_timeout 300; #读取请求的超时时间，300秒
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi.conf; #[注意这里别出错]
}

3）启动服务
启动Nginx、PHP-FPM、MariaDB服务，关闭SELinux与防火墙。

[root@proxy~]# systemctl start mariadb #启动服务
[root@proxy~]# systemctl start php-fpm #启动服务
[root@proxy~]# systemctl enable mariadb #设置开机自启
[root@proxy~]# systemctl enable php-fpm #设置开机自启
[root@proxy~]# /usr/local/nginx/sbin/nginx #启动服务
[root@proxy~]# echo /usr/local/nginx/sbin/nginx >> /etc/rc.local
[root@proxy~]#chmod +x /etc/rc.local #通过rc.local设置开机自启
[root@proxy~]# firewall-cmd --set-default-zone=trusted
[root@proxy~]# setenforce 0
[root@proxy~]# sed -i '/SELINUX/s/enforcing/permissive/' /etc/selinux/config

步骤二：部署监控服务器Zabbix Server
1）源码安装Zabbix Server
多数源码包都是需要依赖包的，zabbix也一样，源码编译前需要先安装相关依赖包。
[root@proxy ~]# cd lnmp_soft/
[root@proxy lnmp_soft]# yum -y install net-snmp-devel \
curl-devel autoconf libevent-devel # 安装相关依赖包
[root@proxy lnmp_soft]# tar -xf zabbix-3.4.4.tar.gz
[root@proxy lnmp_soft]# cd zabbix-3.4.4/
[root@proxy zabbix-3.4.4]# ./configure --enable-server \
--enable-proxy --enable-agent --with-mysql=/usr/bin/mysql_config \
--with-net-snmp --with-libcurl
#注释： --enable-server安装部署zabbix服务器端软件
--enable-agent安装部署zabbix被监控端软件
--enable-proxy安装部署zabbix代理相关软件
--with-mysql指定mysql_config路径
--with-net-snmp允许zabbix通过snmp协议监控其他设备（如交换机、路由器等）
--with-libcurl安装相关curl库文件，这样zabbix就可以通过curl连接http等服务，测试被监控主机服务的状态
[root@proxy zabbix-3.4.4]# make && make install

2）创建并初始化数据库（root用户默认没有密码）
[root@proxy ~]# mysql
mysql> create database zabbix character set utf8; #创建数据库，数据库名称为zabbix，character set utf8是支持中文字符集
mysql> grant all on zabbix.* to zabbix@'localhost' identified by 'zabbix'; # 创建可以访问数据库的账户与密码，用户名是zabbix，密码是zabbix
mysql> exit #退出数据库
[root@proxy ~]# cd lnmp_soft/zabbix-3.4.4/database/mysql/
[root@proxy mysql]# mysql -uzabbix -pzabbix zabbix < schema.sql
[root@proxy mysql]# mysql -uzabbix -pzabbix zabbix < images.sql
[root@proxy mysql]# mysql -uzabbix -pzabbix zabbix < data.sql
#刚刚创建是空数据库，zabbix源码包目录下，有提前准备好的数据、使用mysql导入这些数据即可（注意导入顺序）、-u 指定数据库用户名，-p 指定数据库密码

●测试
[root@proxy~]# mysql -uzabbix -pzabbix -h localhost zabbix
#-u指定用户名，-p指定密码，-h指定服务器IP，最后的zabbix是数据库名称。使用zabbix账户（密码为zabbix）连接localhost服务器上面的zabbix数据库
mysql> show tables ; #查看有没有数据表
mysql> exit #退出数据库

3）修改zabbix_server配置并启动监控服务（修改Zabbix_server配置文件，设置数据库相关参数，启动Zabbix_server服务）
[root@proxy ~]# vim /usr/local/etc/zabbix_server.conf
DBHost=localhost # 85行，定义哪台主机为数据库主机，localhost为本机
DBName=zabbix # 95行，设置数据库名称
DBUser=zabbix # 111行，设置数据库账户
DBPassword=zabbix # 119行，设置数据库密码
LogFile=/tmp/zabbix_server.log # 38行，日志的位置，排错使用，该行仅查看即可
[root@proxy ~]# useradd -s /sbin/nologin zabbix
#服务不允许以root身份启动，不创建用户无法启动服务（用户不需要登录系统）
#创建zabbix用户才可以以zabbix用户的身份启动服务，启动服务后可以通过ps aux查看进程是以什么用户的身份启动的

◆ 通过创建service文件管理zabbix服务。
[root@proxy ~]# vim /usr/lib/systemd/system/zabbix_server.service
[Unit]
Description=zabbix server
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/tmp/zabbix_server.pid
ExecStart=/usr/local/sbin/zabbix_server
ExecStop=/bin/kill $MAINPID
[Install]
WantedBy=multi-user.target
[root@proxy ~]# systemctl enable zabbix_server --now
[root@proxy ~]# ss -ntulp |grep zabbix_server # 确认连接状态，端口10051
tcp LISTEN 0 128 *:10051 *:* users:(("zabbix_server",pid=23275,fd=4),("zabbix_server",pid=23274,fd=4)

4) 修改Zabbix_agent配置文件，启动Zabbix_agent服务
[root@proxy ~]# vim /usr/local/etc/zabbix_agentd.conf
Server=127.0.0.1,192.168.2.5 #93行，允许哪些主机监控本机
ServerActive=127.0.0.1,192.168.2.5 #134行，允许哪些主机通过主动模式监控本机
Hostname=zabbix_server #145行，设置本机主机名（名称可以任意）
LogFile=/tmp/zabbix_agentd.log #设置日志文件（不需要修改）
UnsafeUserParameters=1 #280行，是否允许自定义监控传参

◆ 编写zabbix_agentd的service文件，通过systemd管理服务。
[root@proxy ~]# vim /usr/lib/systemd/system/zabbix_agentd.service
[Unit]
Description=zabbix agent
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/tmp/zabbix_agentd.pid
ExecStart=/usr/local/sbin/zabbix_agentd
ExecStop=/bin/kill $MAINPID
[Install]
WantedBy=multi-user.target
[root@proxy ~]# systemctl enable zabbix_agentd --now
[root@proxy ~]# ss -ntulp |grep zabbix_agentd #查看端口信息为10050
tcp LISTEN 0 128 *:10050 *:* users:(("zabbix_agentd"
,pid=23505,fd=4),("zabbix_agentd",pid=23504,fd=4)

5)上线Zabbix的Web页面
[root@proxy ~]# cd lnmp_soft/zabbix-3.4.4/frontends/php/
[root@proxy php]# cp -r * /usr/local/nginx/html/
[root@proxy php]# chown -R apache.apache /usr/local/nginx/html/
#这里修改所有者使用:或者.都可以。

● 修改权限的原因如下：
#php-fpm的账户是apache，后面我们需要让php-fpm对网站目录具有读写操作，而/usr/local/nginx/html默认是root所有，仅root具有写权限，php-fpm无写权限

●浏览器访问Zabbix_server服务器的Web页面
火狐浏览器访问【 firefox http://192.168.2.5/index.php 】
#第一次访问，初始化PHP页面会检查计算机环境是否满足要求，如果不满足会给出修改建议
#默认会提示PHP的配置不满足环境要求，需要修改PHP配置文件

●根据错误提示，安装依赖、修改PHP配置文件，满足Zabbix_server的环境要求。
[root@proxy ~]# yum -y install php-gd php-xml
[root@proxy ~]# yum -y install php-bcmath php-mbstring
[root@proxy ~]# vim /etc/php.ini
date.timezone = Asia/Shanghai #878行，设置时区
max_execution_time = 300 #384行，最大执行时间，秒
post_max_size = 32M #672行，POST数据最大容量
max_input_time = 300 #394行，服务器接收数据的时间限制
[root@proxy ~]# systemctl restart php-fpm #重启服务

◆修改完PHP配置文件后，再次使用浏览器访问服务器

步骤三：部署被监控主机Zabbix Agent
1）源码安装Zabbix agent软件[在2.100和2.200做相同操作（以web1为例）]。
[root@web1 ~]# useradd -s /sbin/nologin zabbix
[root@web1 ~]# yum -y install gcc pcre-devel autoconf
拷贝zabbix-3.4.4.tar.gz到web1和web2
[root@proxy lnmp_soft]# scp zabbix-3.4.4.tar.gz 192.168.1.200:/root/
[root@proxy lnmp_soft]# scp zabbix-3.4.4.tar.gz 192.168.2.200:/root/
[root@web1 ~]# tar -xf zabbix-3.4.4.tar.gz
[root@web1 ~]# cd zabbix-3.4.4/
[root@web1 zabbix-3.4.4]# ./configure --enable-agent
[root@web1 zabbix-3.4.4]# make && make install

2）修改agent配置文件，启动Agent
[root@web1 ~]# vim /usr/local/etc/zabbix_agentd.conf
Server=127.0.0.1,192.168.2.5 #93行，谁可以监控本机（被动监控模式）
ServerActive=127.0.0.1,192.168.2.5 #134行，谁可以监控本机（主动监控模式）
Hostname=web1 #145行，被监控端自己的主机名
EnableRemoteCommands=1 #69行，监控异常后，是否允许服务器远程过来执行命令，如重启某个服务
UnsafeUserParameters=1 #280行，是否允许自定义key传参
[root@web1 ~]# firewall-cmd --set-default-zone=trusted
[root@web1 ~]# sed -i '/SELINUX/s/enforcing/permissive/' /etc/selinux/config
[root@web1 ~]# setenforce 0
[root@web1 ~]# vim /usr/lib/systemd/system/zabbix_agentd.service
[Unit]
Description=zabbix agent
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/tmp/zabbix_agentd.pid
ExecStart=/usr/local/sbin/zabbix_agentd
ExecStop=/bin/kill $MAINPID
[Install]
WantedBy=multi-user.target
[root@web1 ~]# systemctl enable zabbix_agentd --now
#启动服务器并设置开机自启动

五、配置及使用Zabbix监控系统
●使用Zabbix监控平台监控Linux系统
—监控CPU
—监控内存
—监控进程
—监控网络流量
—监控硬盘
步骤一：添加监控主机
主机是Zabbix监控的基础，Zabbix所有监控都是基于Host主机。
1）使用火狐浏览器登录http://192.168.2.5/index.php，通过Configuration（配置）-->Hosts（主机）-->Create Host（创建主机）添加被监控Linux主机。
2）添加被监控主机时，需要根据提示输入被监控Linux主机的主机名称（最好与电脑的主机名一致，但也允许不一致）、主机组、IP地址等参数。

步骤二：为被监控主机添加监控模板
点击<模板>,Zabbix通过监控模板来对监控对象实施具体的监控功能，根据模板来定义需要监控哪些数据，对于Linux服务器的监控，Zabbix已经内置了相关的模板（Template OS Linux），选择模板并链接到主机即可

步骤三：查看监控数据
1）查看监控数据，登录Zabbix Web控制台，点击Monitoring(监控中)—> Latest data(最新数据)，正过滤器中填写过滤条件，根据监控组和监控主机选择需要查看哪些监控数据。
2）找到需要监控的数据后，可以点击后面的Graph（图形）查看监控图形。
------------------------------------------------------------------
六、自定义Zabbix监控项目
● 统计用户数量
[root@web1 ~]# cat /etc/passwd | wc -l
22
[root@web1 ~]# awk 'END{print NR}' /etc/passwd
22
[root@web1 ~]# sed -n '$=' /etc/passwd
22

步骤一：被监控主机创建自定义key（在192.168.2.100操作）
1）创建自定义key
★ 自定义key语法格式为：UserParameter=自定义key名称,命令。
★ 自定义的key文件一般存储在/usr/local/etc/zabbix_agentd.conf.d/目录，这里还需要修改zabbix_agentd.conf文件，允许自定义监控key，来读取该目录下的所有文件。
[root@web1 ~]# vim /usr/local/etc/zabbix_agentd.conf
Include=/usr/local/etc/zabbix_agentd.conf.d/ #264行，加载配置文件目录
[root@web1 ~]# cd /usr/local/etc/zabbix_agentd.conf.d/
[root@web1 zabbix_agentd.conf.d]# vim count.line.passwd
UserParameter=count.line.passwd,sed -n '$=' /etc/passwd

2）测试自定义key是否正常工作
[root@web1 ~]# systemctl restart zabbix_agentd #重启agent服务
[root@web1 ~]# zabbix_get -s 127.0.0.1 -k count.line.passwd #查看计算机有多少用户
21

步骤二：创建监控模板
模板、应用集与监控项目的关系图
监控项目1 监控项目1
模块一: cluster 监控项目2 监控项目2
监控项目3 监控项目3
应用集1 应用集1
1）添加监控模板
◆ 登录Zabbix Web监控控制台，通过Configuration(配置)-->Template(模板)-->Create template(创建模板)，填写模板名称，新建模板群组。
◆ 创建模板后，默认模板中没有任何应用集、监控项、触发器、图形等。

2）创建应用集
◆ 创建完成模板后，默认模板中没有任何应用集、监控项、触发器、图形等资源。这里需要点击模板后面的Application（应用集）链接打开创建应用集的页面。
◆ 点击Application（应用集）后，会刷新出图-16所示页面，在该页面中点击Create application（创建应用集）按钮。
◆ 设置应用集名称，名称可以任意。

3）创建监控项目item（监控项）
◆ 与创建应用集一样，在模板中还需要创建监控项目，如图-18所示，点击items（监控项），并在刷新出的新页面中选择Create items（创建监控项）创建项目。
◆ 接下来，还需要给项目设置名称（名称可以任意）及对应的自定义key（必须与前面自定义的监控key名称一致）。

4）将模板链接到被监控主机
◆ 将完整的监控模板制作完成后，就可以将模板链接到主机实现监控功能了。首先找到被监控主机Configuration（配置）-->Hosts（主机）。
5）点击需要的被监控主机链接，打开监控主机设置页面，在Template（模板）页面中选择需要链接到该主机的模板，在此选择刚刚创建的模板count_line.passwd添加即可。
6）查看监控数据图形
点击Monitoring(监控中)—> Latest data(最新数据)，根据需要选择条件，查看监控图形