Pandora: Documentation es: GestionRemota

From Pandora FMS Wiki
Jump to: navigation, search

Volver a Indice de Documentacion Pandora FMS

1 Gestión remota de equipos con Pandora FMS

1.1 Introducción

Pandora FMS es una herramienta de monitorización, y dada su filosofía, no utiliza los agentes para poder conectarnos a los equipos, de forma que utiliza otros métodos para permitir a los operadores controlar a distancia los sistemas monitorizados. Algunos sistemas, como routers y switches pueden ser gestionados mediante Telnet o SSH y para poder acceder a ellos sólo hace falta lanzar el comando. Para ello utilizaremos una extensión opcional basada en la herramienta Anytermd que desde la version 7.0 ya no viene instalada de serie. Está presente en la librería de módulos de Pandora FMS [1]

La herramienta estándar en Pandora FMS para acceder a equipos remotos (sean windows, mac o Windows) es eHorus [2] una herramienta de control remoto que al ser WEB, está totalmente integrada en la interfaz de Pandora FMS.

1.2 Usando eHorus con Pandora FMS

eHorus es un sistema de gestión remota de equipos que se basa en la nube (SaaS) para conectarse a ellos, independientemente de cambios en la IP, firewalls u otros problemas comentados anteriormente.

Remote-computer-access-schema.png

Para habilitarlo, es necesario activar la integración en su sección de la configuración.

Ehorus setup.png

Tras ello, será necesario introducir un login válido de un usuario del servicio. Este usuario se usará para autorizar la conexión remota a los agentes provisionados.

Es posible, aunque probablemente no necesario, usar otro proveedor de eHorus editando los campos API Hostname (switch.ehorus.com por defecto) y API Port (18080 por defecto).



Ehorus setup full.png



Info.png

Recuerde probar si la conexión es válida antes de guardar los cambios

 


Una vez configurada la conexión, podrá comprobar que aparece un nuevo campo personalizado en la vista de edición de los agentes llamado eHorusID. Este campo deberá contener el ID del agente de eHorus a gestionar. Puede encontrar este ID en varios sitios, como en el agente de ehorus corriendo en la máquina o en el Portal de eHorus (ver imagen).



Ehorus agent id.png



Si está utilizando agentes de Pandora FMS 7.0 o superior, ya soportan automáticamente un parámetro para obtener automáticamente el ID de eHorus, mediante el token de configuración siguiente:

ehorus_conf <path> 

El token de configuración admite la ruta absoluta a un fichero de configuración válido de un agente de eHorus. El agente creará un campo personalizado llamado eHorusID que contiene la clave de identificación del agente de eHorus.

Info.png

El agente de eHorus a gestionar deberá ser visible por el usuario configurado en la sección de configuración de la integración

 


Cuando el agente de Pandora FMS tenga definido el ID del agente de eHorus en su campo personalizado, los usuarios administradores o los que tengan permisos de gestión del agente, verán una nueva pestaña en el menú del agente desde la que poder usar al fin el cliente de eHorus desde dentro de Pandora FMS.

El ehorus id (EKID) se introduce en este campo personalizado del agente:

Ehorus pandora custom.jpg

Una vez configurado, solo hay que hacer click en cualquiera de las secciones que nos presenta la extensión de control remoto con ehorus de ese agente: control remoto via Shell, escritorio remoto, vista de procesos, servicios o copia de archivos:

Ehorus submenu.jpg
Ehorus c1.jpg

Nosotros siempre recomendamos el uso de una password local, en el agente de eHorus. En el caso de estar configurado, se nos pedirá de forma interactiva:

Ehorus c2.jpg

Una vez autenticado, podremos acceder a la sesión interactiva de línea de comandos (linux, mac y windows) con permisos de root:

Ehorus c3.jpg

Y lo mismo con la gestión de procesos remotos y copia de ficheros (tanto subida como bajada):

Ehorus c4.jpg
Ehorus c5.jpg

Y por supuesto, el escritorio remoto (windows, linux y mac):

Ehorus d1.jpg

Info.png

Para más información sobre eHorus, puedes visitar su web [3]. eHorus es gratuito hasta 10 equipos. eHorus está desarrollado por el mismo equipo que ha hecho posible Pandora FMS.

 


Template warning.png

Si está ejecutando Pandora FMS en Windows, descargue el almacén de certificados CA de Mozilla en formato PEM y añada curl.cainfo={path}\cacert.pem al fichero php.ini.

 


1.3 Conectándose a sistemas remotos usando SSH y/o Telnet con Pandora FMS

Existe una extensión que permite a los usuarios conectarse directamente con dispositivos remotos vía SSH o Telnet. Esto se puede hacer con la extensión "Remote gateway". Este componente necesita una configuración especial, que no se instala "por defecto" en la mayoría de instalaciones de Pandora FMS más información y descargas en la librería de módulos de Pandora FMS [4]

Esta extensión no funciona bien con versiones modernas de Centos/RHEL debido a restricciones de seguridad en la llamada interna forkptt(). Recomendamos usar eHorus para reemplazar esta funcionalidad.



Ssh snapshot1.png





Ssh snapshot2.png



Pandora FMS usa una herramienta llamada "anytermd", para crear una especie de proxy entre el navegador del usuario y el destino remoto. Esta herramienta lanza un demonio, escuchando en un puerto, que ejecuta un comando, desviando toda el contenido de la conexión al navegador del usuario. Esto significa que todas las conexiones se hacen desde el servidor de Pandora FMS, y que el servidor de Pandora tiene que tener instalados los clientes de ssh y telnet del sistema. Esta sería una arquitectura del sistema:



Anytermd.png



1.3.1 Instalación y configuración

El código fuente está ubicado en extras/anytermd en el repositorio SVN del proyecto. Adicionalmente se puede encontrar como paquetes RPM y tarball en las descargas oficiales del proyecto.

Asegúrese de que ha instalado primero los paquetes: gcc-c++, make, boost-devel y zlib-devel.

Ejecute:

make

Luego, instale manualmente el binario en /usr/bin

cp anytermd /usr/bin

Para ejecutar el demonio del servidor, tendrá que hacerlo " a mano", ya que no arranca con el servidor o la consola de Pandora. La extensión de conexión remota SSH/Telnet utilizará un puerto diferente para cada tipo de conexión, SSH al 8022 y Telnet al 8023.

Tiene un script de arranque para anytermd en contrib/anytermd. Copielo a /etc/init.d/anytermd y ejecútelo asi para arrancarlo:

/etc/init.d/anytermd start

Por defecto usa el usuario "pandora" para su ejecución, si quiere cambiarlo, modifique el script.

Info.png

Asegúrese de que los puertos 8022 y 8023 quedan libres y abiertos desde el navegador de usuario al servidor donde se ejecuta la consola de Pandora y anytermd

 


1.3.1.1 Securización de la instalación de Anytermd

Recomendamos por seguridad, restringir el acceso a los puertos 8022 y 8023 de forma que sólo aquellos sistemas autorizados puedan acceder a ellos. Para ello recomendamos usar reglas de firewall (iptables en Linux):

En el host donde se ejecute Anytermd:

iptables -I INPUT -p tcp --dport 8023 -s <source_ip> -j ACCEPT
iptables -I INPUT -p tcp --dport 8022 -s <source_ip> -j ACCEPT

Donde <source_ip> es la IP del usuario/navegador que tendrá acceso a esta funcionalidad.

Volver a Indice de Documentación Pandora FMS