Pandora: QuickGuides ES: Configuracion de comunicacion segura con tentacle

From Pandora FMS Wiki
Jump to: navigation, search

1 Guía de configuración de Tentacle con opciones de seguridad

Vamos a explicar paso a paso cómo configurar tanto los agentes como el servidor de Tentacle para una comunicación segura, utilizando también un Tentacle proxy.

En primer lugar, es muy recomendable realizar pruebas a mano desde los terminales para asegurarnos de que la configuración, parámetros y certificados son correctos.

1.1 Para pruebas manuales

1. Levantar tentacle_server manualmente:

 sudo -u user tentacle_server -x password -e tentaclecert.pem -k tentaclekey.pem -f cacert.pem -s /tmp -v

2. Levantar proxy manualmente (sólo si se va a utilizar proxy de tentacle, en caso contrario, omitir este paso):

 sudo -u user tentacle_server -b ip_server -g 41124

3. Lanzar tentacle_client manualmente:

 sudo -u user tentacle_client -a ip_proxy/ip_server -x password -e tentaclecert.pem -k tentaclekey.pem -v /bin/ls (o cualquier archivo)


Template warning.png

Es necesario SIEMPRE indicar en los parámetros las rutas absolutas donde se encuentren los certificados, por ejemplo /home/tentaclecert.pem

 


Cuando hayamos comprobado que el envío del archivo ha tenido éxito, podemos proceder a configurar permanentemente el tentacle_server y los clientes.

Para configurar el tentacle_server con las opciones de certificado, hay que editar script de arranque del servicio tentacle_serverd, comúnmente ubicado en /etc/init.d/tentacle_serverd, lo mismo para configurar un punto intermedio para que actúe como proxy. Para configurar los agentes para que utilicen la comunicación segura de tentacle, hay que editar los ficheros de configuración pandora_agent.conf, comúnmente ubicados en /etc/pandora/pandora_agent.conf.

1.2 Configuración permanente

Template warning.png

Para utilizar las opciones seguras de tentacle, por favor, verifique que el paquete perl(IO::Socket::SSL) está instalado en su sistema.

 


1. Arrancar el servidor de tentacle con SSL. Modificar el script de arranque /etc/init.d/tentacle_serverd. Buscar la línea TENTACLE_EXT_OPTS, y añadir "-x password -e tentaclecert.pem -k tentaclekey.pem -f cacert.pem". Quedando así:

 TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem -f /home/cacert.pem"

2. Levantar tentacle proxy. Modificar script de arranque /etc/init.d/tentacle_serverd de la máquina que va a actuar como proxy. Del mismo modo que en el anterior punto, buscar la línea TENTACLE_EXT_OPTS, y añadir "-b ip_server -g 41121". Quedando así:

 TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -b 192.168.70.208 -g 41121"

3. Arrancar el agente de Pandora con las opciones correspondientes. Modificar el archivo pandora_agent.conf, buscar la línea server_opts y añadir "-x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem". No hay que olvidar que el token server_ip hay que configurarlo apuntando a la IP del proxy en lugar de la del servidor principal, en caso de que se vaya a utilizar. Quedaría así:

 server_opts -x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem


Info.png

Si no se quiere utilizar alguna de las opciones, como por ejemplo la contraseña, basta con no utilizar el parámetro correspondiente.