implantando o cacti (gerador de gráficos) em http seguro (https) [artigo vol]

Implantando o Cacti (gerador de gráficos) em HTTP Seguro (HTTPS)

Autor: Rafael Bruno de Almeida <rafael_balmeida at yahoo.com.br>Data: 11/09/2009

Pré-instalação

As instalações são baseadas em um servidor com o Slackware 12, instalado com o CD 1 FULL.

Slackware 12.2 (slackware-12.2-install-d1.iso)

Determinadas partes deste artigo podem parecer iguais a do meu primeiro artigo aqui da comunidade,justifico este fato relatando que novamente eu postei aqui um arquivo proveniente de uma catalogação deserviços de rede implantados em meu ambiente de rede, adaptando essa catalogação para postá-la aqui nacomunidade em forma de artigo.

Como alguns serviços são utilizados por ambos os softwares, parte deste artigo pode soar como cópia doprimeiro, porém, apenas aproveitei e adaptei a implantação dos serviços por julgar desnecessário um novomanual para estes serviços.

Pré-instalação

Inicialmente crie um diretório onde vamos baixar os pacotes a serem instalados:

# mkdir /pacotes

Agora faça o download dos pacotes em questão dentro deste diretório.

Entre no diretório:

# cd /pacotes

Baixe os pacotes:

Apache:

# wget http://linorg.usp.br/apache/httpd/httpd-2.2.13.tar.gz

PHP:

# wget http://br2.php.net/get/php-5.2.10.tar.gz/from/this/mirror

Cacti:

# wget http://www.cacti.net/downloads/cacti-0.8.7e.tar.gz

Implantando o Cacti (gerador de gráficos) em HTTP Seguro (HTTPS) [... http://www.vivaolinux.com.br/artigos/impressora.php?codigo=10449

1 de 17 13/05/2011 22:55 Romualdo Santos França - Bacharelando em SI

Cacti Spine:

# wget http://www.cacti.net/downloads/spine/cacti-spine-0.8.7e.tar.gz

RRDTOOL:

# wget http://oss.oetiker.ch/rrdtool/pub/rrdtool-1.3.8.tar.gz

RRDTOOL (dependências):

# wget http://cairographics.org/releases/cairo-1.8.8.tar.gz# wget http://cairographics.org/releases/pixman-0.15.20.tar.gz# wget ftp://ftp.slackware-brasil.com.br/slackware-12.0/slackware/x/libXrender-0.9.2-i486-1.tgz# wget http://ftp.gnome.org/pub/gnome/sources/intltool/0.35/intltool-0.35.5.tar.bz2

Após baixar os pacotes nos links acima, iniciaremos as instalações dos componentes.

OpenSSL 0.9.8e

Utilizaremos o OpenSSL para gerar os certificados e chaves para que o site do Cacti funcione em httpseguro (https). Como já informei no meu artigo anterior, no meu cenário isso é extremamente necessário,recomendo a todos, porém, caso não veja necessidade, pule esta parte do processo.

É importante lembrar novamente que como é um sistema de utilização interna, não possuo a necessidade decompra de um certificado válido, portanto eu mesmo decidi gerá-lo por conta própria no meu servidor.

Descompacte os arquivos e entre no diretório:

# tar -zxf openssl-0.9.8e.tar.gz# cd openssl-0.9.8e

Compilando:

# ./config --prefix=/usr/local/open-ssl# make# make install

Abaixo vou descrever os comandos que utilizei para gerar as chaves e certificados do site.

Entre no diretório onde criaremos as chaves:

# cd /etc/ssl/private/

Gerando a chave para a criação dos certificados:

# openssl genrsa -des3 -out nome_chave.key 2048

Resultado:

Generating RSA private key, 2048 bit long modulus...................+++...................+++



e is 65537 (0x10001)Enter pass phrase for nome_chave.key: senhaVerifying - Enter pass phrase for nome_chave.key: senha

Gerando a "requisição de certificado" - arquivo onde estarão os dados dos certificados a serem geradospela CA, que no nosso caso é este mesmo servidor onde o serviço do CACTI irá funcionar:

# openssl req -new -key nome_chave.key -out req.cert.csr

Resultado:

Enter pass phrase for nome_chave.key: senhaYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:BRState or Province Name (full name) [Some-State]:Minas GeraisLocality Name (eg, city) []:Belo HorizonteOrganization Name (eg, company) [Internet Widgits Pty Ltd]: Nome da Empresa ResponsávelOrganizational Unit Name (eg, section) []: OrganizaçãoCommon Name (eg, YOUR name) []: Nome.do.siteEmail Address []:responsá[email protected]

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []: Lembrete para senhaAn optional company name []: Sigla do nome da empresa

Necessitamos, agora, fazer com que a chave funcione sem a necessidade da digitação de sua senha, poissem esta configuração a senha utilizada na criação da chave deverá ser fornecida toda vez que iniciarmos onosso servidor WEB. Abaixo seguem as linhas de comandos necessárias para que isso seja possível.

Gerando um arquivo com senha embutida:

# openssl rsa -in nome_chave.key -out nome_chave.key.insecure

Resultado:

Enter pass phrase for nome_chave.key: senhawriting RSA key

Realize um backup da chave original:

# mv nome_chave.key nome_chave.backup

Faça com que a chave com senha embutida passe ser a chave principal:

# mv nome_chave.key.insecure nome_chave.key

Gerando o certificado para o site do Cacti, com validade de um ano, com base nas informações do arquivo



de "requisição de certificados" (req.cert.csr) e na nossa chave com senha embutida (nome_chave.key):

# openssl x509 -req -days 365 -in req.cert.csr -signkey nome_chave.key -outgraficos.seudominio.com.br.crt

Mova o certificado para o diretório de certificados do servidor:

# mv graficos.seudominio.com.br.crt /etc/ssl/certs/

Enfim, com a(s) chave(s) e certificado(s) gerado(s), podemos passar para o próximo passo, que será aconfiguração do servidor http (Apache). Abaixo seguem os caminhos dos nossos arquivos gerados pararecapitularmos.

Certificado do site: /etc/ssl/certs/graficos.seudominio.com.br.crtChave: /etc/ssl/private/nome_chave.keyArquivo de requisição: /etc/ssl/private/req.cert.csr

Apache 2.2.13 e demais pacotes

Utilizaremos o Apache 2.2.13 para subir nosso servidor WEB.

Volte ao diretório onde estão os pacotes, descompacte os arquivos do Apache e entre no diretório:

# cd /pacotes # tar -zxf httpd-2.2.13.tar.gz # cd httpd-2.2.13

Compilando:

# ./configure --enable-ssl --enable-so # make # make install

Passaremos para a instalação do PHP e das bibliotecas necessárias e voltaremos novamente nasconfigurações do servidor WEB, agora não há a necessidade de configuração e iniciação do serviço.

GD Library 2.0.35 e demais bibliotecas

Volte ao diretório onde estão os pacotes e instale as bibliotecas necessárias:

# cd /pacotes# installpkg gd-2.0.35-i486-2.tgz

Instale as demais bibliotecas e pacotes baixados:

# installpkg libX11-1.1.1-i486-4.tgz# installpkg libXau-1.0.3-i486-1.tgz# installpkg libXdmcp-1.0.2-i486-1.tgz# installpkg libXpm-3.5.6-i486-1.tgz# installpkg libjpeg-6b-i486-5.tgz# installpkg libpng-1.2.37-i486-1_slack12.0.tgz# installpkg libxcb-1.0-i486-2.tgz# installpkg libxml2-2.6.28-i486-1.tgz# installpkg zlib-1.2.3-i486-2.tgz



# installpkg fontconfig-2.4.2-i486-2.tgz# installpkg libXrender-0.9.2-i486-1.tgz

Ou simplesmente:

# installpkg *.tgz

O próximo pacote a ser instalado é o PHP.

PHP 5.2.10

Utilizaremos o PHP 5.2.10 no servidor WEB.

Volte ao diretório onde estão os pacotes, descompacte os arquivos do PHP e entre no diretório:

# cd /pacotes# tar -zxf php-5.2.10.tar.gz# cd php-5.2.10

Compilando:

# ./configure --with-apxs2=/usr/local/apache2/bin/apxs --with-gd --with-mysql --with-snmp --enable-sockets --with-ldap --enable-ftp --with-gettext# make# make install

Agora voltaremos às configurações do arquivo do Apache e testaremos o serviço funcionando em httpseguro.

O Slackware 12 foi instalado com o CD 1 Full, provavelmente ele já deve ter instalado o serviço doApache. Devemos mudar o script de iniciação do serviço para iniciar o Apache correto, que é esse que foicompilado alguns itens atrás. Segue abaixo o código do script.

Crie e edite o arquivo que será o script de iniciação do serviço do Apache:

# touch /etc/rc.d/rc.httpd

Edite-o com o conteúdo abaixo mesmo que o arquivo já exista:

# vi /etc/rc.d/rc.httpd

#!/bin/sh## /etc/rc.d/rc.httpd## Start/stop/restart# the Apache (httpd) web server.## To make Apache start automatically at boot, make this# file executable: chmod 755 /etc/rc.d/rc.httpd## For information on these options, "man apachectl".



case "$1" in 'start') /usr/local/apache2/bin/apachectl -k start ;; 'stop') /usr/local/apache2/bin/apachectl -k stop killall httpd rm -f /var/run/httpd/*.pid ;; 'restart') /usr/local/apache2/bin/apachectl -k restart ;; *) echo "Usage: $0 {start|stop|restart}" ;;esac

Saia do arquivo e o salve com o comando: Esc :wq!

Dê permissão de execução no script:

# chmod +x /etc/rc.d/rc.httpd

Configurando o arquivo principal do Apache:

# vi /usr/local/apache2/conf/httpd.conf

Confira se os módulos abaixo estão no arquivo. Conteúdo do arquivo:

LoadModule php5_module modules/libphp5.soAddHandler php5-script .phpAddType text/html .phpAddType application/x-httpd-php .php .phtmlAddType application/x-httpd-php-source .phps

Troque o usuário do serviço de:

User daemonGroup daemon

Para:

User apacheGroup apache

Coloque um e-mail de preferência no parâmetro:

ServerAdmin [email protected]

Localize o parâmetro:

DirectoryIndex index.html



E o altere para:

DirectoryIndex index.html index.php

Localize o parâmetro:

ServerName example.com.br:80

E o altere para:

ServerName graficos.seudominio.com.br:443

Comente a linha abaixo:

#DocumentRoot "/usr/local/apache2/htdocs"

Altere a porta que o servidor irá trabalhar, de:

Listen 80

Para:

Listen 443

Logo depois vêm as configurações dos sites. Inicialmente configure conforme abaixo:

DocumentRoot /var/www/cacti<Directory "/var/www/cacti">Options FollowSymLinksAllowOverride AllOrder deny,allowAllow from all</Directory>SSLEngine onSSLOptions +FakeBasicAuth +ExportCertData +StrictRequireSSLCertificateFile "/etc/ssl/certs/graficos.seudominio.com.br.crt "SSLCertificateKeyFile "/etc/ssl/private/nome_chave.key "

Os demais parâmetros do arquivo eu deixei default. Assim finalizamos as configurações no arquivo deconfigurações do Apache. Salve o arquivo através do comando: Esc + :wq!

Obs.: Inclusive eu costumo remover qualquer tipo de index do antigo diretório raiz, caso queira fazer omesmo é só rodar este comando:

# rm /usr/local/apache2/htdocs/index*

Obs.: Posteriormente iremos reconfigurar estes parâmetros para o funcionamento do Cacti, de momento outilizaremos apenas para testar o funcionamento do Apache e do PHP.

Em nosso site configuramos seu diretório raiz para /var/www/cacti, tendo em vista que esse diretório aindanão existe, devemos criá-lo com o comando abaixo:

# mkdir /var/www/cacti



Para saber se está tudo funcionando, criaremos o arquivo conforme abaixo:

# touch /var/www/cacti/info.php

Edite este arquivo com o seguinte comando:

# echo "<?php phpinfo(); ?>" > /var/www/cacti/info.php

Agora é iniciar o servidor Apache conforme o script que criamos no início das configurações.

# /etc/rc.d/rc.httpd start

Confira se a porta do serviço está aberta:

# nmap -sS localhost

Resultado:

Interesting ports on localhost (127.0.0.1):Not shown: 1692 closed portsPORT STATE SERVICE443/tcp open https

Obs.: Adicione uma entrada ao seu DNS, resolvendo, assim, o nome que você cadastrou no site(ServerName graficos.seudominio.com.br:443) para o IP deste servidor. Se necessário, de acordo com cadaambiente, deverá ser feito também um NAT para a publicação na WEB.

Realize um teste no site através do seu browser:

https://graficos.seudominio.com.br/info.phpouhttps://ip.ip.ip.ip/info.php

Deverá aparecer uma página com as informações do PHP que instalamos (5.2.10).

RRDTOOL - Dependências e RRDTOOL 1.3.8

RRDTOOL - Dependências

Instalaremos os pacotes para que RRDTOOL seja instalado. Volte ao diretório onde estão os pacotes e façaas instalações conforme abaixo:

# cd /pacotes# tar -jxf intltool-0.35.5.tar.bz2# cd intltool-0.35.5

Compilando:

# ./configure# make# make install



Próximo pacote:

# cd ..# tar -zxf pixman-0.15.20.tar.gz# cd pixman-0.15.20

Compilando:


Próximo pacote:

# cd ..# tar -zxf cairo-1.8.8.tar.gz# cd cairo-1.8.8

Compilando:


RRDTOOL 1.3.8

O RRDTOLL será utilizado pelo sistema do Cacti para a geração dos gráficos. Volte ao diretório onde estãoos pacotes, descompacte os arquivos do RRDTOOL e entre no diretório:

# cd /pacotes# tar -zxf rrdtool-1.2.30.tar.gz# cd rrdtool-1.2.30

Compilando:


Crie um link (atalho) para o seu executável, pois o Cacti busca o mesmo no local abaixo:

# ln -s /usr/local/rrdtool-1.3.8/bin/rrdtool /usr/loca/bin/rrdtool

MySQL

O Slackware 12 foi instalado com o CD 1 Full, provavelmente ele já deve ter instalado o serviço doMySQL. Como o serviço já instalado no servidor está dentro das especificação necessárias ao Cacti,utilizaremos o serviço do MySQL já existente.

Conceda permissão de execução ao arquivo de iniciação:



# chmod +x /etc/rc.d/rc.mysqld

Instale as bases iniciais:

# mysql_install_db

Altera o dono e o grupo do diretório das bases do MySQL:

# chown mysql.mysql /var/lib/mysql/ -R

Inicie o MySQL:

# /etc/rc.d/rc.mysqld start

Altera a senha o usuário root do MySQL:

# mysqladmin -u root password senha

Cacti 0.8.7e e Apache 2.2.13

Iniciaremos agora a instalação do serviço do Cacti, utilizado para a geração dos mais variados gráficosprovenientes da estrutura de TI. Abaixo alguns links importantes.

Documentação oficial:

docs.cacti.netinstallation - cacti.net

Download:

cacti.net - download

Fóruns:

forums.cacti.net

Outros:

additional scripts - cacti.net

O Cacti foi instalado conforme as documentações acima. Crie o diretório onde os arquivos do Cacti serãoalocados:

# mkdir /usr/local/cacti

Volte ao diretório onde estão os pacotes, descompacte os arquivos do Cacti e os mova para o diretóriocriado acima:

# cd /pacotes



# tar -zxf cacti-0.8.7e.tar.gz# mv cacti-0.8.7e/* /usr/local/cacti

Crie a base do sistema, importe as informações do arquivo cacti.sql fornecido na distribuição:

# mysqladmin --user=root create cacti# mysql cacti < /usr/local/cacti/cacti.sql

Crie o usuário e uma senha para o Cacti no MySQL:

# mysqladmin -u root mysql

Após estar no prompt do MySQL...

mysql> GRANT ALL ON cacti.* TO cactiuser@localhost IDENTIFIED BY 'somepassword';mysql> flush privileges;

Saia do prompt do MySQL:

mysql> quit;

Configure o arquivo de configuração do Cacti com a referência do banco de dados, conforme abaixo:

# vi /usr/local/cacti/include/config.php

$database_type = "mysql";$database_default = "cacti";$database_hostname = "localhost";$database_username = "cactiuser";$database_password = "somepassword";$database_port = "3306";

Crie o usuário do Cacti:

# useradd -m cactiuser# passwd cactiuser

Resultado:

Changing password for nagiosEnter the new password (minimum of 5, maximum of 127 characters)Please use a combination of upper and lower case letters and numbers.New password: senhaRe-enter new password: senha

Conceda as permissões necessárias ao diretório do Cacti:

# chown -R cactiuser.users /usr/local/cacti/

Inclua o script do Poller do Cacti no crontab do usuário cactiuser e configure-o para ser executado a cadaum minuto.

Faça logon no servidor com o usuário cactiuser e rode o comando abaixo:



$ crontab -e

#Cacti - poller*/1 * * * * php /usr/local/cacti/poller.php > /dev/null 2>&1

Salve o arquivo e saia dele através do comando: Esc + :wq!

Edite as permissões do arquivo de logs do Cacti:

# chown cactiuser.apache /usr/local/cacti/log/cacti.log

Edite o arquivo do Apache novamente, agora com as configurações definitivas do Cacti:

# vi /usr/local/apache2/conf/httpd.conf

Substitua o conteúdo do arquivo, de:

DocumentRoot /var/www/cacti<Directory "/var/www/cacti">Options FollowSymLinksAllowOverride AllOrder deny,allowAllow from all</Directory>SSLEngine onSSLOptions +FakeBasicAuth +ExportCertData +StrictRequireSSLCertificateFile "/etc/ssl/certs/graficos.seudominio.com.br.crt "SSLCertificateKeyFile "/etc/ssl/private/nome_chave.key "

Por:

DocumentRoot /usr/local/cacti<Directory "/usr/local/cacti">Options FollowSymLinksDirectoryIndex index.phpAllowOverride AllOrder deny,allowAllow from all</Directory>SSLEngine onSSLOptions +FakeBasicAuth +ExportCertData +StrictRequireSSLCertificateFile "/etc/ssl/certs/graficos.seudominio.com.br.crt "SSLCertificateKeyFile "/etc/ssl/private/nome_chave.key "

Salve o arquivo e saia dele através do comando: Esc + :wq!

Reinicie o Apache:

# /etc/rc.d/rc.httpd restart

Acesse o site do Cacti, inicie a configuração via web e siga as configurações conforme as imagens abaixo:

https://graficos.seudominio.com.brou



https://ip.ip.ip.ip



O usuário e senha default são: admin.

Cacti Spine 0.8.7e



Instalaremos o módulo Spine, responsável por aumentar o desempenho do Cacti. Maiores informações nolink abaixo:

spine info - cacti.net

Volte ao diretório onde estão os pacotes e faça as instalações conforme abaixo:

# cd /pacotes# tar -zxf cacti-spine-0.8.7e.tar.gz# cd cacti-spine-0.8.7e

Compilando:

# aclocal# libtoolize --force# autoheader# autoconf# automake# ./configure# make# make install

Configure o arquivo de configuração do Cacti Spine com a referência do banco de dados conforme abaixo:

# vi /usr/local/spine/etc/spine.conf

DB_Host localhostDB_Database cactiDB_User cactiuserDB_Pass somepasswordDB_Port 3306

Especifique nos parâmetros do sistema o local do Poller do Cacti Spine. Acesse:

https://graficos.seudominio.com.br/settings.php?tab=path

E configure os parâmetros como a imagem abaixo:

Finalizando

Enfim, agora é só acessar o site do Cacti:



https://graficos.seudominio.com.br

Autentique com a senha padrão do serviço - usuário: admin, senha: admin, que deverá ser trocada noprimeiro acesso, inicie o cadastro de equipamentos e posteriormente a geração de seus gráficos.

Como exemplo mostrarei dois passos iniciais do sistema:

Cadastro de um equipamento no nosso caso um roteador cisco;Gerar um gráficos de uma de suas interfaces de rede.

Após fazer logon no sistema, clique na guia create devices na página inicial:

Na página de cadastro de equipamentos clique em add:

Preencha os parâmetros conforme abaixo e conforme seu ambiente e clique em create:

Com o equipamento cadastrado, iremos agora gerar um gráfico:

Volte a página inicial e clique em create graphs:



Selecione o host que iremos gerar os gráficos, selecione a interface e o tipo do gráfico a ser gerado e cliqueem create:

Agora é só acessar a guia Graph Management e visualizar os gráficos:

Outras configurações de visualização, cores, templates etc poderão ser customizadas através da guia dosistema, porém, por questões de tempo e conhecimento, prefiro não postar tantos detalhes, afinal, a melhorforma de customizar a ferramenta é a adequando ao seu gosto ou ambiente... No mais é isso!

http://www.vivaolinux.com.br/artigo/Implantando-o-Cacti-(gerador-de-graficos)-em-HTTP-Seguro-(HTTPS)

Voltar para o site



implantando o cacti (gerador de gráficos) em http seguro (https) [artigo vol]

Documents