Guide de démarrage rapide

Ce guide de démarrage vous permettra de comprendre le fonctionnement de Rudder à travers son installation sur une plateforme dédiée et la mise en œuvre d'une règle de sécurisation d'un service SSH.

Installer Rudder

Installer Vagrant et Virtualbox

Ce quickstart se base sur Vagrant et sur Virtualbox pour des raisons de simplicité. Il est bien entendu possible d'installer Rudder sans ces outils en se basant sur la documentation.

Il vous faudra donc installer Virtualbox :

apt-get install virtualbox

ou

yum install virtualbox

Puis Vagrant en version 1.4 minimum. Si cette version n'est pas proposée par votre distribution, vous pouvez la télécharger sur le site de vagrant. Sinon :

apt-get install vagrant

ou

yum install vagrant

Installer une plateforme avec un serveur Rudder

Normation fournit une configuration Vagrant toute prête pour vous permettre de tester Rudder sous Vagrant.
Il faut donc commencer par la récupérer :

git clone https://github.com/Normation/rudder-vagrant.git
cd rudder-vagrant

Puis lancer un serveur Rudder et une VM contenant un agent Rudder. Cela peut prendre un peu de temps, c'est le moment de préparer une tasse de café :

vagrant up

Si l'installation a bien fonctionné, vous devriez pouvoir vous accéder à la page de connexion de Rudder à l'adresse https://localhost:8081/rudder

none

Se connecter au serveur Rudder

Aller sur https://localhost:8081/rudder puis utilisez les informations suivantes pour vous connecter :

Login: admin
Password: admin

Vous pouvez maintenant découvrir l'interface de Rudder.

none

Accepter le nœud dans Rudder

Un nœud n'est géré par Rudder qu'à partir du moment où il est accepté. Ceci est l'occasion de vérifier qu'un nœud est bien celui qu'il prétend.

Pour cela allez dans l'onglet "Node Management / Accept new node", cliquez sur "Select all" puis sur "Accept into Rudder".

Rudder vous demande alors une confirmation pour ce nœud, cliquez sur "Accept" pour l'accepter.

Vous avez enfin un Rudder installé avec un nœud prêt à être configuré.

none
none

Utiliser Rudder pour configurer un service

Ajouter une directive

Une directive est une configuration spécifique d'un service.
Nous allons commencer par créer une configuration pour ssh.

Pour cela, aller dans l'onglet "Configuration Policy / Directives" puis sélectionner la technique "OpenSSH Server".

Nommer la directive

Cliquer sur "Create with last version" puis rentrer comme nom de directive "Serveur SSH securisé".

Enfin cliquer sur "Configure"

Changer la configuration

Changer "Allow password authentication" en "No"

Changer "Allow root to login using SSH" en "No"

Vous pouvez en profiter pour modifier la configuration d'OpenSSH pour mieux la faire correspondre à vos besoins.

Puis cliquez sur "Save".

none
none
none

Ajouter une règle

Une règle est l'application d'un ensemble de directives à un ensemble de machines.

Une fois qu'une règle est appliquée, la configuration décrite dans les directive sera appliquée sur les machines concernées.

Créons une règle de sécurisation des nœuds.

Pour cela, aller dans l'onglet "Configuration Policy / Rules" puis cliquer sur "New Rule".

Nommer la règle "Sécurisation" puis cliquer sur "Save"

Configurer la règle

Dans les paramètres de la règle, cliquer sur "Serveur SSH securisé" puis sur "All managed nodes" pour appliquer la directive que nous venons de créer à tous les nœuds gérés par Rudder. Puis cliquer sur "Save".
none
none

Laisser Rudder appliquer la règle

Rudder va vérifier toutes les 5 minutes que les règles sont bien appliquées. Il vous suffit d'attendre 5 minutes pour que la règle s'applique à votre nœud.

Si vous êtes impatients, il est possible de forcer le lancement de l'agent Rudder sur un nœud.

Pour cela, connectez-vous au noeud :

vagrant ssh node

Puis demandez à l'agent de se mettre a jour :

sudo rudder agent update
sudo rudder agent run

Une fois le nœud a jour, le serveur peut enfin afficher la compliance finale dans l'interface. Celle-ci est disponible soit sur la page d'accueil, ou individuellement pour chaque règle dans la page des règles.

Vous pourrez constater que la règle a bien été appliquée. Dans l'interface des règles, il se peut que vous obteniez une compliance incomplète, ce qui arrive lorsque l'application n'est pas terminée pour tous les serveurs.

Vous avez maintenant un serveur SSH configuré de façon sécurisé sur votre nœud.
Notez que si vous ajoutez une machine à la règles celle-ci sera automatiquement configurée sans action supplémentaire de votre part.

none

Besoin d'un coup de main ?

Toute l'équipe est à votre disposition pour vous aider !