Forem: Yaren Sarı

Liman MYS - Domain Eklentisi | Ağaç Yapısı Üzerinden Belirli Organizasyona Yetki Verme

Yaren Sarı — Wed, 25 Dec 2024 05:51:24 +0000

Liman'da bilindiği üzere ağaç yapılı bazı eklentiler bulunmakta. Buna örnek olarak Domain Eklentisi'ni gösterebiliriz. Domain Eklentisi'nden alınan aşağıdaki görselde ağaç yapısına bir örnek görülebilir.

Bu yazımızda tüm ağaç yerine kullanıcı bazlı olarak belirlenen Organizasyon Birimi'ne yetki verilmesini göstereceğiz.

Adım 1: Rol Tanımlanması

Liman MYS Sistem Ayarları -> Roller

İstediğimiz isimle Rol oluşturuyoruz.

Rol Ayarlarını tanımlıyoruz:

Ekleyeceğimiz kullanıcıyı -yani yalnızca belirlenen organizasyona yetki vereceğimiz kullanıcıları- kullanıcı listesinden seçtikten sonra kullanıcıları rol grubumuza ekliyoruz.

Sunucu ve eklenti izinleri olarak da AD sunucumuzu ve Domain eklentimizi ekliyoruz:

Fonksiyon izinleri kısmında SHOW_TREE ve LIST_OBJECTS izinlerinin verilmesi gerekmektedir.

Şimdi sıra hangi OU bazında yetki vereceğimize geldi. Öncelikle eklentimize gelerek istediğimiz OU'ya sağ tıkladıktan sonra gelen seçeneklerden DN Kopyala diyerek DN bilgisini kopyaladık.

Ardından tekrar sırasıyla Sistem Ayarları -> Roller -> Özel Veriler geliyoruz. "+ Ekle" butonundan özel veri ekleme ekranını açıyoruz ve Adı kısmına GOZUKECEK_OU yazıyoruz, Değeri kısmına ise az evvel kopyaladığımız OU DN'ini yapıştırıyoruz ve Ekle butonuna tıklayarak veriyi ekliyoruz.

Adım 2 : Yetkilendirilmiş Kullanıcı

Role atadığımız kullanıcının ağaç yapısında sadece özel verilerde eklediğimiz OU'yu görüntüleyebiliyoruz.

NOT:

Eğer yetkilendirme olarak OU ve ağaç görüntüleme dışında yetki vermek isterseniz şu adımları takip edebilirsiniz:

Toplam 42 adet kayıt arasından OU Silme, Tayfa Ayarlarını Okuma, Domain'e Alma Yetkisi, Grup Silme gibi yetkileri seçerek rolünüze atayabilirsiniz.

Liman MYS - Uygulama İzleme Ortamı Oluşturulması

Yaren Sarı — Thu, 24 Oct 2024 08:38:32 +0000

Bu rehberde, OpenTelemetry monitoring sistemi kurmak için Keycloak, OpenTelemetry Collector, Clickhouse ve Appmon gibi gerekli bileşenlerin kurulum adımları anlatılmaktadır. Adım adım açıklanan bu süreçte, Docker ve PostgreSQL gibi araçlar da kullanılacaktır. Aşağıdaki yönergeleri takip ederek sisteminizi kurabilirsiniz.

1. Keycloak Kurulumu (Opsiyonel)

Keycloak, sisteminize kimlik doğrulama ve yetkilendirme eklemek için kullanılabilir. Kurulumu Docker üzerinden gerçekleştirebilirsiniz. Aşağıdaki docker-compose.yml dosyasını oluşturun:

services:
  my-keycloak:
    image: quay.io/keycloak/keycloak:24.0
    environment:
      KC_HOSTNAME: 1.1.1.1
      KC_HOSTNAME_PORT: 7080
      KC_HOSTNAME_STRICT_BACKCHANNEL: "true"
      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin
      KC_HEALTH_ENABLED: "true"
      KC_LOG_LEVEL: info
    healthcheck:
      test: ["CMD", "curl", "-f", "http://1.1.1.1:7080/health/ready"]
      interval: 15s
      timeout: 2s
      retries: 15
    command: ["start-dev", "--http-port", "7080", "--https-port", "7443"]
    ports:
      - "7080:7080"
      - "7443:7443"
    networks:
      - local_network
networks:
  local_network:
    driver: bridge

Bu dosya hazır olduktan sonra terminalde şu komutları çalıştırarak Keycloak’ı başlatın:

docker compose up -d
docker compose ps

2. OpenTelemetry Collector Kurulumu

OpenTelemetry Collector, verilerinizi toplamak ve bir veri havuzuna aktarmak için kullanılır. İlk olarak gerekli depoyu klonlayın:

git clone https://github.com/fthrslntgy/opentelemetry-collector-contrib.git

Aşağıda gösterilen exporter/clickhouseexporter/example/otel-collector-config.yml dosyasını düzenleyerek Collector’ü yapılandırın:

receivers:
  otlp:
    protocols:
      grpc:
        endpoint: 0.0.0.0:4317
      http:
        endpoint: 0.0.0.0:4318

exporters:
  debug:
    verbosity: detailed
  clickhouse:
    endpoint: tcp://10.10.10.10:9000
    database: otel
    username: default
    password: "1"
    logs_table_name: otel_logs
    traces_table_name: otel_traces
    ttl: 72h
    timeout: 10s
    sending_queue:
      queue_size: 100
    retry_on_failure:
      enabled: true
      initial_interval: 5s
      max_interval: 30s
      max_elapsed_time: 300s

processors:
 batch:
   timeout: 5s
   send_batch_size: 100000

service:
 extensions: [oidc/server]
 pipelines:
    traces:
     receivers: [otlp]
     exporters: [clickhouse, debug]
     processors: [batch]

Collector’ü çalıştırmak için:

# exporter/clickhouseexporter dizininde
make run

NOT: Log bilgisi için: docker logs -f

3. Clickhouse Kurulumu

Clickhouse, yüksek performanslı bir veri tabanı sistemidir ve OpenTelemetry verilerinizin saklanacağı yerdir. Aşağıdaki komutlar ile kurulum yapabilirsiniz:

sudo apt-get install -y apt-transport-https ca-certificates curl gnupg

curl -fsSL 'https://packages.clickhouse.com/rpm/lts/repodata/repomd.xml.key' | sudo gpg --dearmor -o /usr/share/keyrings/clickhouse-keyring.gpg

echo "deb [signed-by=/usr/share/keyrings/clickhouse-keyring.gpg] https://packages.clickhouse.com/deb stable main" | sudo tee \
    /etc/apt/sources.list.d/clickhouse.list

sudo apt-get update

sudo apt-get install clickhouse-client clickhouse-server (Bu aşamada password girilir.)

Kurulum yapıldıktan sonra /etc/clickhouse-server/config.xml içerisindeki listen_host kısmı şu şekilde düzenlenir:

systemctl restart clickhouse-server

clickhouse-client  // cli'a giriş yapılır
create database otel  // veritabanı oluşturulur

4. Appmon Kurulumu

Appmon, PostgreSQL veritabanı ile çalışan bir izleme aracıdır. Öncelikle PostgreSQL kurulumunu yapın:

sudo apt install postgresql postgresql-contrib
sudo -u postgres psql
# CREATE USER otel_monitor WITH PASSWORD '1';
# CREATE DATABASE otel_monitor WITH OWNER otel_monitor;

Ardından, Appmon backend’i kurun:

sudo apt install ./otel-monitor-82-x64.deb

nano /opt/otel-monitor/.env
DB_DRIVER="postgres"
DB_HOST="host"
DB_NAME="otel_monitor"
DB_PASS="1"
DB_PORT=5432
DB_USER="otel_monitor"
CH_DB_HOST="10.150.238.243"
CH_DB_NAME="otel"
CH_DB_PASS="Passw0rd"
CH_DB_PORT=9000
CH_DB_USER="default"

Çevre değişkenlerini ayarladıktan sonra:

sudo systemctl restart otel-monitor

5. Go Client ile Test Etme

Go client ile sistemi test etmek için aşağıdaki linkteki örneği kullanabilirsiniz:

https://github.com/limanmys/otel-go-client-example

Kurulum tamamlandığında, servisleriniz OpenTelemetry Collector üzerinden Clickhouse’a veri göndermeye başlayacaktır. Arayüzde doğru yapılandırılmış servislerle verileri izlemeye başlayabilirsiniz.

Liman Arayüzünde nasıl izleneceği şu yazıdan ayrıntılı anlatılmıştır:
Liman Uygulama İzleme Eklentisi Kurulumu

Liman MYS Üzerinden CUPS Güvenlik Güncellemeleri ile İlgili Paketlerin Güncellenmesi

Yaren Sarı — Sun, 06 Oct 2024 21:45:31 +0000

Bu doküman, CUPS yazıcı sunucusu ile ilgili ortaya çıkan güvenlik açıklarını (CVE-2024-47176 ve CVE-2024-47076) kapatmak için Liman MYS arayüzü üzerinden nasıl paket güncellemeleri yapılacağını açıklamaktadır. Güvenlik açıklarının detayları ve etkileri Ubuntu tarafından yayınlanan duyurularda belirtilmiştir:

CVE-2024-47176: cups-browsed <= 2.0.1 sürümünde, IPP protokolü üzerinden gerçekleştirilen Get-Printer-Attributes isteklerinin bir saldırgan tarafından yönlendirilebilmesine olanak tanır. Daha fazla bilgi için bu bağlantıyı inceleyebilirsiniz.
CVE-2024-47076: libcupsfilters <= 2.1b1 sürümünde, IPP sunucusundan dönen öznitelikler doğru bir şekilde doğrulanmadığı ve temizlenmediği için potansiyel olarak zararlı verilerin CUPS sistemine ulaşmasına neden olabilir. Detaylar için bu bağlantıyı inceleyebilirsiniz.

CUPS Güvenlik Güncelleme Tablosu

Bu tablo, ilgili Ubuntu sürümlerinin hangi USN bildirimleri tarafından etkilendiğini, güncellenmesi gereken paketleri ve ilgili CVE bilgilerini içermektedir.

USN	Paket	CVE Bilgisi	Etkilenen Ubuntu Sürümleri
USN-7043-1	cups-browsed, cups-browsed	CVE-2024-47176 , CVE-2024-47076	Ubuntu 22.04 LTS, Ubuntu 20.04 LTS
USN-7043-2	cups-browsed, cups-browsed	CVE-2024-47176	Ubuntu 18.04 LTS (ESM)
USN-7044-1	libcupsfilters	CVE-2024-47076	Ubuntu 24.04 LTS
USN-7042-1	cups-browsed	CVE-2024-47176	Ubuntu 24.04 LTS

Tablodaki bilgiler, ilgili güncellemeleri ve paket versiyonlarını içermektedir. Bu güncellemeler, CUPS ve ilgili bileşenlerdeki güvenlik açıklarını kapatmak için uygulanmalıdır.

Liman MYS ile Güncelleme Adımları

1. Yama ve Etkilenen Paketlerin Detaylı İncelemesi

Yamalar ana sayfasında yamalar, cihazlar ve etkilenen paketler durumlarını ve güncelleme gereksinimlerini kontrol edebilirsiniz. Burada, kurulum durumları ve yeniden başlatma gereksinimleri yer almaktadır.

Bu görselde, yama isimleri, yayınlanma tarihleri, önem dereces etkilendiği paketler gibi bilgileri görebilirsiniz.

2. CVE'ye Göre Güvenlik Açıklarını Görüntüleme

Liman MYS arayüzünde Yamalar > CVE'lere Göre sekmesine gidin. Burada sistemde bulunan CVE'leri, önem derecesine ve CVSS puanına göre listeleyebilirsiniz.

Ekran görüntüsünde CVE-2024-47176 ve CVE-2024-47076 numaralı güvenlik açıklarının durumunu görebilirsiniz. Önem derecesi "Orta" olarak belirlenmiş ve ilgili yamalar yayınlanmıştır.

3. Yamalara Göre Listeleme

Yamalar > Yamalara Göre sekmesine giderek, yayınlanmış yamaları detaylı bir şekilde görüntüleyin. İlgili CUPS yamalarının adlarını ve yayınlanma tarihlerini buradan takip edebilirsiniz.

Bu görselde, USN-7043-1, USN-7043-2, USN-7044-1 ve USN-7042-1 yamaları görünmektedir. İlgili paketlerin "Kurulmamış" durumları ve yeniden başlatma gereksinimleri belirtilmiştir.

4. Belirli Bir Yamayı Uygulama

Yama listesinde, USN-7043-1 veya USN-7043-2 yamasını seçin ve üzerine tıklayarak detaylarına gidin. Açılan ekranda, yamayı hangi cihazlarda uygulayacağınızı ve mevcut durumunu görebilirsiniz. Ardından Seçili Cihazları Yamala butonuna tıklayarak işlemi başlatın.

5. Uygulanan Yamaları Kontrol Etme

Yamaların başarıyla uygulanıp uygulanmadığını kontrol etmek için Yamalar > Tamamlanan Yamalar sekmesine gidin. Burada ilgili USN ve yamaların durumlarını görebilirsiniz.

Tamamlanan yamaların listelendiği bu görselde, yamanın durumu ve yamanın uygulandığı cihaz bilgisi yer almaktadır.

Liman MYS arayüzü üzerinden CUPS güvenlik açıklarını kapatmak için ilgili yamaların nasıl uygulanacağını ve sistemlerin nasıl güncel tutulacağını gösterdik.
İlgili yamaların uygulanması ve cihazların güvenliğinin sağlanması için doğru adımları takip etmek önemlidir. Düzenli olarak güncellemelerinizi kontrol ederek sisteminizi güvenli tutabilirsiniz.

Liman MYS Eklenti Güncellenmesi

Yaren Sarı — Mon, 23 Sep 2024 19:22:11 +0000

Sistem Ayarları'nda bulunan Eklenti sekmesinde "Yükle" butonuna tıklayarak eklenti seçme ekranını açabilirsiniz.

Eklenti Yükle ekranı açıldığında "Gözat"'a tıklayarak bilgisayarınızdaki eklentiyi seçebilirsiniz. Eklentiyi seçtikten sonra "Yükle" butonuna tıklayabilirsiniz.

Eklenti başarı ile yüklendi yazısından sonra eklentiniz HAVELSAN tarafından imzalı eklenti ise direkt olarak eklenti sayfanızda bulunacaktır.

Bu şekilde sistemdeki eklentiniz güncellenmiş olacaktır. Sunucu tarafında ekstra bir ayar yapmanıza gerek yoktur.

Liman MYS - LDAP Entegrasyonunun Yapılması

Yaren Sarı — Tue, 27 Aug 2024 08:40:04 +0000

LDAP entegrasyonu, kullanıcı yönetim süreçlerini basitleştirmek ve merkezileştirmek için kritik öneme sahiptir.

Liman'a giriş yaparken LDAP bağlantısı kullanabilir ve detaylı şekilde erişim yetkilerini konfigüre edebilirsiniz.

Entegrasyon için gerekli özellikler:

1. Liman MYS'nin birincil DNS adresi Aktif Dizin ile entegre olan DNS sunucu adresiniz olmalıdır.

Ayarlar -> Gelişmiş Ayarlar -> DNS Ayarları kısmındaki DNS 1 bilgisi Aktif Dizin ile entegre olan DNS sunucu adresiniz olmalıdır.

2. Aktif Dizinin sertifikası sertifikalar kısmından eklenmiş olmalıdır.

Liman'da, güvenli bir bağlantı için LDAP yerine LDAPS kullanıyoruz, bu erişimi sağlarken de de SSL/TLS sertifikaları kullanmaktayız. Bu sayede, verilerin gizliliğini ve bütünlüğünü sağlıyoruz.

Ayarlar -> Gelişmiş Ayarlar -> Sertifikalar kısmında sertifikanız ekli olmalıdır.

Ekle butonu ile ekleme yapabilirsiniz:

Bağlanmak istediğiniz dizinin IP adresini ve LDAPS için gerekli 636 portunu girdikten sonra Sertifika Detaylarını Getir butonuna tıkladığınızda Geçerlilik süresi ve Genel detay bilgileri gelecektir. Sonrasında Kaydet butonu ile sertifikanızı ekleyebilirsiniz.

3. LDAP Bağlantısı ayarlarınız yapılmalıdır.

Ayarlar -> Erişim-> LDAP Bağlantısı kısmında Sunucu Adresi Aktif dizin adresiniz olacak şekilde ayarlarınızı girerek Kaydet butonuna basınız.

4. LDAP Erişim İzinleri yönetmek için ayar yapılmalıdır.

Ayarlar -> Erişim-> LDAP Erişim İzinleri kısmında LDAP erişim izinlerini düzenleyebilmek için kullanıcı ve gruplara sorgu atma yetkisi bulunan bir LDAP kullanıcısı ile giriş yapınız.

Kullanıcı adı olarak kullanıcınızın sAMAccountName karşılığını giriniz.

Kullanıcı adı kısmında domain adı girilmemelidir.Örneğin, administrator@acik.lab şeklinde bir giriş olmamalıdır.

Sonrasında Kullanıcı İzinleri, Grup İzinleri, Rol Bağlama gibi özellikleri bu kısımdan yönetebilirsiniz.

Liman MYS - Politikalar | OU'da Var Olan Politikaların Yeni OU'ya Eklenmesi

Yaren Sarı — Mon, 26 Aug 2024 14:38:00 +0000

Bu yazıda, Liman MYS üzerinde zaten var olan politikaların yeni bir Organizasyonel Birime (OU) nasıl ekleneceğini ele alacağız.

Liman MYS arayüzüne giriş yaptıktan sonra, sol menüde yer alan "Politikalar" sekmesine tıklayın. Buradan, mevcut politikalarınızı görebileceğiniz bir listeye ulaşacaksınız.

Politikanın bağlı olduğu organizasyonel birimleri görmek için "+" butonuna tıklayın. Bu, hangi OU'ların bu politikaya bağlı olduğunu gösterir.

Seçtiğimiz politikanın bağlı olduğu OU bilgileri gözükmektedir.

Biz bu durumda var olan politikamıza yeni bir OU eklediğimizde export-import gibi bir duruma ihtiyaç kalmadan politikamıza yeni OU'umza da eklemiş oluyoruz.

"+" butonuna tıkladığınızda açılan pencerede, yeni bir OU ekleyebilmeniz için bir seçenek göreceksiniz.

Buradan, eklemek istediğiniz OU'yu seçin ve Seçili organizasyon ünitesine bağla butonuna basın.

Seçiminizi yaptıktan sonra, yeni OU'nun politika ile ilişkili olduğundan emin olmak için kontrol sağlayalım:

Bu adımlar sayesinde, organizasyonel yapılarınıza yeni OU'lar ekleyebilir ve bu yapıların mevcut politikalarla entegre olmasını sağlayabilirsiniz.

Liman MYS - Cihaz Yönetimi Yedekli Miço Ortamı Hazırlanması

Yaren Sarı — Mon, 26 Aug 2024 13:09:11 +0000

Bu yazıda Cihaz Yönetimi (Mico-Server) yedekli ortam kurulumu ve konfigürasyonlarını ele alacağız.

Aynı zamanda yedekli Liman ortamınız da mevcutsa senkronizasyonu için bu yazıdan yararlanabilirsiniz:

Liman MYS ve Eklenti Senkronizasyonu: Yüksek Erişilebilirlik için Temel Adımlar

Bu yapıda;

HA Proxy
ETCD
Patroni
Liman MYS
Mico-server kullanılacaktır.

Yapacağımız örneğin mimarisi şu şekildedir:

Liman MYS ve Mico Server Kurulumu

Öncelikle Liman MYS kurulumu için aşağıdaki siteden gerekli adımları izleyebilirsiniz.

Liman MYS Kurulumu

Sonrasında her iki sunucuda da Miço serverların kurulumunu gerçekleştirelim:

sudo apt install ./mico-x64.deb

Mico Database Backup Alınması

cd /tmp
sudo -u mico pg_dump mico > /tmp/mico_backup.sql

Bu komut ile mico veritabanının yedeğini almış olduk.

Bu kurulumlar esnasında postgresql kurulumu otomatik olarak gerçekleşmektedir. Eğer ki Liman sunucusunda da bir Patroni bulundurup diğer Patroni'ler ile beraber çalışmasını isterseniz; postgresql sürümlerinin aynı olması gerekmektedir. Liman MYS postgresql 15, Mico server ise postgresql 14 kullanmaktadır. Biz örnek olması adına bu durum için yine de Mico sunucularımıza postgresql-15 kurulumu yaparak devam edeceğiz:

sudo sh -c 'echo "deb http://apt.postgresql.org/pub/repos/apt $(lsb_release -cs)-pgdg main" > /etc/apt/sources.list.d/pgdg.list'
sudo apt install gnupg2 ca-certificates -y
wget -O- https://www.postgresql.org/media/keys/ACCC4CF8.asc | gpg --dearmor > pgsql.gpg
sudo mv pgsql.gpg /etc/apt/trusted.gpg.d/pgsql.gpg
sudo apt update
sudo apt-get install postgresql-15

Patroni Kurulum ve Konfigürasyonları

Şimdi ise Mico sunucularımıza Patroni kurulumlarını gerçekleştirelim.

sudo apt update
sudo apt -y install patroni

PostgreSQL dosyalarına kolay erişebilmek için aşağıdaki gibi linkleyelim.

ln -s /usr/lib/postgresql/15/bin/* /usr/sbin/

Patroni için verilerin tutulacağı dizinleri oluşturup yetkilendirme işlemlerini gerçekleştirelim.

sudo mkdir -p /data/patroni
sudo chown -R postgres:postgres /data/
sudo chmod -R 700 /data/

İki node yapsı için de /etc/patroni.yml dosyasını oluşturup düzenleyelim:

sudo nano /etc/patroni.yml

scope: development
namespace: /db/
name: node-1

restapi:
    listen: 192.168.122.81:8008
    connect_address: 192.168.122.81:8008

etcd:
    host: 192.168.122.140:2379

bootstrap:
    dcs:
        ttl: 30
        loop_wait: 10
        retry_timeout: 10
        maximum_lag_on_failover: 1048576
        postgresql:
            use_pg_rewind: true

    initdb:
    - encoding: UTF8
    - data-checksums

    pg_hba:
    - host replication replicator 127.0.0.1/32 md5
    - host replication replicator 192.168.122.81/0 md5
    - host replication replicator 192.168.122.77/0 md5
    - host all all 0.0.0.0/0 md5

    users:
        admin:
            password: admin
            options:
                - createrole
                - createdb

postgresql:
    listen: 192.168.122.81:5432
    connect_address: 192.168.122.81:5432
    data_dir: /data/patroni
    pgpass: /tmp/pgpass
    bin_dir: /usr/lib/postgresql/15/bin
    authentication:
        replication:
            username: replicator
            password: '1'
        superuser:
            username: postgres
            password: '1'
    parameters:
        unix_socket_directories: '.'

tags:
    nofailover: false
    noloadbalance: false
    clonefrom: false
    nosync: false

İki node için de aslında aynı konfigürasyonu yapacağız, node-1 yerine node-2 ve IP bilgilerini değiştirmemiz yeterlidir.

Yine iki node için de Patroni servisinin dosyasını (/etc/systemd/system/patroni.service) aşağıdaki gibi oluşturabilir veya düzenleyelim.

[Unit]
Description=Runners to orchestrate a high-availability PostgreSQL
After=syslog.target network.target

[Service]
Type=simple

User=postgres
Group=postgres

ExecStart=/usr/bin/patroni /etc/patroni.yml
KillMode=process
TimeoutSec=30
Restart=no

[Install]
WantedBy=multi-user.targ

Sonrasında servisi sistem açıldığında çalışacak şekide başlatmak için aşağıdaki komutları çalıştıralım:

systemctl daemon-reload
systemctl stop postgresql
systemctl restart patroni
systemctl status patroni
systemctl enable patroni

NOT: Bu etapta patroniniz çalışmayacaktır, etcd gibi diğer kurulumları gerçekleştirdikten sonra düzelmesi beklenir.

Postgresql servisini durdurup Patroni'yi başlatmış olduk.

Mico servisimiz şuanda Patroni ortamına bağlı çalıştığına göre; Patroni'de mico db'si oluşturalım:

// psql -U postgres -h 192.168.122.81 -p 5432
CREATE DATABASE mico;
CREATE USER mico WITH PASSWORD '1';
GRANT ALL PRIVILEGES ON DATABASE mico TO mico;
ALTER DATABASE mico OWNER TO mico;

Aldığımız yedeği de yine Patroni'ye restore edebiliriz:

psql -U mico -h 192.168.122.81 -p 5432 -d mico -f /tmp/mico_backup.sql

HAproxy Kurulum ve Konfigürasyonu

Liman sunucusunda HAproxy kurulumu gerçekleştirelim:

sudo apt install haproxy

sudo nano /etc/haproxy/haproxy.cfg

global
    log /dev/log local0
    log /dev/log local1 notice
    chroot /var/lib/haproxy
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon

defaults
    log global
    mode tcp
    retries 2
    timeout client 30m
    timeout connect 4s
    timeout server 30m
    timeout check 5s

listen stats
    mode http
    bind *:7000
    stats enable
    stats uri /

listen postgres
    bind *:5000
    mode tcp
    default-server inter 3s fall 3 rise 2 on-marked-down shutdown-sessions
    server node-2 192.168.122.81:5432 maxconn 100 check port 8008
    server node-3 192.168.122.77:5432 maxconn 100 check port 8008

frontend http_frontend
    mode http
    bind *:7779 ssl crt  /etc/ssl/private/mico.pem alpn h2,http/1.1  ssl-min-ver TLSv1.2
    option http-server-close

    # set HTTP Strict Transport Security (HTST) header
    http-response add-header Strict-Transport-Security max-age=15768000

    default_backend http_servers

backend http_servers
    mode http
    balance roundrobin
    option ssl-hello-chk
    server backendserver1 192.168.122.81:7779 ssl verify none check
    server backendserver2 192.168.122.77:7779 ssl verify none check

Bu kısımda görmüş olduğunuz frontend http_frontend ve backend http_servers yapılandırmaları mico sunucularımız için haproxy ayarlarıdır.

Frontend ayarında gördüğümüz /etc/ssl/private/mico.pem sertifikasını Haproxy sunucusunda üretmemiz gerekmektedir:

openssl req -x509 -newkey rsa:4096 -subj "/CN=$(hostname -I | cut -d" " -f1 | xargs)" -addext "subjectAltName=IP:$(hostname -I | cut -d" " -f1 | xargs),IP:127.0.0.1,DNS:$(hostname)" -keyout /etc/ssl/private/mico.pem -nodes -out /etc/ssl/private/mico.pem -sha256 -days 358000

root@sysadmin:/home/sysadmin# haproxy -f /etc/haproxy/haproxy.cfg -c
Configuration file is valid

Komutu ile de yapılandırmamızda sorun olup olmadığının kontrolünü sağlayabiliriz.

Şimdi ise haproxy'imizi restart edip durumunu kontrol edebiliriz:

systemctl restart haproxy
systemctl status haproxy

Etcd Kurulum ve Konfigürasyonu

sudo apt install etcd

Komutu ile etcd kurulumu gerçekleştirebiliriz.

Sonrasında /etc/default/etcd dosyasını şu şekilde düzenleyelim:

ETCD_LISTEN_PEER_URLS="http://192.168.122.140:2380"
ETCD_LISTEN_CLIENT_URLS="http://localhost:2379,http://192.168.122.140:2379"
ETCD_INITIAL_ADVERTISE_PEER_URLS="http://192.168.122.140:2380"
ETCD_INITIAL_CLUSTER="default=http://192.168.122.140:2380"
ETCD_ADVERTISE_CLIENT_URLS="http://192.168.122.140:2379"
ETCD_INITIAL_CLUSTER_TOKEN="etcd-cluster"
ETCD_INITIAL_CLUSTER_STATE="new"

systemctl restart etcd
systemctl status etcd
systemctl enable etcd

Şu komut ile de cluster sağlıklarını gözlemleyebiliriz:

etcdctl cluster-health

Mico Sunucularının .env Ayarları

Mico sunucularında Database bilgilerini /opt/mico/.env içerisine girerek değiştirelim:

DB_HOST=192.168.122.140
DB_PORT=5000
DB_DATABASE=mico
DB_USERNAME=mico
DB_PASSWORD=1

DB_HOST bilgisi HAproxy'imizin adresidir.
DB_PORT bilgisi de HAproxy'de belirttiğimiz port bilgisidir. (bind *:5000)
Diğer database bilgileri ise bizim Patroni'de oluşturduğumuz Mico DB bilgileridir.

Son durumda kurulum ve konfigürasyonlarımızı bitirdik, Patroni ve Mico hizmetlerini yeniden başlatarak durumlarını kontrol edebiliriz:

systemctl restart mico@*
systemctl restart patroni
systemctl status mico@*
systemctl status patroni

root@sysadmin:/home/sysadmin# patronictl -c /etc/patroni.yml list
+ Cluster: development (7407394821390110066) ---+----+-----------+
| Member | Host           | Role    | State     | TL | Lag in MB |
+--------+----------------+---------+-----------+----+-----------+
| node-1 | 192.168.122.81 | Leader  | running   |  2 |           |
| node-2 | 192.168.122.77 | Replica | streaming |  2 |         0 |
+--------+----------------+---------+-----------+----+-----------+

Komutu ile de node'larımızı ve durumlarını görüntüleyebiliriz.

Test Aşaması

Normalde mico serverlarımız için ajan kurulumu yaparken server IP bilgisi kullanılır. Bizim case'imize bakıldığında HAproxy üzerinden iki Mico servisine de eriştiğimiz için; Ajan kurulumunu yaparken HAproxy adresini kullanmalıyız:

#!/bin/bash
  wget "https://192.168.122.140:7779/client?os=linux&arch=amd64" -O "/tmp/mico-client.deb" --no-check-certificate
  echo mico mico/server_url string "https://192.168.122.140:7779" | sudo debconf-set-selections
  export DEBIAN_FRONTEND=noninteractive
  sudo apt install /tmp/mico-client.deb -y

  rm -rf "/tmp/mico-client.deb"

Liman MYS ve Eklenti Senkronizasyonu: Yüksek Erişilebilirlik için Temel Adımlar

Yaren Sarı — Mon, 26 Aug 2024 12:12:27 +0000

Yüksek erişilebilirlik sağlamak için iki Liman MYS sunucusunun senkronize çalışması kritik öneme sahiptir. Bu yazıda, Liman MYS ve eklenti senkronizasyonunu adım adım nasıl gerçekleştireceğinizi inceleyeceğiz.

1. Liman Senkronizasyonu

Yüksek erişilebilirlik için ilk adım, iki Liman sunucusunun senkronize edilmesidir. Bunun için aşağıdaki adımları izlemelisiniz:

Sertifika Ayarları:

Her iki Liman sunucusunda da aynı sertifikaların bulunması ve bu sertifikaların Yüksek Erişilebilirlik (HA) modunda belirtilmesi gerekir. Bu, kurumunuzun senaryosuna göre değişiklik gösterebilir, bu yüzden sertifikalarla ilgili gerekli aksiyonları almayı unutmayın.

.env Dosyası Ayarları:

Her iki Liman sunucusundaki .env dosyasında aynı olması gereken anahtar ayarlar şunlardır:

APP_DEBUG=true
APP_KEY=base64:Ril0PF1wHl3UYMaZAxUePCqfMlQr9EsfkM9JRHxVLEg=

Bu ayarlar, iki sunucunun aynı kimlik bilgileri ve hata ayıklama modunda çalışmasını sağlar.

Komutların Çalıştırılması:

Yukarıdaki ayarları yaptıktan sonra, her iki Liman sunucusunda aşağıdaki komutu çalıştırarak süpervizör işlemlerini yeniden başlatmalısınız:

supervisorctl restart all

2. Eklenti Senkronizasyonu

Eklenti senkronizasyonu, Liman MYS platformunun işlevselliğini artıran eklentilerin her iki sunucuda da senkronize edilmesini sağlar.

.env Dosyası Ayarları:

Her iki Liman sunucusunda .env dosyasındaki HIGH_AVAILABILITY_MODE ayarının şu şekilde yapılması gerekir:

HIGH_AVAILABILITY_MODE=true

Bu ayar, eklenti senkronizasyonunun Yüksek Erişilebilirlik modunda çalışmasını sağlar.

Komutların Çalıştırılması:

Eklenti senkronizasyonunu başlatmak için, her iki Liman sunucusunda aşağıdaki komutu çalıştırmalısınız:

php /liman/server/artisan register_liman

İkinci Limanda Temizlik:

İkinci Liman sunucusunda, /liman/extensions dizininin altını tamamen silmelisiniz.

rm -rf /liman/extensions/*

Sağlık Durumu Sayfasında Elle Senkronizasyon:

İkinci Liman sunucusunda, sağlık durumu sayfasına gidin ve Elle Senkronize Et butonuna basarak senkronizasyonu manuel olarak tamamlayın.

Liman MYS - Dağıtım Eklentisi SSH Anahtarı ile Kimlik Bilgisi Ekleme

Yaren Sarı — Mon, 05 Aug 2024 14:30:59 +0000

SSH (Secure Shell) protokolü, uzak sunuculara güvenli bir şekilde bağlanmak için yaygın olarak kullanılan bir yöntemdir. Parolasız SSH bağlantısı, kullanıcı deneyimini iyileştirirken güvenliği artırmak için ideal bir çözümdür. Bu yazıda, SSH anahtar çifti oluşturarak ve uzak sunucuya bağlanarak parolasız bir SSH bağlantısının nasıl kurulacağını adım adım açıklayacağız.

Adım 1: SSH Anahtarı Oluşturma

Öncelikle, SSH anahtar çiftini oluşturmalıyız. Bu işlem, kullanıcının bilgisayarında bir çift anahtar üretir:

Biri özel (private), diğeri ise açık (public)'tir

Komut:

ssh-keygen

Bu komutu çalıştırdığınızda, anahtar çifti varsayılan olarak ~/.ssh dizininde oluşturulur. Özel anahtar id_rsa, açık anahtar ise id_rsa.pub olarak adlandırılır.

Anahtarı kaydetmek için varsayılan yolu kabul edebilir veya farklı bir konum belirleyebilirsiniz.
Ek güvenlik için bir parola belirlemek isteyip istemediğiniz sorulacaktır. (Parola belirlemek opsiyoneldir.)

Çıktı:

root@ubuntu:/home/ubuntu# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:zqbMDAyo742YYpwHEVtvpW9C6YOlzOfXy278a6AzfVw root@ubuntu
The key's randomart image is:
+---[RSA 3072]----+
|                 |
| . .   .         |
|  + . +          |
| +   B           |
|. = B . S        |
|.. B = = .   E   |
|o o = + O o .    |
|.B + * B.= +     |
|=.= . * =+=o.    |
+----[SHA256]-----+

/root/.ssh dizini altında id_rsa ve id_rsa.pub oluştuğunu görüyoruz.

root@ubuntu:~# cd /root/.ssh/
root@ubuntu:~/.ssh# ls
authorized_keys  id_rsa  id_rsa.pub

Adım 2: Açık Anahtarı Uzak Sunucuya Kopyalama

Açık anahtarınızı, parolasız giriş yapmak istediğiniz uzak sunucuya kopyalamanız gerekmektedir. Bu işlem için ssh-copy-id komutunu kullanacağız. Bu komut, uzak sunucudaki kullanıcı dizinine açık anahtarınızı ekler.
Komut:

ssh-copy-id kullanici_adı@makine_IP_adresi

kullanici_adı: Sunucuda bağlanmak istediğiniz kullanıcı adını belirtir.
makine_IP_adresi: Bağlanmak istediğiniz uzak sunucunun IP adresini belirtir.
Bu adım, açık anahtarınızı sunucudaki ~/.ssh/authorized_keys dosyasına ekler. İlk bağlantı sırasında sunucu parolasını girmeniz istenecektir, ancak bu işlem yalnızca bir kez yapılır.
Açık anahtar kopyalandıktan sonra, artık parolasız olarak sunucuya bağlanabilirsiniz.

Adım 3: Dağıtım Eklentisi SSH Anahtarı ile Kimlik Bilgisi Ekleme

Buraya kadar olan işlemler anahtarsız ssh bağlantısının nasıl yapılacağının anlatımıydı, Liman MYS Dağıtım Eklentisi ile kimlik bilgisi eklemek için şu aşamaları takip edebilirsiniz.

Kimlik Bilgileri kısmından Kimlik Bilgisi Oluştur butonuna tıklayarak devam ediyoruz.

Kimlik Bilgisi Ekleme Adımları:

Kimlik Bilgisi Adı: SSH bağlantısı için bir tanım veya etiket girin.

Kullanıcı Adı: Uzak sunucuya bağlanırken kullanılacak kullanıcı adını belirtin. Bu, sunucu üzerinde yetkili olduğunuz kullanıcı hesabını temsil eder.

Port: SSH için kullanılan port numarasını girin. Varsayılan SSH portu 22'dir, ancak sunucu yapılandırmanıza bağlı olarak değişiklik gösterebilir.

Protokol Seçimi: SSH Protokolünü seçin. Bu, bağlantınızın hangi protokol üzerinden gerçekleşeceğini belirler.

Tip Seçimi: "Anahtar" seçeneğini işaretleyin. Bu, kimlik doğrulamanın parola yerine anahtar ile yapılacağını belirtir.

Anahtar Alanı: Daha önce oluşturduğunuz id_rsa dosyasının içeriğini buraya yapıştırın. Bu, açık anahtarınızı temsil eder ve kimlik doğrulama sırasında kullanılacaktır.

Oluştur butonu ile kimlik bilgisini oluşturabilirsiniz.

Bu adımları tamamladığınızda, SSH anahtarı ile kimlik bilgilerinizi başarıyla eklemiş olacaksınız. Artık sisteminize veya uygulamanıza güvenli bir şekilde SSH bağlantısı kurabilirsiniz.

LİMAN MYS - WinRM için SSL Sertifikası Yükleme ve Yapılandırma Kılavuzu

Yaren Sarı — Fri, 28 Jun 2024 05:12:11 +0000

Giriş

Bu doküman, WinRM'in SSL sertifikası kullanarak güvenli bir şekilde yapılandırılmasını adım adım açıklamaktadır. Bu yapılandırma, özellikle Liman MYS veya Ansible ile uzak yönetim işlemleri için gereklidir.

Gereksinimler

Yönetici haklarına sahip bir Windows sunucusu
SSL sertifikası (self-signed veya resmi bir sertifika)

Adımlar

1. WinRM Hizmetini Etkinleştirin

Yönetici olarak PowerShell'i açın ve aşağıdaki komutu çalıştırın:

Enable-PSRemoting -Force

2. Betik İndirin

WinRM sertifikası yüklemek için gerekli betiği indirin:

Invoke-WebRequest -Uri "https://liman.dev/winrm" -Outfile "betik_adı.ps1"

3. Betik İzni Verin

Betiğe çalıştırma izni verin:

Set-ExecutionPolicy Bypass -Scope Process -Force

4. Betiği Çalıştırın

Betiği çalıştırarak sertifikayı yükleyin ve yapılandırın:

.\betik_adı.ps1 -Instance "IP_ADRESI"

Instance Parametresi Kullanımı:
Bu adımda güvenlik gereği sadece belirli bir IP'den WinRM isteğinde bulunacaksanız -Instance "IP_ADRESI" parametresini kullanmanız gerekmektedir. Eğer böyle bir kısıt bulunmuyorsa Instance parametresini kullanmayabilirsiniz. Bu parametre, belirttiğiniz IP adresinden gelen istekleri kabul eder ve diğer istekleri reddeder.

5. Firewall Kuralını Güncelleme (Opsiyonel)

5986 portu için gelen trafiğe izin verin:

New-NetFirewallRule -Name "WinRM HTTPS" -DisplayName "WinRM HTTPS" -Enabled True -Profile Any -Action Allow -Direction Inbound -LocalPort 5986 -Protocol TCP

6. WinRM Hizmetini Yeniden Başlatma

WinRM hizmetini yeniden başlatın:

Restart-Service WinRM

Yukarıdaki adımları tamamladıktan sonra, WinRM SSL ile yapılandırılmış olacaktır ve 5986 portu üzerinden güvenli iletişim sağlanabilecektir.

Örnek Yapılandırma

Yukarıdaki adımları izleyerek yapılmış bir örnek şu şekildedir:

Liman Core'da WinRM ile Windows Makine Eklenmesi

WinRM ile Windows makine eklemek için aşağıdaki adımları izleyebilirsiniz:

Liman Core üzerinde sunucu ekleme ekranına gidin:

Sunucunuzun adresini girin, Bağlantı Portu olarak WinRM seçeneğini seçerek İleri butonu ile devam edin.

Liman MYS üzerinde görmek istediğiniz sunucu adını girin, işletim sistemi olarak Microsoft Windows seçin ve İleri butonu ile devam edin.

Bir sonraki Anahtar Seçimi kısmında ise 2 farklı şeçenek ile devam edebiliriz.

SSL'siz Bağlantı:

SSL'siz bağlantı için WinRM(Güvensiz) seçeneğini seçerek devam edin.

SSL'li Bağlantı:

SSL'li bağlantı için WinRM seçeneğini seçerek devam edin.

Sonraki sayfada her iki durum için de sunucunuza bağlanmak için gerekli kullanıcı adı ve parola bilgilerini sağlamanız gerekmektedir.

Kullanıcı Adı: WinRM bağlantısı için kullanmak istediğiniz Windows kullanıcısının adını girin.
Parola: Bu kullanıcının parolasını girin.
Paylaşımlı: Bu seçeneği işaretleyerek, girilen anahtarın tüm kullanıcılar tarafından kullanılmasını sağlayabilirsiniz.

Ekle butonu ile sunucunuzu Liman MYS'ye ekleyebilirsiniz:

Sonrasında Sunucular sekmesinde eklediğiniz sunucuyu görebilirsiniz.

Ağ Keşif - SNMP v3 Profili Nasıl Oluşturulur?

Yaren Sarı — Fri, 14 Jun 2024 12:24:36 +0000

SNMP Keşif Oluşturma

SNMP Bilgisi OLuştur butonu ile açılan ekranda gerekli bilgilerin girilmesi gerekir.

SNMP v3'ün kurulu olduğu IP'nin İsim, Port, Versiyon, Username, Security level, Authentication protocol, Privacy protocol, Privacy passphrase bilgilerini tanımlamamız gerekmektedir.

Adı : Bu parametre, SNMP bilgisi için bir ad vermek için kullanılır.

Port : 161, SNMP protokolünün kullanacağı port numarasıdır. Varsayılan olarak 161 portu kullanılır.

Versiyon : Kullanılacak SNMP protokolünün versiyonu belirtilir. Burada SNMPv3 seçilmiştir.

Username : SNMPv3 oturum açma işlemi için kullanılacak kullanıcı adıdır.

Security level : Bu, SNMPv3 güvenlik seviyesini belirtir. authPriv, hem kimlik doğrulama (authentication) hem de gizlilik (privacy) sağlar.

Authentication protocol : Kimlik doğrulama için kullanılan protokoldür. Burada SHA (Secure Hash Algorithm) seçilmiştir.

Bu kısımda kullanıcı, kimlik doğrulama protokolünü seçebilir. Mevcut seçenekler MD5, SHA, SHA224, SHA256, SHA384 ve SHA512'dir. MD5 ve SHA, kriptografik hash fonksiyonlarıdır ve kimlik doğrulama süreçlerinde kullanılır.

Authentication passphrase : Kimlik doğrulama işlemi için kullanılan paroladır.

Privacy protocol : Veri gizliliği için kullanılan şifreleme protokolüdür. Burada DES (Data Encryption Standard) seçilmiştir.

Bu ekranda kullanıcı, veri gizliliği protokolünü seçebilir. Mevcut seçenekler DES, AES, AES192, AES256, AES192C ve AES256C'dir.

Privacy passphrase : Veri gizliliği için kullanılan şifreleme parolasıdır.

Bizim SNMP v3 çalışmamız autPriv security level SHA Authentication protocol kullanılarak gerçekleştirilmiş, snmpwalk ile yapılan doğrulama komutu aşağıdaki gibidir.

snmpwalk -v3 -l authPriv -u TEST_USER -a SHA -A cisco123 -x DES -X cisco123 192.168.1.241

SNMP Bilgisi de oluşturduğumuza göre Keşif adımlarımızı tamamlayabiliriz.

Keşif oluşturma aşamamızda SNMP Bilgimizi seçebiliriz.

Ağ Keşif - SNMP Keşif Oluşturma

Yaren Sarı — Fri, 14 Jun 2024 12:18:54 +0000

Liman MYS arayüzünde Keşif oluşturulması işlemini ele alacağız.

Ağ Keşif eklentimizin Keşif sekmesinde karşılaştığımız başlıklar:

Sensörler: Bu sekmede sisteminizdeki sensörleri görüntüleyebilir, yönetebilir ve tarama başlatabilirsiniz.
Keşifler: Bu sekmede farklı keşif yöntemleri ile vereceğiniz parametrelere göre tarama yapabilir ve varlıklarınızı keşfedebilirsiniz.
Keşif Taramaları: Keşif taramalarınızı ve sonuçlarını görüntüleyebilirsiniz.
Konektörler: Konektörler ile entegre edilen sistemleri tarayabilir ve tarama loglarını görüntüleyebilirsiniz.

Bizim keşif oluşturma işlemimiz öncelikle Keşifler sekmesinden başlayacaktır. Oluşturduğumuz keşif için tarama başlattıktan sonra da Keşif Taramaları sekmesinden kontrol sağlayacağız.

Öncelikle Keşif Oluştur butonuna tıklıyoruz ve açılan ekranda gerekli bilgileri dolduruyoruz:

Adı *: Bu alan, keşif işlemi için bir ad girmenizi gerektirir

Keşif Türü *: Bu alan, kullanılacak keşif türünü belirlemenizi sağlar.

SNMP : SNMP (Simple Network Management Protocol), ağ cihazlarının yönetimi ve izlenmesi için kullanılan bir protokoldür. Ağ cihazlarından veri toplamak ve bu cihazları uzaktan yönetmek için kullanılır. Bizim seçmemiz gereken seçenek SNMP'dir.

Sensör *: Bu alan, keşif işlemi için kullanılacak sensörün IP adresini girmenizi gerektirir.

IP Adresleri *: Bu alan, keşif yapılacak IP adreslerini belirtmenizi gerektirir.

Dahil Olmayan IP Adresleri: Bu alan, keşif işlemi sırasında dahil edilmeyecek IP adreslerini belirtmenize olanak tanır.

Detaylı Loglama: Bu seçenek, keşif işlemi sırasında detaylı log kaydı tutulmasını sağlar.

Periyodik: Bu seçenek, keşif işleminin belirli aralıklarla periyodik olarak tekrarlanmasını sağlar.

SNMP seçeneği seçildiğinde ekstra olarak bizden SNMP Bilgisi'nin seçilmesi istenmektedir. Bu kısmın nasıl oluşturulması gerektiği Örnek SNMP v3 Profili Oluşturulması yazısında anlatılmıştır.

Keşif bilgilerinizi girdikten sonra Oluştur* butonu ile işlemini tamamlayıp Keşifler sayfasında görüntüleyebilir ve **Tarama Başlat butonu ile keşifinizi tetikleyebilirsiniz.

Sonrasında ise Keşif Taramaları sekmesinden ayrıntılı bilgi edinebiliriz.

Keşif türü, Sensör bilgisi, Keşfedilen varlık sayısı gibi bilgiler edinebilirsiniz.

Not: Keşfedilen varlıklarını da Varlıklar sekmesinden görüntüleyebilirsiniz.

Logları Görüntüle butonu ile de keşifinizin log kayıtlarını görebilirsiniz.