Monitoring

1. Introduction au Monitoring

Le monitoring de serveur est une composante essentielle pour assurer la stabilité, la sécurité, et l’efficacité d’un environnement de production. Il permet de :

Détecter les anomalies : en surveillant les indicateurs système, comme la charge CPU, la RAM ou le réseau, il devient possible de détecter rapidement des comportements anormaux.
Optimiser les performances : les données de monitoring permettent de voir les tendances de performance et d’ajuster la configuration du serveur pour obtenir un rendement optimal.
Assurer une disponibilité maximale : en prenant des actions proactives basées sur les alertes, les risques d’indisponibilité peuvent être réduits.

Vue d’ensemble des outils de Monitoring

Plusieurs outils open-source et gratuits sont disponibles pour le monitoring sous Linux :

Netdata : solution en temps réel offrant des graphiques détaillés sur de nombreux indicateurs de performance, facile à installer et à utiliser.
Prometheus et Grafana : un duo puissant pour la collecte et la visualisation des métriques, particulièrement utile pour des infrastructures plus complexes.
Glances : outil léger de monitoring en ligne de commande, facile à déployer et offrant une vue d’ensemble du serveur.

Nous utiliserons ici Netdata pour ses fonctionnalités en temps réel et sa facilité d’utilisation.

2. Installation et Configuration de Netdata

Installation de Netdata

Pour installer Netdata sur un serveur Ubuntu, il suffit de suivre les étapes ci-dessous. Netdata est une solution de monitoring légère, offrant une visualisation en temps réel des performances du système.

Étapes d'installation :

Téléchargez et exécutez le script d’installation en utilisant la commande suivante :

bash <(curl -SsL https://my-netdata.io/kickstart.sh)

Une fois l’installation terminée, démarrez Netdata si ce n’est pas automatique :

sudo systemctl start netdata

Pour s’assurer que Netdata démarre automatiquement au démarrage du serveur, activez le service :

sudo systemctl enable netdata

Configuration du pare-feu pour restreindre l'accès

Pour renforcer la sécurité de l’accès à Netdata, il est recommandé de restreindre l’accès au port 19999 uniquement aux IP de confiance via le pare-feu ufw.

Autoriser une IP spécifique pour le port 19999 :

sudo ufw allow from [MON_IP] to any port 19999

Remplacez [MON_IP] par l’adresse IP autorisée.

Bloquer tout autre accès au port 19999 :

sudo ufw deny 19999

Vérifier les règles du pare-feu :

sudo ufw status verbose

Les règles doivent montrer que seules les connexions provenant de l'IP spécifiée peuvent accéder au port 19999. Celà doit ressembler à ça :

Accès à Netdata :

Ouvrez un navigateur et connectez-vous à l'URL suivante pour accéder au tableau de bord :

http://[IP_DU_SERVEUR]:19999

En configurant correctement le pare-feu ufw, seul l’utilisateur avec l’IP autorisée pourra consulter les informations de monitoring.

Connexion à Netdata avec un jeton de session unique

Netdata génère un jeton de session dans le fichier /var/lib/netdata/netdata_random_session_id. Ce jeton est requis pour accéder à certains détails avancés dans Netdata, garantissant qu’un utilisateur non autorisé ne puisse pas voir les données du serveur.

Étapes pour récupérer et utiliser le jeton

Afficher le jeton de session : Connecte-toi à ton serveur et exécute la commande suivante pour afficher le jeton de session généré par Netdata :

sudo cat /var/lib/netdata/netdata_random_session_id

Cette commande retournera une clé (jeton) unique.

Utiliser le jeton pour se connecter à Netdata : Lors de l’accès à Netdata via http://[IP_DU_SERVEUR]:19999, une page de connexion peut demander le jeton. Entrez alors le jeton récupéré précédemment pour valider votre accès.

Sécurité et renouvellement du jeton : Si nécessaire, tu peux régénérer ce jeton (par exemple, en supprimant ou modifiant le fichier) pour forcer un nouveau jeton :

sudo rm /var/lib/netdata/netdata_random_session_id
sudo systemctl restart netdata

Après le redémarrage de Netdata, un nouveau jeton sera généré dans le même fichier, que tu pourras afficher avec la commande précédente.

Sécurisation de Netdata

Netdata expose son interface web sur le port 19999, ce qui peut le rendre accessible à tous si aucune restriction n'est mise en place. Voici les étapes pour sécuriser votre installation :

1. Limiter l'accès par IP

Pour autoriser uniquement les IP ou le sous-réseau de votre entreprise :

Modifiez la configuration de Netdata :
```
sudo nano /etc/netdata/netdata.conf
```
Ajoutez ou modifiez la section [web] :
```
[web]
bind to = 0.0.0.0
allow connections from = 203.0.113.0/24
```
- Remplacez 203.0.113.0/24 par l'adresse IP publique ou le sous-réseau de votre entreprise.
Redémarrez Netdata pour appliquer les changements :
```
sudo systemctl restart netdata
```

Sécurisation de Netdata

Netdata expose son interface web sur le port 19999, ce qui peut le rendre accessible à tous si aucune restriction n'est mise en place. Voici les étapes pour sécuriser votre installation :

1. Limiter l'accès par IP

Pour autoriser uniquement les IP ou le sous-réseau de votre entreprise :

Modifiez la configuration de Netdata :
```
sudo nano /etc/netdata/netdata.conf
```
Ajoutez ou modifiez la section [web] :
```
[web]
bind to = 0.0.0.0
allow connections from = 203.0.113.0/24
```
- Remplacez 203.0.113.0/24 par l'adresse IP publique ou le sous-réseau de votre entreprise.
Redémarrez Netdata pour appliquer les changements :
```
sudo systemctl restart netdata
```

2. Ajouter une protection par pare-feu (optionnel)

Pour renforcer la sécurité, configurez un pare-feu pour bloquer tout accès non autorisé.

Avec ufw :

Bloquez tout le trafic sur le port 19999 :
```
sudo ufw deny 19999
```

Autorisez uniquement votre IP ou sous-réseau :

sudo ufw allow from 203.0.113.0/24 to any port 19999

Vérifiez les règles du pare-feu :
```
sudo ufw status
```

3. Ajouter une authentification (via proxy)

Pour protéger Netdata avec un mot de passe, configurez un proxy (Nginx ou Apache) avec une authentification HTTP basique.

Avec Nginx :

Configurez un mot de passe :

sudo htpasswd -c /etc/nginx/.htpasswd yourusername

Ajoutez cette configuration au fichier de site Nginx :

server {
    listen 80;
    server_name yourdomain.com;

    location / {
        proxy_pass http://127.0.0.1:19999;
        auth_basic "Restricted Access";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }
}

Activez et redémarrez Nginx :

sudo ln -s /etc/nginx/sites-available/netdata /etc/nginx/sites-enabled/
sudo systemctl restart nginx

Avec ces mesures, l'accès à Netdata sera restreint et sécurisé contre tout accès non autorisé.

PreviousÉtapes pour intégrer la suggestion de produit NextCompression Image Excel

Last updated 5 months ago

Monitoring

1. Introduction au Monitoring

Le monitoring de serveur est une composante essentielle pour assurer la stabilité, la sécurité, et l’efficacité d’un environnement de production. Il permet de :

Détecter les anomalies : en surveillant les indicateurs système, comme la charge CPU, la RAM ou le réseau, il devient possible de détecter rapidement des comportements anormaux.
Optimiser les performances : les données de monitoring permettent de voir les tendances de performance et d’ajuster la configuration du serveur pour obtenir un rendement optimal.
Assurer une disponibilité maximale : en prenant des actions proactives basées sur les alertes, les risques d’indisponibilité peuvent être réduits.

Vue d’ensemble des outils de Monitoring

Plusieurs outils open-source et gratuits sont disponibles pour le monitoring sous Linux :

Netdata : solution en temps réel offrant des graphiques détaillés sur de nombreux indicateurs de performance, facile à installer et à utiliser.
Prometheus et Grafana : un duo puissant pour la collecte et la visualisation des métriques, particulièrement utile pour des infrastructures plus complexes.
Glances : outil léger de monitoring en ligne de commande, facile à déployer et offrant une vue d’ensemble du serveur.

Nous utiliserons ici Netdata pour ses fonctionnalités en temps réel et sa facilité d’utilisation.

2. Installation et Configuration de Netdata

Installation de Netdata

Étapes d'installation :

Téléchargez et exécutez le script d’installation en utilisant la commande suivante :

bash <(curl -SsL https://my-netdata.io/kickstart.sh)

Une fois l’installation terminée, démarrez Netdata si ce n’est pas automatique :

sudo systemctl start netdata

Pour s’assurer que Netdata démarre automatiquement au démarrage du serveur, activez le service :

sudo systemctl enable netdata

Configuration du pare-feu pour restreindre l'accès

Pour renforcer la sécurité de l’accès à Netdata, il est recommandé de restreindre l’accès au port 19999 uniquement aux IP de confiance via le pare-feu ufw.

Autoriser une IP spécifique pour le port 19999 :

sudo ufw allow from [MON_IP] to any port 19999

Remplacez [MON_IP] par l’adresse IP autorisée.

Bloquer tout autre accès au port 19999 :

sudo ufw deny 19999

Vérifier les règles du pare-feu :

sudo ufw status verbose

Les règles doivent montrer que seules les connexions provenant de l'IP spécifiée peuvent accéder au port 19999. Celà doit ressembler à ça :

Accès à Netdata :

Ouvrez un navigateur et connectez-vous à l'URL suivante pour accéder au tableau de bord :

http://[IP_DU_SERVEUR]:19999

En configurant correctement le pare-feu ufw, seul l’utilisateur avec l’IP autorisée pourra consulter les informations de monitoring.

Connexion à Netdata avec un jeton de session unique

Étapes pour récupérer et utiliser le jeton

Afficher le jeton de session : Connecte-toi à ton serveur et exécute la commande suivante pour afficher le jeton de session généré par Netdata :

sudo cat /var/lib/netdata/netdata_random_session_id

Cette commande retournera une clé (jeton) unique.

Sécurité et renouvellement du jeton : Si nécessaire, tu peux régénérer ce jeton (par exemple, en supprimant ou modifiant le fichier) pour forcer un nouveau jeton :

sudo rm /var/lib/netdata/netdata_random_session_id
sudo systemctl restart netdata

Après le redémarrage de Netdata, un nouveau jeton sera généré dans le même fichier, que tu pourras afficher avec la commande précédente.

Sécurisation de Netdata

Netdata expose son interface web sur le port 19999, ce qui peut le rendre accessible à tous si aucune restriction n'est mise en place. Voici les étapes pour sécuriser votre installation :

1. Limiter l'accès par IP

Pour autoriser uniquement les IP ou le sous-réseau de votre entreprise :

Modifiez la configuration de Netdata :
```
sudo nano /etc/netdata/netdata.conf
```
Ajoutez ou modifiez la section [web] :
```
[web]
bind to = 0.0.0.0
allow connections from = 203.0.113.0/24
```
- Remplacez 203.0.113.0/24 par l'adresse IP publique ou le sous-réseau de votre entreprise.
Redémarrez Netdata pour appliquer les changements :
```
sudo systemctl restart netdata
```

Sécurisation de Netdata

Netdata expose son interface web sur le port 19999, ce qui peut le rendre accessible à tous si aucune restriction n'est mise en place. Voici les étapes pour sécuriser votre installation :

1. Limiter l'accès par IP

Pour autoriser uniquement les IP ou le sous-réseau de votre entreprise :

Modifiez la configuration de Netdata :
```
sudo nano /etc/netdata/netdata.conf
```
Ajoutez ou modifiez la section [web] :
```
[web]
bind to = 0.0.0.0
allow connections from = 203.0.113.0/24
```
- Remplacez 203.0.113.0/24 par l'adresse IP publique ou le sous-réseau de votre entreprise.
Redémarrez Netdata pour appliquer les changements :
```
sudo systemctl restart netdata
```

2. Ajouter une protection par pare-feu (optionnel)

Pour renforcer la sécurité, configurez un pare-feu pour bloquer tout accès non autorisé.

Avec ufw :

Bloquez tout le trafic sur le port 19999 :
```
sudo ufw deny 19999
```

Autorisez uniquement votre IP ou sous-réseau :

sudo ufw allow from 203.0.113.0/24 to any port 19999

Vérifiez les règles du pare-feu :
```
sudo ufw status
```

3. Ajouter une authentification (via proxy)

Pour protéger Netdata avec un mot de passe, configurez un proxy (Nginx ou Apache) avec une authentification HTTP basique.

Avec Nginx :

Configurez un mot de passe :

sudo htpasswd -c /etc/nginx/.htpasswd yourusername

Ajoutez cette configuration au fichier de site Nginx :

server {
    listen 80;
    server_name yourdomain.com;

    location / {
        proxy_pass http://127.0.0.1:19999;
        auth_basic "Restricted Access";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }
}

Activez et redémarrez Nginx :

sudo ln -s /etc/nginx/sites-available/netdata /etc/nginx/sites-enabled/
sudo systemctl restart nginx

Avec ces mesures, l'accès à Netdata sera restreint et sécurisé contre tout accès non autorisé.

PreviousÉtapes pour intégrer la suggestion de produit NextCompression Image Excel

Last updated 5 months ago