Documentation

Gestion globale des services Vulture

La gestion des services réseaux s’effectue dans l’onglet “Services” du panel d’administration Vulture. Au sein de ce panel, il est possible de modifier les URL de récupération des règles mod_security (cf règles de sécurité) ainsi que les cookies liés à l’authentification

admin-gestion-services-reseaux-img-1

L’onglet Settings Pannel permet de configurer :

  • OWASP CRS URL : Emplacement de l’archive afin de télécharger les règles mod_security de l’owasp (cf règles de sécurité).
  • Trustwave rules URL : Emplacement de l’archive afin de télécharger les règles mod_security Trustwave .
  • Trustwave authentication header : Header permettant l’authentification auprès de Trustwave afin de télécharger le pack de règles, sous la forme $registration_email ($license_key)

  • Portal cookie name : Nom du cookie utilisé pour maintenir les sessions sur le portail d’authentification
  • Application cookie name : Nom du cookie utilisé pour maintenir les sessions applicatives
  • Public token name : Nom du token utilisé dans la redirection mod_vulture => Portail
  • Logs repository: Base de données que Vulture va utiliser pour stocker ses logs
  • Lifetime logs in MongoDB: Si le logs repository est sur la base de données MongoDB Interne de Vulture, il est possible de configurer une suppression des logs. Par exemple, si le lifetime est mis à 30, Vulture conservera uniquement que les 30 derniers jours de logs dans MongoDB.
  • Lifetime logs file: Permet de configurer la rotation de tous les logs de Vulture en format fichier.
  • Time before delete logs files: Permet de configurer la suppression automatique des logs.
  • Location settings (City name, Latitude, Longitude): Données géographiques. Ces données serons utilisées dans les graphiques représentant la carte du monde.

  Il permet de configurer les services réseaux suivants :

  • DNS : configuration des serveurs DNS au niveau du cluster ou des noeuds.
  • NTP : configuration des serveurs DNS au niveau du cluster ou des noeuds.
  • SMTP : configuration des serveurs SMTP au niveau du cluster ou des noeuds.
  • SSH : activation du service SSH au niveau du cluster ou des noeuds.
  • FLUENTD : fluentd est l’ETL de Vulture. Il permet de récolter les logs, les parser et les rediriger vers les entrepôts de données. Il est ici possible de configurer le fonctionnement de son buffer (par fichier ou en mémoire) ainsi que les valeurs associées (taille du buffer, limite et délais des tentatives de vidage du buffer). cf documentation fluentd
  • FIREWALL : le firewall réseau est basé sur le projet pf. Il est activable et configurable au niveau de chacun des noeuds du cluster Vulture.

Configuration DNS:

Il est possible de configurer les paramètres DNS individuellement pour chaque noeud ou pour l’ensemble du cluster.

admin-gestion-services-reseaux-img-2

  • Configure DNS Settings of : permet de sélectionner soit un noeud soit le cluster afin d’appliquer la configuration DNS à cette cible
  • DNS Domain : Liste de recherche pour la résolution de nom d’hôte.
  • DNS Server Address#1, 2 , 3 : adresse ip du serveur DNS à contacter par ordre de priorité (chacune des entrées apparaitra dans l’ordre suivant dans le fichier /etc/resolv.conf)

Configuration NTP :

Comme pour les serveurs DNS, il est possible de configurer des serveurs NTP personnalisés aussi bien au niveau du cluster que des noeuds.

admin-gestion-services-reseaux-img-3

  • Configure NTP Settings of : permet de sélectionner soit un noeud soit le cluster afin d’appliquer la configuration NTP à cette cible
  • NTP Server Address #1, 2, 3, 4 : adresse du serveur NTP à contacter pour la synchronisation. L’ordre d’apparition dans l’interface sera le même dans le fichier de configuration (/etc/ntp.conf). Si le serveur 1 ne répond pas, on contacte le 2 etc.
  • Bouton Restart Service : lance une commande système “service ntp stop” puis “service ntp start”. Il est nécessaire d’utiliser cette fonction lors d’un changement de configuration NTP (champ “Configure NTP Settings of” et “NTP Server Address”).

Configuration SMTP :

La configuration des serveurs de messagerie SMTP est disponible dans l’onglet SMTP. Encore une fois, la configuration est possible soit au niveau des noeuds, soit au niveau du cluster. En choisissant de configurer le serveur SMTP au niveau du cluster, le menu suivant apparait :

admin-gestion-services-reseaux-img-4

  • Server : Nom d’hôte du serveur SMTP à utiliser
  • Domain name : Nom de domaine dans lequel se trouve le serveur SMTP

En choisissant de configurer le serveur SMTP au niveau du noeud

admin-gestion-services-reseaux-img-5

  • Le bouton “Get SMTP config cluster” positionné à “Off” permet de configurer un serveur SMTP pour le noeud sélectionné dans “Configure SMTP Settings of”
  • Le bouton “Get SMTP config cluster” positionné à “On”, les champs Server et Domain Name sont grisés et hérités du Cluster.

Info : il est possible de configurer un serveur SMTP au niveau du Cluster, de faire hériter cette configuration au noeud1 et de paramétrer un serveur SMTP différent pour le noeud2.

Configuration SSH :

Il est possible de configurer le service SSH de Vulture via l’onglet SSH.

admin-gestion-services-reseaux-img-6

  • Configure SSH Settings of : Sélectionne le cluster ou l’un des noeud auquel appliquer la configuration SSH.
  • Enable SSH : Positionné à On, le service SSH

L’icône SSH Status renvoie l’état du service SSH via une commande système. Info : désactiver le service SSH sur l’un des éléments ne coupera pas les connexions déjà établies.

Service Fluentd :

Fluentd est l’ETL de Vulture. Il permet de récolter les logs, les parser et les rediriger vers les entrepôts de données. Il est ici possible de configurer le fonctionnement de son buffer (par fichier ou en mémoire) ainsi que les valeurs associées (taille du buffer, limite et délais des tentatives de vidage du buffer). cf documentation fluentd

admin-gestion-services-reseaux-img-7

La page Fluentd permet de configurer le plugin buffer de fluent. Il existe deux type de fonctionnement pour le buffer. En mode “Memory”, le buffering s’effectuera en RAM avec un système de file d’attente.

  • Configure Fluentd Settings of : Sélectionne le cluster ou l’un des noeud auquel appliquer la configuration Fluentd.
  • Buffer type : Sélection du type de buffer à utiliser (soit par fichier, soit en RAM)
  • Buffer chunk limit : Taille du buffer en Mb. Quand la taille des éléments dans la pile dépasse cette valeur, le buffer écrit dans la destination.
  • Buffer queue limit :  Nombre d’éléments maximum dans la pile.
  • Retry wait : Délai avant de relancer une tentative de vidage du buffer lorsqu’une écriture n’a pas fonctionné.

Configuration Firewall :

Le firewall réseau intégré dans Vulture est basé sur le projet pf. Il est activable et configurable au niveau de chacun des noeuds du cluster Vulture (mais pas au niveau du Cluster afin d’éviter tout conflit).

admin-gestion-services-reseaux-img-8

  • Configure Firewall Settings of : Noeud sur lequel appliquer la configuration actuelle.
  • Repository type: Type de dépot pour les logs du Firewall.
  • Log repository: Choisir un dépot où seront envoyé les logs.
  • Optional Syslog repository: Choisir un dépot Syslog pour les logs.
  • Configuration: Interface de création de règles
  • Blacklist: Interface d’édition de blacklist
  • Advanced configuration: Interface de configuration avancée

Après tout changement dans cette configuration, il est nécessaire de cliquer sur le bouton Restart Service afin que le firewall prenne en compte la nouvelle configuration. Ceci a pour effet de lancer une commande système “service pf stop” et “service pf start”. Ceci permet d’écrire la règle dans le fichier /usr/local/etc/pf.conf sur le noeud ciblé.

admin-gestion-services-reseaux-img-9

L’onglet configuration permet de définir les règles du Firewall. Dans cet exemple une règle est configurée pour laisser passer les paquêts arrivant sur l’interface em0, provenant de l’adresse IP xx.xx.xx.xx sur le port 80.

admin-gestion-services-reseaux-img-10

L’onglet configuration avancée permet de définir les règles du Firewall via un champs texte.


L’onglet configuration avancée doit être édité avec beaucoup de prudence. Par défaut, toutes les connexions entrantes sont bloquées. Vient ensuite la configuration créé par l’administrateur, les blacklistes, et enfin les règles permettant l’accès à l’interface d’administration de Vulture, SSH, MongoDB, Redis et les ports 80 et 443 pour les redirections.