本日は、久しぶりに監視ツールを触りたいな、と思って、先日OSC北海道で紹介されていたHinemosをAnsibleでインストールしてみました。

Ansible関連の実践記事一覧はこちら。

• 目的
• 環境
• 構築手順
  • 参考にしたWebページ
  • 作成したPlaybook
  • インストール結果、接続確認
• まとめ

目的

• Hinemosをインストールするため
• 家庭内LANの監視をしつつ、Hinemosの使用感をつかむため

Hinemos自体の説明は、公式サイトをご覧ください。

環境

• OS: CentOS Linux release 7.8.2003 (Core) (7.7のイメージから上げてます)
• Hinemos: 6.2.2

構築手順

参考にしたWebページ

Hinemos公式ページのガイドから、以下URLの手順を参考にさせていただきました。

Hinemos ver.6.1 入門編① Hinemos ver.6.1を使ってみよう | Hinemos

作成したPlaybook

作成したPlaybookがこちら。 become用のパスワードはhost_varsに入れています。

本当はもうちょっとバージョンとかURLとかを変数に放り込んだほうがいいような

---
- hosts: hinemos
  gather_facts: true
  become: yes

  vars:
    user_name: ansible
    git_url: https://github.com/hinemos/hinemos/releases/download/
    MAJOR_VERSION: "6"
    MINOR_VERSION: "2"
    REVISION: "2"
    BUILD: "1"
    OS_TYPE: "el7"

  tasks:
    - name: Yum update
      yum:
        name: "*"
        state: latest
      register: result

    - name: Install packages
      yum:
        state: latest
        name:
          - unzip
          - vim-common
          - java
          - net-snmp
          - net-snmp-utils

    - name: Disable SELinux
      selinux:
        state: disabled

    - name: Change Firewalld Setting(TCP8080/UDP162)
      firewalld:
        port: "{{ item }}"
        permanent: yes
        state: enabled
      with_items:
        - "8080/tcp"
        - "162/udp"
        - "80/tcp"

    - name: Reboot
      reboot:
      when: result.changed

# ----------------------

    - name: Get Hinemos RPM File
      get_url:
        url: "{{ item }}"
        dest: /home/{{ user_name }}/
      with_items: 
        - "{{ git_url }}/v{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}.{{ REVISION }}/hinemos-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}-manager-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}.{{ REVISION }}-{{ BUILD }}.{{ OS_TYPE }}.x86_64.rpm"
        - "{{ git_url }}/v{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}.{{ REVISION }}/hinemos-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}-web-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}.{{ REVISION }}-{{ BUILD }}.{{ OS_TYPE }}.x86_64.rpm"


    - name: Install Hinemos Manager
      yum:
        name: /home/{{ user_name }}/hinemos-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}-manager-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}.{{ REVISION }}-{{ BUILD }}.{{ OS_TYPE }}.x86_64.rpm
        state: present

    - name: Start Hinemos Manager Service
      service:
        name: hinemos_manager
        state: started
        enabled: yes

    - name: Hinemos Manager Listen Check(tcp8080)
      wait_for:
        port: 8080
        delay: 10

# ----------------------

    - name: Install Hinemos Web ClientManager
      yum:
        name: /home/{{ user_name }}/hinemos-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}-web-{{ MAJOR_VERSION }}.{{ MINOR_VERSION }}.{{ REVISION }}-{{ BUILD }}.{{ OS_TYPE }}.x86_64.rpm
        state: present

    - name: Start Hinemos Web Client Service
      service:
        name: hinemos_web
        state: started
        enabled: yes

    - name: Hinemos Manager Listen Check(tcp80)
      wait_for:
        port: 80
        delay: 10

# ----------------------

# SNMP Client Setting

    - name: SNMP Service Enable
      service:
        name: snmpd
        state: started
        enabled: yes

インストール結果、接続確認

以下のように、インストールは無事完了。

ブラウザを使って接続確認してみたところ、問題なく管理画面にアクセスできました。

まとめ

まずはインストールまでですが、Ansibleを使って問題なくHinemosのインストールを実施することができました。

Hinemos初めて使うので、これからいろいろといじってみます。楽しみ！

実際に使う中でもうちょっと修正が必要になるかもしれませんので、その際にはまた修正します。

めずらしくAnsible系以外の記事になります。

Repsonaというプロジェクト管理ツールが個人的に気に入っていて、会社でも使いたいなーと思っているのですが、会社のHTTPS復号環境だと、ログイン画面の直前でWebSocket用のJavaScriptの読み込みで失敗するようでした。

ひたすら、これが出る感じですね。 pic.twitter.com/1mi3CCX9EC

— tatematsu_san (@tk4_jj) 2020年7月12日

↑再現させた自宅での環境もこんな感じ。

Repsonaの開発者の ガッシー( @GussieTech ) さんと会話をする中で、検証環境用にHTTPS復号プロキシを簡単に立てられないかなと思い、実際に立ててみました。その作業メモを残しておきます。

• 環境
• 手順
  • Squidのインストール
  • オレオレ認証局の証明書と鍵の作成
  • 認証局証明書の取得、信頼するルートCAへのインポート
    • 設定→オプション→「プライバシーとセキュリティ」→「証明書」
    • 証明書マネージャ→「インポート」
    • 対象のpemファイルを選択し、「開く」
    • インポートダイアログで「この認証局によるウェブサイトの識別を信頼する」にチェックし「OK」
    • インポートした認証局の情報が表示されることを確認。（ここでは、Default Company Ltd）
  • 証明書ファイルの所有者・権限の変更
• 証明書キャッシュの作成と初期化、所有権の変更
  • /etc/squid/squid.confの修正
  • firewalldの設定追加
  • SELINUXのPermissive
  • サービスの起動と動作確認
  • クライアントのプロキシ設定と動作確認
  • 上手く行かない時は…
• まとめ
• 参考にさせていただいたサイト

環境

• OS: CentOS Linux release 7.7.1908
• squid: 3.5.20
• クライアント用ブラウザ: Firefox 78.0.2

手順

Squidのインストール

yumコマンドでインストールを行います。

$ sudo yum -y install squid

インストール後、バージョン確認と有効になっているOptionを確認。

$ squid -v 
[ansible@proxy2 ~]$ squid -v
Squid Cache: Version 3.5.20
Service Name: squid

以下のように、有効になっているオプションが表示されますが、このなかで赤字にしてある2点(--enable-ssl-crtd , --with-openssl)が入っていれば、HTTPS復号プロキシは利用可能です。

configure options: '--build=x86_64-redhat-linux-gnu'(略) '--enable-snmp' '--enable-ssl-crtd' '--enable-storeio=aufs,diskd,rock,ufs' '--enable-wccpv2' '--enable-esi' '--enable-ecap' '--with-aio' '--with-default-user=squid' '--with-dl' '--with-openssl' '--with-pthreads' '--disable-arch-native' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches (略)

オレオレ認証局の証明書と鍵の作成

Squidのディレクトリに移動し、オレオレ認証局の証明書と鍵を作成します。

$ cd /etc/squid

$ sudo openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout secret.key -out squidCA.pem

Generating a 2048 bit RSA private key
...........................................................................................................+++
..................+++
writing new private key to 'secret.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:hogehoge
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:hogehoge.com
Email Address []:

#↑の部分は対話式で入力していきます。

結果、以下のように認証局証明書(squidCA.pem)と秘密鍵(secret.key)の作成が完了しました。

認証局証明書の取得、信頼するルートCAへのインポート

SCPなどを用いて、squidCA.pemをプロキシクライアント端末へ取得し、ブラウザの証明書ストアへインポートします。

※DER形式へのコンバートコマンドなども書いてありますが、FireFoxであれば、pemでそのままインポート可能でした。

設定→オプション→「プライバシーとセキュリティ」→「証明書」

証明書マネージャ→「インポート」

対象のpemファイルを選択し、「開く」

インポートダイアログで「この認証局によるウェブサイトの識別を信頼する」にチェックし「OK」

インポートした認証局の情報が表示されることを確認。（ここでは、Default Company Ltd）

証明書ファイルの所有者・権限の変更

以下コマンドを入力し、証明書ファイルをsquid:squidの所有権に変更します。

$ sudo chown squid:squid squidCA.pem
$ sudo chmod 400 squidCA.pem

証明書キャッシュの作成と初期化、所有権の変更

以下コマンドで、証明書キャッシュの作成と初期化を行います。

なお、参考サイトで記載しているカスペルスキーさんのところでは「/usr/lib/squid/ssl_crtd 」となっていますが、最近の環境では、下記のように「/usr/lib64/squid/ssl_crtd」に修正する必要があると思います。

$ sudo mkdir -p /var/lib/squid
$ sudo /usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

Initialization SSL db...
Done

$ sudo chown -R squid:squid /var/lib/squid

/etc/squid/squid.confの修正

以下の箇所の変更を行います。

# Squid normally listens to port 3128
#http_port 3128　#コメントアウト
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/squidCA.pem key=/etc/squid/secret.key #追加

sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 4MB #追加

sslcrtd_children 5 #追加

ssl_bump server-first all #追加

sslproxy_cert_error deny all #追加

firewalldの設定追加

Squid用のTCP3128について、着信を許可します。

$ sudo firewall-cmd --add-port=3128/tcp --zone=public --permanent

success

$ sudo firewall-cmd --reload
success

$ sudo firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources:
  services: dhcpv6-client ssh
  ports: 3128/tcp  #これが出てればOK
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

SELINUXのPermissive

Enforceのままだと証明書キャッシュの生成に失敗するので、とりあえずPermissiveにします。(怒られそう）

$ sudo setenforce permissive

サービスの起動と動作確認

systemctlコマンドでsquidサービスを起動します。

$ sudo systemctl start squid

クライアントのプロキシ設定と動作確認

プロキシを以下のように設定。

以下のように、HTTPSサイトにアクセスしたときに証明書の認証局が書き換わっており、SquidのアクセスログにHTTPSでアクセスした詳細なパス情報が記録されていればOK。

$ sudo cat /var/log/squid/access.log | grep news.yahoo

1594645647.847     78 192.168.10.243 TAG_NONE/200 0 CONNECT news.yahoo.co.jp:443 - HIER_DIRECT/182.22.25.124 -
1594645647.946     91 192.168.10.243 TCP_MISS/200 29546 GET https://news.yahoo.co.jp/pickup/6365311 - HIER_DIRECT/182.22.25.124 text/html
1594645649.292     56 192.168.10.243 TCP_MISS/200 8623 GET https://news.yahoo.co.jp/comment/plugin/v1/short/? - HIER_DIRECT/182.22.25.124 text/html

上手く行かない時は…

だいたい、/var/log/squid/cache.logか、/var/log/messagesに理由が書いてあります。

• 初期化されていない系→案内通りにやってみる。だめならSELINUX設定見直し。

Uninitialized SSL certificate database directory: /var/lib/squid/ssl_db. To initialize, run "ssl_crtd -c -s /var/lib/squid/ssl_db".

• 証明書が有効でない系エラーの場合→squid.confと、証明書ファイルのアクセス権の見直し。

まとめ

大分雑な環境ですが、こんな形でSquidでHTTPS復号を行うプロキシサーバを立てることができました。

実運用考えた場合、squidのスタートアップだけでなく、SELINUXもConfigいじったりしないといけませんし、復号除外用のACLが書けるような設定にしたり、プロセス数をチューニングしたりと色々考える必要がありますので、そのあたりは適宜調整していただければ。

何かのお役に立てば幸いです。

今度はこれ、Playbook化しよっと。

参考にさせていただいたサイト

カスペルスキーさんのサイト

Squid で SSL Bump なプロキシサーバを構築する - 約束の地