Tactical-RMM (Supervision et gestion de parc)

Environnement

Configuration du nom de domaine

Chez le gestionnaire du nom de domaine, créer les enregistrements DNS de type A suivants pointant sur l'IP publique du réseau :

Dans le cas d'un serveur non accessible depuis Internet, créer ces engistrements sur le serveur DNS local et les faisant pointer vers l'IP locale du serveur Tactical-RMM.

Installation

Mettre à jour le système :

sudo apt update && apt dist-upgrade -y

Installer les pré-requis :

sudo apt install -y wget curl sudo

Créer l'utilisateur tactical :

adduser tactical
usermod -a -G sudo tactical

Ajouter les règles suivantes au pare-feu (à adapter au contexte) :

ufw default deny incoming
ufw default allow outgoing
ufw allow https
ufw allow proto tcp from x.x.x.x to any port 4222

Utiliser l'utilisateur tactical :

su - tactical

Télécharger et lancer le script d'installation :

wget https://raw.githubusercontent.com/wh1te909/tacticalrmm/master/install.sh
chmod +x install.sh
./install.sh

Répondre aux différentes questions concernant les noms de domaine et email.

Le script va envoyer une demande de certificat SSL chez Let's Encrypt. En retour, avant de poursuivre le déroulement du script, il faudra créer un enregistrement DNS de type TXT nommé _acme-challenge contenant la valeur affichée à l'écran (ex : j6UfKySRjcspo_dvs7aV83LFIcps5B5D5qgzz9KyMak).

Créer un utilisateur pour la console Web et sauvegarder les différents utilisateurs / mots de passe qui seront générés.

Copier l'adresse de l'exécutable meshagent.exe dans un navigateur pour le télécharger : https://mesh.example.com/agentinvite?c=xxxxxxxxxxx

Dans un navigateur Web, aller à l'adresse https://rmm.domain.lan avec les identifiants précédemment créés et suivre les directives.

Téléverser ensuite le fichier meshagent.exe précédemment téléchargé.

Mise à jour

Se connecter sous le compte tactical, télécharger le script de mise à jour, le rendre exécutable et le lancer :

wget -N https://raw.githubusercontent.com/wh1te909/tacticalrmm/master/update.sh
chmod +x update.sh
./update.sh --force

Mise à jour du certificat Let's Encrypt

La procédure étant difficilement automatisable pour l'instant, il faut le faire manuellement tous les 2 mois.

Lancer la commande :

sudo certbot certonly --manual -d *.domain.lan --agree-tos --no-bootstrap --manual-public-ip-logging-ok --preferred-challenges dns -m it@domain.lan --no-eff-email

Créer l'enregistrement DNS TXT indiqué chez le registrar puis valider :

Please deploy a DNS TXT record under the name
_acme-challenge.rmm.ucpt.fr with the following value:

BkFroHU9PD0Vfji5v6xnwwOHp2a0pmePsS_1zerp61c

Before continuing, verify the record is deployed.

Sources

https://wh1te909.github.io/tacticalrmm/