Externe Programme können Zugriff auf die über das SNMP-Protokoll versendeten Daten erhalten oder diese Daten durch ihre eigenen Daten ersetzen. Für eine sichere Datenübermittlung über das SNMP-Protokoll wird empfohlen, die Verschlüsselung der SNMP-Verbindungen zu konfigurieren.
So passen Sie die Verschlüsselung für SNMP-Verbindungen an:
view systemview included .1
snmpget -v2c -c<community name> 127.0.0.1 SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'
Geben Sie den Communitynamen (community name) an, der in Ihrem Unternehmen verwendet wird. Gründen Sie bei Bedarf eine neue Community. Es wird empfohlen, die standardmäßig vorgegebene Community public nicht zu benutzen, um die Sicherheit der Datenübertragung nicht zu gefährden.
Vergewissern Sie sich vor der Ausführung des Befehls, dass der Dienst snmpd gestartet ist und läuft.
systemctl stop snmpd
net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES <username>
# accept KSMG statistics over unix socket
master agentx
agentXSocket unix:/var/
run/agentx-master.socket
agentXPerms 770 770 kluser klusers
# accept incoming SNMP requests over UDP
agentAddress udp:127.0.0.1:161
rouser <username> priv .1.3.6.1
Kommentieren Sie die folgende Ziele mit # aus, wenn Sie keine Weiterleitung der SNMP-Fallen über eine SNMPv3-Verbindung benötigen
trapsess -e <EngineID> -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:<IP address>:162
Geben Sie als <IP-address>
die IP-Adresse an, über die der Dienst snmptrapd die Netzverbindungen empfangen wird. Wenn Sie die SNMP-Fallen lokal auf dem Server speichern möchten, geben Sie 127.0.0.1
an.
mibdirs +/opt/kaspersky/ksmg/share/snmp-mibs/
mibs all
Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmp.conf enthalten ist, müssen Sie diese erst erstellen.
systemctl start snmpd
snmpwalk -mALL -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:127.0.0.1:161 .1.3.6.1.4.1.23668
snmpget -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:127.0.0.1:161 KSMG-PRODUCTINFO-STATISTICS::applicationName.0
systemctl stop snmptrapd
createUser -e <EngineID> <username> SHA "<password>" AES "<password>"
Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmptrapd.conf enthalten ist, müssen Sie diese erst erstellen.
Die Anmeldedaten des Benutzers (<username>
und <password>
) für die Dienste snmpd und snmptrapd müssen übereinstimmen.
snmpTrapdAddr udp:<IP address>:162
authUser log <username> priv
disableAuthorization no
Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmptrapd.conf enthalten ist, müssen Sie diese erst erstellen.
systemctl start snmptrapd
Vergewissern Sie sich, dass das in der Datei /var/lib/net-snmp/snmptrapd.conf angegebene Passwort in sichtbarer Form gegen eine obfuskierte Symbolabfolge ersetzt wurde . Das kann möglicherweise erforderlich machen, dass der Dienst snmptrapd mithilfe des Befehls systemctl restart snmptrapd
mehrere Male neu gestartet werden muss.
systemctl enable snmptrapd
snmptrap -e <EngineID> -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:<IP address>:162 0 KSMG-EVENTS-MIB::restartedBinary
Vergewissern Sie sich, dass in der Datei /var/log/messages folgende Zeile erscheint:
<date and time> <hostname> snmptrapd[7503]: <date and time> localhost [UDP: [127.0.0.1]:26325->[<IP address>]:162]:#012DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (0) 0:00:00.00#011SNMPv2-MIB::snmpTrapOID.0 = OID: KSMG-EVENTS-MIB::restartedBinary
Geben Sie als <IP-address>
die IP-Adresse an, über die der Dienst snmptrapd die Netzverbindungen empfangen wird. Wenn Sie die SNMP-Fallen lokal auf dem Server speichern möchten, geben Sie 127.0.0.1
an.
Verschlüsselung der SNMP-Verbindungen ist nun konfiguriert.
Nach oben