Verschlüsselungseinstellungen für SNMP-Verbindungen anpassen

Externe Programme können Zugriff auf die über das SNMP-Protokoll versendeten Daten erhalten oder diese Daten durch ihre eigenen Daten ersetzen. Für eine sichere Datenübermittlung über das SNMP-Protokoll wird empfohlen, die Verschlüsselung der SNMP-Verbindungen zu konfigurieren.

So passen Sie die Verschlüsselung für SNMP-Verbindungen an:

  1. Fügen Sie der Datei /etc/snmp/snmpd.conf folgende Zeile hinzu:

    view systemview included .1

  2. Erhalten Sie die EngineID, die für die Bearbeitung der SNMP-Fallen benötigt wird. Führen Sie dazu auf jedem Server, der zum Cluster gehört, folgenden Befehl aus:

    snmpget -v2c -c<community name> 127.0.0.1 SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

    Geben Sie den Communitynamen (community name) an, der in Ihrem Unternehmen verwendet wird. Gründen Sie bei Bedarf eine neue Community. Es wird empfohlen, die standardmäßig vorgegebene Community public nicht zu benutzen, um die Sicherheit der Datenübertragung nicht zu gefährden.

    Vergewissern Sie sich vor der Ausführung des Befehls, dass der Dienst snmpd gestartet ist und läuft.

  3. Richten Sie auf jedem dem Cluster angehörenden Knoten den Dienst snmpd ein. Gehen Sie hierzu wie folgt vor:
    1. Stoppen Sie den Dienst snmpd. Führen Sie dazu folgenden Befehl aus:

      systemctl stop snmpd

    2. Legen Sie einen neuen Benutzer an. Führen Sie dazu folgenden Befehl aus:

      net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES <username>

    3. Fügen Sie der Konfigurationsdatei /etc/snmp/snmpd.conf folgende Zeilen hinzu:

      # accept KSMG statistics over unix socket

      master agentx

      agentXSocket unix:/var/run/agentx-master.socket

      agentXPerms 770 770 kluser klusers

      # accept incoming SNMP requests over UDP

      agentAddress udp:127.0.0.1:161

      rouser <username> priv .1.3.6.1

      Kommentieren Sie die folgende Ziele mit # aus, wenn Sie keine Weiterleitung der SNMP-Fallen über eine SNMPv3-Verbindung benötigen

      trapsess -e <EngineID> -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:<IP address>:162

      Geben Sie als <IP-address> die IP-Adresse an, über die der Dienst snmptrapd die Netzverbindungen empfangen wird. Wenn Sie die SNMP-Fallen lokal auf dem Server speichern möchten, geben Sie 127.0.0.1 an.

    4. Fügen Sie der Konfigurationsdatei /etc/snmp/snmp.conf folgende Zeilen hinzu:

      mibdirs +/opt/kaspersky/ksmg/share/snmp-mibs/

      mibs all

      Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmp.conf enthalten ist, müssen Sie diese erst erstellen.

    5. Starten Sie den Dienst snmpd. Führen Sie dazu folgenden Befehl aus:

      systemctl start snmpd

    6. Überprüfen Sie die SNMP-Verbindung. Führen Sie folgende Befehle aus:

      snmpwalk -mALL -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:127.0.0.1:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:127.0.0.1:161 KSMG-PRODUCTINFO-STATISTICS::applicationName.0

  4. Konfigurieren Sie auf dem Server, auf dem Sie die SNMP-Fallen erhalten möchten, den Dienst snmptrapd. Gehen Sie hierzu wie folgt vor:
    1. Stoppen Sie den Dienst snmptrapd mithilfe des Befehls:

      systemctl stop snmptrapd

    2. Fügen Sie in der Konfigurationsdatei /var/lib/net-snmp/snmptrapd.conf folgende Zeile ein:

      createUser -e <EngineID> <username> SHA "<password>" AES "<password>"

      Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmptrapd.conf enthalten ist, müssen Sie diese erst erstellen.

      Die Anmeldedaten des Benutzers (<username> und <password>) für die Dienste snmpd und snmptrapd müssen übereinstimmen.

    3. Fügen Sie der Konfigurationsdatei /etc/snmp/snmptrapd.conf folgende Zeilen hinzu:

      snmpTrapdAddr udp:<IP address>:162

      authUser log <username> priv

      disableAuthorization no

      Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmptrapd.conf enthalten ist, müssen Sie diese erst erstellen.

    4. Starten Sie den Dienst snmptrapd. Führen Sie dazu folgenden Befehl aus:

      systemctl start snmptrapd

      Vergewissern Sie sich, dass das in der Datei /var/lib/net-snmp/snmptrapd.conf angegebene Passwort in sichtbarer Form gegen eine obfuskierte Symbolabfolge ersetzt wurde . Das kann möglicherweise erforderlich machen, dass der Dienst snmptrapd mithilfe des Befehls systemctl restart snmptrapd mehrere Male neu gestartet werden muss.

    5. Fügen Sie den snmptrapd-Dienst dem Autostart hinzu. Führen Sie dazu folgenden Befehl aus:

      systemctl enable snmptrapd

    6. Überprüfen Sie die SNMP-Verbindung mithilfe des Befehls:

      snmptrap -e <EngineID> -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:<IP address>:162 0 KSMG-EVENTS-MIB::restartedBinary

      Vergewissern Sie sich, dass in der Datei /var/log/messages folgende Zeile erscheint:

      <date and time> <hostname> snmptrapd[7503]: <date and time> localhost [UDP: [127.0.0.1]:26325->[<IP address>]:162]:#012DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (0) 0:00:00.00#011SNMPv2-MIB::snmpTrapOID.0 = OID: KSMG-EVENTS-MIB::restartedBinary

    Geben Sie als <IP-address> die IP-Adresse an, über die der Dienst snmptrapd die Netzverbindungen empfangen wird. Wenn Sie die SNMP-Fallen lokal auf dem Server speichern möchten, geben Sie 127.0.0.1 an.

Verschlüsselung der SNMP-Verbindungen ist nun konfiguriert.

Nach oben