Einstellungen des Dienstes snmpd im Betriebssystem anpassen

Für die Arbeit von KSMG über das SNMP-Protokoll wird der snmpd-Dienst des Betriebssystems verwendet. Der snmpd-Dienst fungiert als Master-Agent und akzeptiert und verarbeitet Anfragen von Überwachungssystemen und anderen externen Verbrauchern über das SNMP-Protokoll. KSMG stellt als Subagent über das AgentX-Protokoll über einen UNIX™-Socket eine Verbindung zum snmpd-Dienst her.

snmpd-Dienst installieren

Überprüfen Sie, ob der snmpd-Dienst auf Ihrem Betriebssystem installiert ist. Wenn kein Dienst verfügbar ist, installieren Sie die entsprechenden Pakete.

So installieren Sie den Dienst "snmpd" und unterstützende Tools,

führen Sie den folgenden Befehl aus:

Für die Betriebssysteme Red Hat Enterprise Linux und Rocky Linux:
yum install net-snmp net-snmp-utils
Auf Ubuntu-Betriebssystemen gilt:
apt install snmp snmpd

Benutzerkonto für den Datenzugriff erstellen

Stoppen Sie den snmpd-Dienst, bevor Sie ein Benutzerkonto erstellen.

Um mithilfe des SNMPv3-Protokolls mit Authentifizierung und Verschlüsselung sicher auf Daten zuzugreifen, müssen Sie auf der Seite des snmpd-Dienstes ein Benutzerkonto mit den folgenden Daten erstellen:

Benutzername (Groß-/Kleinschreibung beachten)
Authentifizierungsalgorithmus (MD5 oder SHA, SHA empfohlen)
Kennwort für die Authentifizierung
Verschlüsselungsalgorithmus (unterstützt nur AES).
Kennwort für die Verschlüsselung

Aus Sicherheitsgründen wird empfohlen, separate Benutzerkonten auf verschiedenen KSMG-Cluster-Knoten zu verwenden.

Sie können ein Benutzerkonto auf folgende Weise erstellen:

Mithilfe des Dienstprogramms net-snmp-create-v3-user, sofern es auf dem Betriebssystem verfügbar ist
Manuell durch Hinzufügen der entsprechenden Direktive zur snmpd-Dienstkonfigurationsdatei

Um ein Benutzerkonto mit dem Dienstprogramm net-snmp-create-v3-user zu erstellen, geben Sie den folgenden Befehl ein:

net-snmp-create-v3-user -ro -a <Authentifizierungsalgorithmus> -x <Verschlüsselungsalgorithmus> <Benutzername>

Kennwörter zur Authentifizierung und Verschlüsselung werden interaktiv abgefragt.

Beispiel:

net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

So erstellen Sie ein Benutzerkonto ohne Dienstprogramm:

Erstellen Sie die Konfigurationsdatei /var/lib/snmp/snmpd.conf mit dem Befehl:
touch /var/lib/snmp/snmpd.conf
Fügen Sie der Konfigurationsdatei eine Zeile wie diese hinzu:
createUser <Benutzername> <Authentifizierungsalgorithmus> "<Kennwort für die Authentifizierung>" <Verschlüsselungsalgorithmus> "<Kennwort für die Verschlüsselung>"

Beispiel:

createUser MonitoringUser SHA "MonitoringAuthSecret" AES "MonitoringPrivSecret"

Benutzerkonto zum Empfang von SNMP-Fallen erstellen

Um SNMP-Fallen über das SNMPv3-Protokoll mit Authentifizierung und Verschlüsselung zu empfangen, müssen Sie auf der Seite des Überwachungssystems im Kontext des entsprechenden Dienstes (normalerweise des snmptrapd-Dienstes) ein Benutzerkonto erstellen.

Das Benutzerkonto muss folgende Informationen enthalten:

Benutzername.
Authentifizierungsalgorithmus
Kennwort für die Authentifizierung
Verschlüsselungsalgorithmus
Kennwort für die Verschlüsselung

Aus Sicherheitsgründen müssen Sie unterschiedliche Benutzerkonten verwenden, um auf Daten zuzugreifen und SNMP-Fallen zu empfangen.
Es wird empfohlen, separate Benutzerkonten zu erstellen, um SNMP-Fallen von verschiedenen Knoten im KSMG-Cluster zu empfangen.

Anweisungen zum Erstellen eines Benutzerkontos zum Empfang von SNMP-Fallen finden Sie in der Dokumentation Ihres Überwachungssystems.

snmpd-Dienst konfigurieren

Die Konfiguration des snmpd-Dienstes wird in der Datei /etc/snmp/snmpd.conf gespeichert. Sie können die erforderlichen Daten zu einer vorhandenen Konfigurationsdatei hinzufügen oder eine neue Konfigurationsdatei erstellen und die folgenden Zeilen nacheinander hinzufügen.

So richten Sie den Dienst snmpd ein:

Wenn Sie eine neue Konfigurationsdatei erstellt haben, stellen Sie sicher, dass nur der Superuser darauf zugreifen kann. Legen Sie bei Bedarf Berechtigungen mit den folgenden Befehlen fest:
chown root:root /etc/snmp/snmpd.conf

chmod 600 /etc/snmp/snmpd.conf
Geben Sie das Protokoll, die Netzwerkschnittstellenadresse und die Portnummer an, auf denen der snmpd-Dienst eingehende Anforderungen akzeptiert.
- Wenn Sie Anfragen auf allen Netzwerkschnittstellen akzeptieren möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
  # Listen for incoming SNMP requests via UDP
  
  agentAddress udp:161
- Wenn Sie Anfragen nur auf der lokalen Netzwerkschnittstelle akzeptieren möchten, beispielsweise wenn das Überwachungssystem auf demselben Computer installiert ist, fügen Sie die folgenden Zeilen hinzu:
  # Listen for incoming SNMP requests via UDP
  
  agentAddress udp:127.0.0.1:161
Geben Sie den Pfad und die Berechtigungen für den UNIX-Socket an, auf dem der snmpd-Dienst Verbindungen vom Subagenten über das AgentX-Protokoll akzeptiert. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Listen for subagent connections via UNIX socket

master agentx

agentXSocket unix:/var/run/agentx-master.socket

agentXPerms 770 770 kluser klusers
Bei Bedarf können Sie eine Beschreibung des Systems, den Standort des Systems und die Kontaktadresse des Administrators angeben. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Basic system information

sysDescr <Systembeschreibung>

sysLocation <Systemstandort>

sysContact <Kontaktadresse des Administrators>

sysServices 72
Geben Sie den Bereich der OID-Struktur an, der Ihrem Überwachungssystem über das SNMP-Protokoll zur Verfügung stehen soll. Um auf KSMG-Anwendungsdaten zuzugreifen, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
# Kaspersky Secure Mail Gateway SNMP statistics

view monitoring included .1.3.6.1.4.1.23668.1735
Bei Bedarf können Sie zusätzlich den Bereich der OID-Struktur angeben, der Betriebssysteminformationen enthält, die der Dienst "snmpd" speichert. Dieser Bereich steht Ihrem Überwachungssystem zur Verfügung.
Zu den Informationen über das Betriebssystem gehören beispielsweise Daten zur Nutzung des Prozessors und des Arbeitsspeichers, Daten zum freien Speicherplatz auf Festplattenpartitionen, zur Auslastung der Netzwerkschnittstellen, eine Liste der installierten Software, eine Liste der offenen Netzwerkverbindungen und eine Liste von Laufende Prozesse. Diese Informationen können vertrauliche Daten enthalten.
- Wenn Sie den Zugriff nur auf allgemeine Systeminformationen sowie Daten zur Nutzung von Speicher, Prozessor, Netzwerk und Festplatten zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
  # SNMPv2-MIB - Basic system information
  
  view monitoring included .1.3.6.1.2.1.1
  
  # HOST-RESOURCES-MIB - CPU, Memory, Filesystems
  
  view monitoring included .1.3.6.1.2.1.25.1
  
  view monitoring included .1.3.6.1.2.1.25.2
  
  view monitoring included .1.3.6.1.2.1.25.3
  
  view monitoring included .1.3.6.1.2.1.25.5
  
  # UCD-SNMP-MIB - Memory and CPU usage
  
  view monitoring included .1.3.6.1.4.1.2021.4
  
  view monitoring included .1.3.6.1.4.1.2021.10
  
  view monitoring included .1.3.6.1.4.1.2021.11
  
  # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics
  
  view monitoring included .1.3.6.1.4.1.2021.13
  
  # IF-MIB - Network interfaces I/O statistics
  
  view monitoring included .1.3.6.1.2.1.2
  
  view monitoring included .1.3.6.1.2.1.31
- Wenn Sie den Zugriff auf alle Systeminformationen zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
  # Allow access to the whole OID tree
  
  view monitoring included .1
Geben Sie den Zugriffsmodus und den Datenbereich für das erstellte Benutzerkonto an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Access control for SNMPv3 monitoring system user

rouser <Benutzername> priv -V monitoring
Um SNMP-Fallen zu senden, geben Sie die IP-Adresse des Überwachungssystems und die Anmeldedaten des Benutzers zum Empfang von Traps an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Send SNMPv3 traps to the monitoring system

trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <Benutzername für das Annehmen von Traps> -a <Authentifizierungsalgorithmus> -A "<Kennwort des Benutzers für das Annehmen von Trap>" -x <Verschlüsselungsalgorithmus> -X "<Kennwort für die Verschlüsselung>" udp:<IP-адрес>:162

Dienst snmpd ist nun konfiguriert.

Für die Integration mit mehreren Überwachungssystemen erstellen Sie für jedes System ein separates Benutzerkonto, geben den Bereich der verfügbaren Daten für die Benutzerkonten an (View- und Rouser-Anweisungen) und konfigurieren das Senden von SNMP-Fallen (Trapsess-Anweisung).

Beispiel einer snmpd-Dienstkonfigurationsdatei

Dienst "snmpd" mit neuer Konfiguration starten

So wenden Sie die neue Konfiguration an:

Starten Sie den snmpd-Dienst mit dem folgenden Befehl neu:
systemctl restart snmpd
Überprüfen Sie den Status des snmpd-Dienstes mit dem folgenden Befehl:
systemctl status snmpd

Der Status muss running lauten.
Erlauben Sie dem Dienst mit dem folgenden Befehl, automatisch zu starten, wenn das Betriebssystem hochfährt:
systemctl enable snmpd
Wenn Sie in Ihrem Betriebssystem oder Netzwerkgerät eine Firewall verwenden, fügen Sie entsprechende Regeln hinzu, um SNMP-Protokollpakete durchzulassen.

Der snmpd-Dienst wird konfiguriert.

Funktionalität des snmpd-Dienstes überprüfen

Um die Funktionalität des snmpd-Dienstes zu überprüfen, konfigurieren Sie die Verwendung von SNMP in der KSMG-Webschnittstelle und fragen Sie SNMP-Daten mit dem Dienstprogramm snmpwalk ab.

Um die von der Anwendung KSMG bereitgestellten SNMP-Datenbereiche abzurufen, führen Sie den folgenden Befehl aus:

snmpwalk -v3 -l authPriv -u <Benutzername> -a <Authentifizierungsalgorithmus> -A "<Kennwort für die Authentifizierung>" -x <Verschlüsselungsalgorithmus> -X "<Kennwort für die Verschlüsselung>" <IP-Adresse> .1.3.6.1.4.1.23668.1735

Beispiel:

snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Nach oben