Konfigurace služby snmpd v operačním systému

Interakce s KSMG přes SNMP je dosaženo pomocí služby operačního systému „snmpd“. Služba snmpd funguje jako hlavní agent, který prostřednictvím protokolu SNMP přijímá a zpracovává požadavky od monitorovacích systémů a jiných externích spotřebitelů. KSMG se připojuje ke službě snmpd jako podagent prostřednictvím protokolu AgentX prostřednictvím soketu UNIX™.

Vytvoření uživatelského účtu pro přístup k datům

Před vytvořením účtu zastavte službu snmpd.

Chcete-li zajistit zabezpečení přístupu k datům přes SNMPv3 s ověřením a šifrováním, musíte si na straně služby snmpd vytvořit uživatelský účet s následujícími údaji:

• Uživatelské jméno (rozlišují se malá a velká písmena)
• Ověřovací algoritmus (MD5 nebo SHA, doporučeno SHA)
• Ověřovací heslo
• Šifrovací algoritmus (podporováno pouze AES)
• Šifrovací heslo

Z důvodu zabezpečení doporučujeme použití nezávislého uživatelského účtu na každém uzlu clusteru KSMG.

Účet můžete vytvořit pomocí nástroje net-snmp-create-v3-user.

Postup vytvoření uživatelského účtu pomocí nástroje net-snmp-create-v3-user:

1. Připojte se k uzlu clusteru přes SSH a získejte přístup do režimu technické podpory.
2. Spusťte následující příkaz:

   net-snmp-create-v3-user -ro -a <ověřovací algoritmus> -x <šifrovací algoritmus> <uživatelské jméno>

   Ověřovací a šifrovací hesla jsou vyžadována interaktivně.

   Příklad: net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Vytvoření uživatelského účtu pro příjem zachytávání SNMP

Chcete-li přijímat zachytávání SNMP přes SNMPv3 s ověřením a šifrováním, musíte si vytvořit účet na straně monitorovacího systému v kontextu příslušné služby (obvykle služba snmptrapd).

Účet musí obsahovat následující údaje:

• Uživatelské jméno
• Ověřovací algoritmus
• Ověřovací heslo
• Šifrovací algoritmus
• Šifrovací heslo

Z důvodu zabezpečení je nutné pro přístup k datům a pro příjem zachytávání SNMP používat samostatné uživatelské účty.
Doporučujeme vytvořit nezávislé uživatelské účty pro příjem zachytávání SNMP z každého uzlu clusteru KSMG.

Pokyny pro vytvoření uživatelského účtu pro příjem zachytávání SNMP najdete v dokumentaci k vašemu monitorovacímu systému.

Konfigurace služby snmpd

Konfigurace služby snmpd je uložena v souboru /etc/snmp/snmpd.conf. Je nutné vytvořit nový konfigurační soubor a přidat do něj následující řádky v uvedeném pořadí.

Postup konfigurace služby snmpd:

1. Připojte se k uzlu clusteru přes SSH a získejte přístup do režimu technické podpory.
2. Vytvořte nový konfigurační soubor a nastavte pro něj přístupová oprávnění:

   mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup

   touch /etc/snmp/snmpd.conf

   chown root:root /etc/snmp/snmpd.conf

   chmod 600 /etc/snmp/snmpd.conf

3. Zadejte protokol, adresu síťového rozhraní a číslo portu, na kterém musí služba snmpd naslouchat příchozím požadavkům.
   • Pokud chcete naslouchat požadavkům na všech síťových rozhraních, přidejte do konfiguračního souboru následující řádky:

     # Naslouchat příchozím požadavkům SNMP prostřednictvím UDP

     agentAddress udp:161

   • Pokud chcete naslouchat požadavkům pouze na rozhraní místní sítě, například pokud je monitorovací systém nainstalován na stejném počítači, přidejte následující řádky:

     # Naslouchat příchozím požadavkům SNMP prostřednictvím UDP

     agentAddress udp:127.0.0.1:161

4. Zadejte cestu a oprávnění pro soket UNIX, u kterého musí služba snmpd naslouchat připojení podagenta prostřednictvím protokolu AgentX. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Naslouchat připojení podagenta prostřednictvím soketu UNIX

   master agentx

   agentXSocket unix:/var/run/agentx-master.socket

   agentXPerms 770 770 kluser klusers

5. V případě potřeby můžete uvést popis systému, umístění systému a kontaktní adresu správce. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Základní informace o systému

   sysDescr <popis_systému>

   sysLocation <umístění_systému>

   sysContact <kontaktní_adresa>

   sysServices 72

6. Zadejte rozsah stromu OID, který chcete zpřístupnit vašemu monitorovacímu systému prostřednictvím protokolu SNMP. Chcete-li mít přístup k datům KSMG, přidejte do konfiguračního souboru následující řádky:

   # Statistiky SNMP Kaspersky Secure Mail Gateway

   view monitoring included .1.3.6.1.4.1.23668.1735

7. Dodatečně můžete určit rozsah stromu OID obsahujícího informace o operačním systému, které ukládá služba snmpd. Tento rozsah bude k dispozici vašemu monitorovacímu systému.

   Mezi informace o operačním systému patří například informace o využití procesoru a paměti RAM, volném místě na oddílech disku, zatížení síťových rozhraní; seznam nainstalovaného softwaru; seznam otevřených síťových připojení a seznam spuštěných procesů. Část těchto informací může být důvěrná.

   • Pokud chcete povolit přístup pouze k obecným systémovým informacím a informacím o využití paměti RAM, CPU a diskových zařízení, přidejte do konfiguračního souboru následující řádky:

     # SNMPv2-MIB – Základní informace o systému

     view monitoring included .1.3.6.1.2.1.1

     # HOST-RESOURCES-MIB – CPU, paměť, souborové systémy

     view monitoring included .1.3.6.1.2.1.25.1

     view monitoring included .1.3.6.1.2.1.25.2

     view monitoring included .1.3.6.1.2.1.25.3

     view monitoring included .1.3.6.1.2.1.25.5

     # UCD-SNMP-MIB – Využití paměti a procesoru

     view monitoring included .1.3.6.1.4.1.2021.4

     view monitoring included .1.3.6.1.4.1.2021.10

     view monitoring included .1.3.6.1.4.1.2021.11

     # UCD-SNMP-DISKIO-MIB – Blokovat statistiky I/O zařízení

     view monitoring included .1.3.6.1.4.1.2021.13

     # IF-MIB – Statistika I/O síťových rozhraní

     view monitoring included .1.3.6.1.2.1.2

     view monitoring included .1.3.6.1.2.1.31

   • Pokud chcete povolit přístup ke všem systémovým informacím, přidejte do konfiguračního souboru následující řádky:

     # Povolit přístup k celému stromu OID

     view monitoring included .1

8. Zadejte režim přístupu a rozsah informací pro vytvořený uživatelský účet. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Kontrola přístupu pro uživatele monitorovacího systému SNMPv3

   rouser <uživatelské jméno> priv -V monitoring

9. Chcete-li odesílat depeše SNMP, zadejte IP adresu monitorovacího systému a přihlašovací údaje uživatele pro příjem zachytávání. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Odesílat zachytávání SNMPv3 do monitorovacího systému

   trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <uživatelské jméno> -a <ověřovací algoritmus> -A "<heslo uživatele pro ověření>" -x <šifrovací algoritmus> -X "<heslo pro šifrování>" udp:<IP adresa>:162

Bude nakonfigurována služba snmpd.

Za účelem integrace s více monitorovacími systémy si vytvořte pro každý systém samostatný uživatelský účet, určete pro každý uživatelský účet rozsah dostupných informací (direktivy „view“ a „rouser“) a nakonfigurujte odesílání zachytávání SNMP (direktiva „trapsess“).

Příklad konfiguračního souboru služby snmpd: # Naslouchat příchozím požadavkům SNMP prostřednictvím UDP agentAddress udp:161   # Naslouchat připojení podagenta prostřednictvím soketu UNIX master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers   # Základní informace o systému sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72   # Statistiky SNMP Kaspersky Secure Mail Gateway view monitoring included .1.3.6.1.4.1.23668.1735   # SNMPv2-MIB – Základní informace o systému view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB – CPU, paměť, souborové systémy view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB – Využití paměti a procesoru view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB – Blokovat statistiky I/O zařízení view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB – Statistika I/O síťových rozhraní view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31   # Kontrola přístupu pro uživatele monitorovacího systému SNMPv3 rouser MonitoringUser priv -V monitoring   # Odesílat zachytávání SNMPv3 do monitorovacího systému trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162

Spuštění služby snmpd s novou konfigurací

Postup použití nové konfigurace:

1. Restartujte službu snmpd:

   systemctl restart snmpd

2. Zkontrolujte stav služby snmpd:

   systemctl status snmpd

   Stav musí být spuštěn.

3. Povolte automatické spouštění služby při spuštění operačního systému:

   systemctl enable snmpd

4. Pokud v operačním systému nebo síťovém zařízení používáte bránu firewall, přidejte pravidla pro propustnost paketů SNMP.

Je nakonfigurována služba snmpd.

Kontrola stavu služby snmpd

Chcete-li otestovat službu snmpd, nakonfigurujte používání SNMP ve webovém rozhraní aplikace KSMG a požádejte o data SNMP pomocí nástroje „snmpwalk“.

Postup získání rozsahů dat SNMP poskytovaných aplikací KSMG:

snmpwalk -v3 -l authPriv -u <uživatelské jméno> -a <ověřovací algoritmus> -A "<heslo pro ověření>" -x <šifrovací algoritmus> -X "<heslo pro šifrování>" <IP adresa> .1.3.6.1.4.1.23668.1735

Příklad: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Na začátek stránky