La configuración del servicio snmpd en el sistema operativo

La interacción con KSMG a través de SNMP se logra mediante el servicio "snmpd" del sistema operativo. El servicio snmpd actúa como un agente principal, recibiendo y procesando solicitudes de sistemas de supervisión y otros consumidores externos a través de SNMP. KSMG se conecta al servicio snmpd como subagente sobre el protocolo AgentX a través de un socket UNIX™.

Crear una cuenta de usuario para acceder a los datos

Antes de crear la cuenta, detenga el servicio snmpd.

Para garantizar la seguridad del acceso a los datos a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta de usuario en el lado del servicio snmpd con la siguiente información:

• Nombre de usuario (distingue entre mayúsculas y minúsculas)
• Algoritmo de autenticación (se recomienda MD5 o SHA, SHA)
• Contraseña de autenticación
• Algoritmo de cifrado (solo se admite AES)
• Contraseña de cifrado

Por motivos de seguridad, recomendamos utilizar una cuenta de usuario independiente en cada nodo de clúster de KSMG.

Puede crear una cuenta con la utilidad net-snmp-create-v3-user.

Para crear una cuenta de usuario con la utilidad net-snmp-create-v3-user:

1. Conéctese al nodo de clúster a través de SSH para obtener acceso al Modo de Soporte técnico.
2. Ejecute el comando siguiente:

   net-snmp-create-v3-user -ro -a <algoritmo de autenticación> -x < algoritmo de cifrado> <nombre de usuario>

   Las contraseñas de autenticación y cifrado se solicitan de forma interactiva.

   Ejemplo: net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Crear una cuenta de usuario para recibir capturas SNMP

Para recibir capturas SNMP a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta en el lado del sistema de supervisión en el contexto del servicio correspondiente (generalmente, el servicio snmptrapd).

La cuenta debe contener la siguiente información:

• Nombre de usuario
• Algoritmo de autenticación
• Contraseña de autenticación
• Algoritmo de cifrado
• Contraseña de cifrado

Por motivos de seguridad, debe utilizar cuentas de usuario independientes para acceder a los datos y para recibir capturas SNMP.
Recomendamos crear cuentas de usuario independientes para recibir capturas SNMP de cada nodo del clúster de KSMG.

Para obtener instrucciones sobre cómo crear una cuenta de usuario para recibir capturas SNMP, consulte la documentación de su sistema de supervisión.

Configurar el servicio snmpd.

La configuración del servicio snmpd se almacena en el archivo /etc/snmp/snmpd.conf. Debe crear un nuevo archivo de configuración y añadirle las siguientes líneas en el orden indicado.

Para configurar el servicio snmpd:

1. Conéctese al nodo de clúster a través de SSH para obtener acceso al Modo de Soporte técnico.
2. Cree un nuevo archivo de configuración y establezca permisos de acceso para él:

   mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup

   touch /etc/snmp/snmpd.conf

   chown root:root /etc/snmp/snmpd.conf

   chmod 600 /etc/snmp/snmpd.conf

3. Especifique el protocolo, la dirección de la interfaz de red y el número de puerto en el que el servicio snmpd debe escuchar las solicitudes entrantes.
   • Si desea escuchar solicitudes en todas las interfaces de red, agregue las siguientes líneas al archivo de configuración:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:161

   • Si desea escuchar solicitudes solo en la interfaz de red local (por ejemplo, si el sistema de supervisión está instalado en la misma máquina) añada las siguientes líneas:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:127.0.0.1:161

4. Especifique la ruta y los permisos para el socket de UNIX en el que el servicio snmpd debe escuchar las conexiones de subagente a través del protocolo AgentX. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Listen for subagent connections via UNIX socket

   master agentx

   agentXSocket unix:/var/run/agentx-master.socket

   agentXPerms 770 770 kluser klusers

5. Si es necesario, puede proporcionar una descripción del sistema, la ubicación del sistema y la dirección de contacto del administrador. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Basic system information

   sysDescr <system_description>

   sysLocation <system_location>

   sysContact <contact_address>

   sysServices 72

6. Especifique el alcance del árbol OID que desea que esté disponible para su sistema de supervisión a través del protocolo SNMP. Para tener acceso a los datos de KSMG, añada las siguientes líneas al archivo de configuración:

   # Kaspersky Secure Mail Gateway SNMP statistics

   view monitoring included .1.3.6.1.4.1.23668.1735

7. Además, puede especificar el alcance del árbol OID que contiene información sobre el sistema operativo que almacena el servicio snmpd. Este alcance estará disponible para su sistema de supervisión.

   La información sobre el sistema operativo incluye, por ejemplo, información sobre el uso de CPU y RAM, espacio libre en las particiones del disco, carga de interfaces de red; una lista de software instalado; una lista de conexiones de red abiertas; y una lista de procesos en ejecución. Parte de esta información puede ser confidencial.

   • Si desea permitir el acceso solo a la información general del sistema y a la información sobre el uso de RAM, CPU y dispositivos de disco, añada las siguientes líneas al archivo de configuración:

     # SNMPv2-MIB - Basic system information

     view monitoring included .1.3.6.1.2.1.1

     # HOST-RESOURCES-MIB - CPU, Memory, Filesystems

     view monitoring included .1.3.6.1.2.1.25.1

     view monitoring included .1.3.6.1.2.1.25.2

     view monitoring included .1.3.6.1.2.1.25.3

     view monitoring included .1.3.6.1.2.1.25.5

     # UCD-SNMP-MIB - Memory and CPU usage

     view monitoring included .1.3.6.1.4.1.2021.4

     view monitoring included .1.3.6.1.4.1.2021.10

     view monitoring included .1.3.6.1.4.1.2021.11

     # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

     view monitoring included .1.3.6.1.4.1.2021.13

     # IF-MIB - Network interfaces I/O statistics

     view monitoring included .1.3.6.1.2.1.2

     view monitoring included .1.3.6.1.2.1.31

   • Si desea permitir el acceso a toda la información del sistema, añada las siguientes líneas al archivo de configuración:

     # Allow access to the whole OID tree

     view monitoring included .1

8. Especifique el modo de acceso y el alcance de la información para la cuenta de usuario creada. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Access control for SNMPv3 monitoring system user

   rouser <nombre de usuario> priv -V monitoring

9. Para enviar capturas SNMP, especifique la dirección IP del sistema de supervisión y las credenciales de usuario para recibir capturas. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Send SNMPv3 traps to the monitoring system

   trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <nombre de usuario> -a <algoritmo de autenticación> -A "<contraseña de autenticación>" -x <algoritmo de cifrado> -X "<contraseña de cifrado>" udp:<dirección IP>:162

Se configurará el servicio snmpd.

Para integrarse con múltiples sistemas de supervisión, cree una cuenta de usuario independientes para cada sistema, especifique el alcance de la información disponible para cada cuenta de usuario (las directivas "ver" y "rouser") y configure el envío de capturas SNMP (la directiva "trapsess").

Ejemplo de un archivo de configuración del servicio snmpd: # Listen for incoming SNMP requests via UDP agentAddress udp:161   # Listen for subagent connections via UNIX socket master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers   # Basic system information sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72   # Kaspersky Secure Mail Gateway SNMP statistics view monitoring included .1.3.6.1.4.1.23668.1735   # SNMPv2-MIB - Basic system information view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB - CPU, Memory, Filesystems view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB - Memory and CPU usage view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB - Network interfaces I/O statistics view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31   # Access control for SNMPv3 monitoring system user rouser MonitoringUser priv -V monitoring   # Send SNMPv3 traps to the monitoring system trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162

Iniciar el servicio snmpd con la nueva configuración

Para aplicar la nueva configuración:

1. Reinicie el servicio snmpd:

   systemctl restart snmpd

2. Verifique el estado del servicio snmpd:

   systemctl status snmpd

   El estado debe ser running.

3. Permita que el servicio se inicie automáticamente al iniciar el sistema operativo:

   systemctl enable snmpd

4. Si está utilizando un firewall en su sistema operativo o equipo de red, añada reglas para permitir el paso de los paquetes SNMP.

El servicio snmpd está configurado.

Verificar el estado del servicio snmpd

Para probar el servicio snmpd, configure el uso de SNMP en la interfaz web de KSMG y solicite datos SNMP mediante la utilidad "snmpwalk".

Para obtener los alcances de los datos SNMP proporcionados por KSMG:

snmpwalk -v3 -l authPriv -u <nombre de usuario> -a <algoritmo de autenticación > -A "< contraseña de autenticación>" -x <algoritmo de cifrado> -X "<contraseña de cifrado>" <dirección IP> .1.3.6.1.4.1.23668.1735

Ejemplo: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Inicio de página