Konfigurace šifrování připojení SNMP
23. května 2024
ID 222536
Aplikace třetích stran by mohly potenciálně přistupovat k datům odeslaným přes SNMP nebo tato data nahradit svými vlastními daty. Pro zajištění bezpečného přenosu dat přes SNMP se doporučuje nakonfigurovat šifrování SNMP připojení.
Postup konfigurace šifrování připojení SNMP:
- Do konfiguračního souboru /etc/snmp/snmpd.conf přidejte následující řádek:
view systemview included .1
- Získejte EngineID, které je potřeba ke zpracování zachytávání SNMP. Chcete-li tak učinit, spusťte na každém serveru v clusteru následující příkaz:
snmpget -v2c -c<community name> 127.0.0.1 SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'
Zadejte název komunity, která se používá ve vaší organizaci. V případě potřeby vytvořte novou komunitu. Pro účely zabezpečení přenosu dat se nedoporučuje používat výchozí „veřejnou“ komunitu.
Před spuštěním příkazu se ujistěte, že je spuštěna služba snmpd.
- Nakonfigurujte službu snmpd na každém serveru v clusteru. Postupujte takto:
- Zastavte službu snmpd. To provedete následujícím příkazem:
systemctl stop snmpd
- Vytvořte nového uživatele. To provedete následujícím příkazem:
net-snmp-create-v3-user -ro -a SHA -A <heslo> -x <heslo> -X AES <uživatelské jméno>
- Přidejte následující řetězce do konfiguračního souboru /etc/snmp/snmpd.conf:
# přijímání statistik KSMG přes unixový socket
master agentx
agentXSocket unix:/var/
run/agentx-master.socket
agentXPerms 770 770 kluser klusers
# přijímání příchozích požadavků SNMP přes UDP
agentAddress udp:127.0.0.1:161
rouser <uživatelské jméno> priv .1.3.6.1
# pokud nepotřebujete přesměrovávat zachytávání SNMP přes připojení SNMPv3, označte následující řádek jako komentář
trapsess -e <EngineID> -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:<IP adresa>:162
V části
<IP adresa>
uveďte IP adresu, kterou bude služba snmptrapd používat k přijímání síťových připojení. Pokud chcete ukládat zachytávání SNMP lokálně na server, zadejte127.0.0.1
. - Přidejte následující řetězce do konfiguračního souboru /etc/snmp/snmp.conf:
mibdirs +/opt/kaspersky/ksmg/share/snmp-mibs/
mibs all
Pokud konfigurační soubor snmp.conf v zadaném adresáři neexistuje, vytvořte jej.
- Spusťte službu snmpd. To provedete následujícím příkazem:
systemctl start snmpd
- Zkontrolujte připojení SNMP. To provedete následujícím příkazem:
snmpwalk -mALL -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:127.0.0.1:161 .1.3.6.1.4.1.23668
snmpget -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:127.0.0.1:161 KSMG-PRODUCTINFO-STATISTICS::applicationName.0
- Zastavte službu snmpd. To provedete následujícím příkazem:
- Nakonfigurujte službu snmptrapd na serveru, kde chcete přijímat zachytávání SNMP. Postupujte takto:
- Zastavte službu snmptrapd pomocí následujícího příkazu:
systemctl stop snmptrapd
- Do souboru /var/lib/net-snmp/snmptrapd.conf přidejte následující řádek:
createUser -e <EngineID> <uživatelské jméno> SHA "<heslo>" AES "<heslo>"
Pokud konfigurační soubor snmptrapd.conf v zadaném adresáři neexistuje, vytvořte jej.
Přihlašovací údaje uživatelského účtu (
<uživatelské jméno>
a<heslo>
) musí být pro služby snmpd a snmptrapd stejné. - Přidejte následující řetězce do konfiguračního souboru /etc/snmp/snmptrapd.conf:
snmpTrapdAddr udp:<IP adresa>:162
authUser log <uživatelské jméno> priv
disableAuthorization no
Pokud konfigurační soubor snmptrapd.conf v zadaném adresáři neexistuje, vytvořte jej.
- Spusťte službu snmptrapd. To provedete následujícím příkazem:
systemctl start snmptrapd
Ujistěte se, že heslo, které bylo uvedeno jako prostý text v souboru /var/lib/net-snmp/snmptrapd.conf, bylo nahrazeno obfuskovanou sekvencí znaků. Chcete-li tak učinit, může být nutné několikrát restartovat službu snmptrapd pomocí příkazu
systemctl restart snmptrapd
. - Přidejte službu snmptrapd do automatického spouštění. To provedete následujícím příkazem:
systemctl enable snmptrapd
- Zkontrolujte připojení SNMP spuštěním následujícího příkazu:
snmptrap -e <EngineID> -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:<IP adresa>:162 0 KSMG-EVENTS-MIB::restartedBinary
Ujistěte se, že se v souboru /var/log/messages objeví následující řetězec:
<datum a čas> <název hostitele> snmptrapd[7503]: <datum a čas> localhost [UDP: [127.0.0.1]:26325->[<IP adresa>]:162]:#012DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (0) 0:00:00.00#011SNMPv2-MIB::snmpTrapOID.0 = OID: KSMG-EVENTS-MIB::restartedBinary
V části
<IP adresa>
uveďte IP adresu, kterou bude služba snmptrapd používat k přijímání síťových připojení. Pokud chcete ukládat zachytávání SNMP lokálně na server, zadejte127.0.0.1
. - Zastavte službu snmptrapd pomocí následujícího příkazu:
Šifrování připojení SNMP je nyní nakonfigurováno.