Konfigurace služby snmpd v operačním systému
23. května 2024
ID 222969
Interakce s KSMG přes SNMP je dosaženo pomocí služby operačního systému „snmpd“. Služba snmpd funguje jako hlavní agent, který prostřednictvím protokolu SNMP přijímá a zpracovává požadavky od monitorovacích systémů a jiných externích spotřebitelů. KSMG se připojuje ke službě snmpd jako podagent prostřednictvím protokolu AgentX prostřednictvím soketu UNIX.
Vytvoření uživatelského účtu pro přístup k datům
Před vytvořením účtu zastavte službu snmpd.
Chcete-li zajistit zabezpečení přístupu k datům přes SNMPv3 s ověřením a šifrováním, musíte si na straně služby snmpd vytvořit uživatelský účet s následujícími údaji:
- Uživatelské jméno (rozlišují se malá a velká písmena)
- Ověřovací algoritmus (MD5 nebo SHA, doporučeno SHA)
- Ověřovací heslo
- Šifrovací algoritmus (DES nebo AES, doporučeno AES)
Šifrovací heslo
Z důvodu zabezpečení doporučujeme použití nezávislého uživatelského účtu na každém uzlu clusteru KSMG.
Účet můžete vytvořit pomocí nástroje net-snmp-create-v3-user.
Postup vytvoření uživatelského účtu pomocí nástroje net-snmp-create-v3-user:
- Připojte se k uzlu clusteru přes SSH a získejte přístup do režimu technické podpory.
- Spusťte následující příkaz:
net-snmp-create-v3-user -ro -a <snmp_auth_algo> -x <snmp_priv_algo> <uživatelské_jméno_snmp>
Ověřovací a šifrovací hesla jsou vyžadována interaktivně.
Příklad:
|
Vytvoření uživatelského účtu pro příjem zachytávání SNMP
Chcete-li přijímat zachytávání SNMP přes SNMPv3 s ověřením a šifrováním, musíte si vytvořit účet na straně monitorovacího systému v kontextu příslušné služby (obvykle služba snmptrapd).
Účet musí obsahovat následující údaje:
- Uživatelské jméno
- Ověřovací algoritmus
- Ověřovací heslo
- Šifrovací algoritmus
- Šifrovací heslo
Z důvodu zabezpečení je nutné pro přístup k datům a pro příjem zachytávání SNMP používat samostatné uživatelské účty.
Doporučujeme vytvořit nezávislé uživatelské účty pro příjem zachytávání SNMP z každého uzlu clusteru KSMG.
Pokyny pro vytvoření uživatelského účtu pro příjem zachytávání SNMP najdete v dokumentaci k vašemu monitorovacímu systému.
Konfigurace služby snmpd
Konfigurace služby snmpd je uložena v souboru /etc/snmp/snmpd.conf. Je nutné vytvořit nový konfigurační soubor a přidat do něj následující řádky v uvedeném pořadí.
Postup konfigurace služby snmpd:
- Připojte se k uzlu clusteru přes SSH a získejte přístup do režimu technické podpory.
- Vytvořte nový konfigurační soubor a nastavte pro něj přístupová oprávnění:
mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup
touch /etc/snmp/snmpd.conf
chown root:root /etc/snmp/snmpd.conf
chmod 600 /etc/snmp/snmpd.conf
- Zadejte protokol, adresu síťového rozhraní a číslo portu, na kterém musí služba snmpd naslouchat příchozím požadavkům.
- Pokud chcete naslouchat požadavkům na všech síťových rozhraních, přidejte do konfiguračního souboru následující řádky:
# Naslouchat příchozím požadavkům SNMP prostřednictvím UDP
agentAddress udp:161
- Pokud chcete naslouchat požadavkům pouze na rozhraní místní sítě, například pokud je monitorovací systém nainstalován na stejném počítači, přidejte následující řádky:
# Naslouchat příchozím požadavkům SNMP prostřednictvím UDP
agentAddress udp:127.0.0.1:161
- Pokud chcete naslouchat požadavkům na všech síťových rozhraních, přidejte do konfiguračního souboru následující řádky:
- Zadejte cestu a oprávnění pro soket UNIX, u kterého musí služba snmpd naslouchat připojení podagenta prostřednictvím protokolu AgentX. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:
# Naslouchat připojení podagenta prostřednictvím soketu UNIX
master agentx
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
- V případě potřeby můžete uvést popis systému, umístění systému a kontaktní adresu správce. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:
# Základní informace o systému
sysDescr <popis_systému>
sysLocation <umístění_systému>
sysContact <kontaktní_adresa>
sysServices 72
- Zadejte rozsah stromu OID, který chcete zpřístupnit vašemu monitorovacímu systému prostřednictvím protokolu SNMP. Chcete-li mít přístup k datům KSMG, přidejte do konfiguračního souboru následující řádky:
# Statistiky SNMP Kaspersky Secure Mail Gateway
view monitoring included .1.3.6.1.4.1.23668.1735
- Dodatečně můžete určit rozsah stromu OID obsahujícího informace o operačním systému, které ukládá služba snmpd. Tento rozsah bude k dispozici vašemu monitorovacímu systému.
Mezi informace o operačním systému patří například informace o využití procesoru a paměti RAM, volném místě na oddílech disku, zatížení síťových rozhraní; seznam nainstalovaného softwaru; seznam otevřených síťových připojení a seznam spuštěných procesů. Část těchto informací může být důvěrná.
- Pokud chcete povolit přístup pouze k obecným systémovým informacím a informacím o využití paměti RAM, CPU a diskových zařízení, přidejte do konfiguračního souboru následující řádky:
# SNMPv2-MIB – Základní informace o systému
view monitoring included .1.3.6.1.2.1.1
# HOST-RESOURCES-MIB – CPU, paměť, souborové systémy
view monitoring included .1.3.6.1.2.1.25.1
view monitoring included .1.3.6.1.2.1.25.2
view monitoring included .1.3.6.1.2.1.25.3
view monitoring included .1.3.6.1.2.1.25.5
# UCD-SNMP-MIB – Využití paměti a procesoru
view monitoring included .1.3.6.1.4.1.2021.4
view monitoring included .1.3.6.1.4.1.2021.10
view monitoring included .1.3.6.1.4.1.2021.11
# UCD-SNMP-DISKIO-MIB – Blokovat statistiky I/O zařízení
view monitoring included .1.3.6.1.4.1.2021.13
# IF-MIB – Statistika I/O síťových rozhraní
view monitoring included .1.3.6.1.2.1.2
view monitoring included .1.3.6.1.2.1.31
- Pokud chcete povolit přístup ke všem systémovým informacím, přidejte do konfiguračního souboru následující řádky:
# Povolit přístup k celému stromu OID
view monitoring included .1
- Pokud chcete povolit přístup pouze k obecným systémovým informacím a informacím o využití paměti RAM, CPU a diskových zařízení, přidejte do konfiguračního souboru následující řádky:
- Zadejte režim přístupu a rozsah informací pro vytvořený uživatelský účet. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:
# Kontrola přístupu pro uživatele monitorovacího systému SNMPv3
rouser <uživatelské_jméno_snmp> priv -V monitoring
- Chcete-li odesílat depeše SNMP, zadejte IP adresu monitorovacího systému a přihlašovací údaje uživatele pro příjem zachytávání. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:
# Odesílat zachytávání SNMPv3 do monitorovacího systému
trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <trap_username> -a <trap_auth_algo> -A "<trap_auth_pass>" -x <trap_priv_algo> -X "<trap_priv_pass>" udp:<IP_adresa>:162
Bude nakonfigurována služba snmpd.
Za účelem integrace s více monitorovacími systémy si vytvořte pro každý systém samostatný uživatelský účet, určete pro každý uživatelský účet rozsah dostupných informací (direktivy „view“ a „rouser“) a nakonfigurujte odesílání zachytávání SNMP (direktiva „trapsess“).
Příklad konfiguračního souboru služby snmpd: # Naslouchat příchozím požadavkům SNMP prostřednictvím UDP agentAddress udp:161
# Naslouchat připojení podagenta prostřednictvím soketu UNIX master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers
# Základní informace o systému sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72
# Statistiky SNMP Kaspersky Secure Mail Gateway view monitoring included .1.3.6.1.4.1.23668.1735
# SNMPv2-MIB – Základní informace o systému view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB – CPU, paměť, souborové systémy view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB – Využití paměti a procesoru view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB – Blokovat statistiky I/O zařízení view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB – Statistika I/O síťových rozhraní view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31
# Kontrola přístupu pro uživatele monitorovacího systému SNMPv3 rouser MonitoringUser priv -V monitoring
# Odesílat zachytávání SNMPv3 do monitorovacího systému trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162 |
Spuštění služby snmpd s novou konfigurací
Postup použití nové konfigurace:
- Restartujte službu snmpd:
systemctl restart snmpd
- Zkontrolujte stav služby snmpd:
systemctl status snmpd
Stav musí být
spuštěn
. - Povolte automatické spouštění služby při spuštění operačního systému:
systemctl enable snmpd
- Pokud v operačním systému nebo síťovém zařízení používáte bránu firewall, přidejte pravidla pro propustnost paketů SNMP.
Je nakonfigurována služba snmpd.
Kontrola stavu služby snmpd
Chcete-li otestovat službu snmpd, nakonfigurujte používání SNMP ve webovém rozhraní aplikace KSMG a požádejte o data SNMP pomocí nástroje „snmpwalk“.
Postup získání rozsahů dat SNMP poskytovaných aplikací KSMG:
snmpwalk -v3 -l authPriv -u <uživatelské_jméno_snmpt> -a <ověř_algo_snmp> -A "<ověř_heslo_snmp>" -x <priv_algo_snmp> -X "<priv_heslo_snmp>" <IP adresa> .1.3.6.1.4.1.23668.1735
Příklad: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735 |