Einstellungen des Dienstes "snmpd" im Betriebssystem anpassen
23. Mai 2024
ID 222969
Für die Arbeit von KSMG über das SNMP-Protokoll wird der Dienst "snmpd" des Betriebssystems verwendet. Der Dienst "snmpd" fungiert als Master-Agent und akzeptiert und verarbeitet Anfragen von Überwachungssystemen und anderen externen Verbrauchern über das SNMP-Protokoll. KSMG stellt als Subagent über das AgentX-Protokoll über einen UNIX-Socket eine Verbindung zum Dienst "snmpd" her.
Benutzerkonto für den Datenzugriff erstellen
Stoppen Sie den Dienst "snmpd", bevor Sie ein Benutzerkonto erstellen.
Um mithilfe des SNMPv3-Protokolls mit Authentifizierung und Verschlüsselung sicher auf Daten zuzugreifen, müssen Sie auf der Seite des Dienstes "snmpd" ein Benutzerkonto mit den folgenden Daten erstellen:
- Benutzername (Groß-/Kleinschreibung beachten)
- Authentifizierungsalgorithmus (MD5 oder SHA, SHA empfohlen)
- Kennwort für die Authentifizierung
- Verschlüsselungsalgorithmus (DES oder AES, AES empfohlen)
Kennwort für die Verschlüsselung
Aus Sicherheitsgründen wird empfohlen, separate Benutzerkonten auf verschiedenen KSMG-Cluster-Knoten zu verwenden.
Sie können ein Benutzerkonto mit dem Tool "net-snmp-create-v3-user" erstellen.
So erstellen Sie ein Benutzerkonto mit Tool "net-snmp-create-v3-user zu erstellen":
- Stellen Sie über SSH eine Verbindung zum Cluster-Knoten her, um auf den Modus Technical Support Mode zuzugreifen.
- Führen Sie den folgenden Befehl aus:
net-snmp-create-v3-user -ro -a <snmp_auth_algo> -x <snmp_priv_algo> <snmp_username>
Kennwörter zur Authentifizierung und Verschlüsselung werden interaktiv abgefragt.
Beispiel:
|
Benutzerkonto zum Empfang von SNMP-Fallen erstellen
Um SNMP-Fallen über das SNMPv3-Protokoll mit Authentifizierung und Verschlüsselung zu empfangen, müssen Sie auf der Seite des Überwachungssystems im Kontext des entsprechenden Dienstes (normalerweise des snmptrapd-Dienstes) ein Benutzerkonto erstellen.
Das Benutzerkonto muss folgende Informationen enthalten:
- Benutzername
- Authentifizierungsalgorithmus
- Kennwort für die Authentifizierung
- Verschlüsselungsalgorithmus
- Kennwort für die Verschlüsselung
Aus Sicherheitsgründen müssen Sie unterschiedliche Benutzerkonten verwenden, um auf Daten zuzugreifen und SNMP-Fallen zu empfangen.
Es wird empfohlen, separate Benutzerkonten zu erstellen, um SNMP-Fallen von verschiedenen Knoten im KSMG-Cluster zu empfangen.
Anweisungen zum Erstellen eines Benutzerkontos zum Empfang von SNMP-Fallen finden Sie in der Dokumentation Ihres Überwachungssystems.
Dienst "snmpd" konfigurieren
Die Konfiguration des Dienstes "snmpd" wird in der Datei /etc/snmp/snmpd.conf gespeichert. Sie müssen eine neue Konfigurationsdatei erstellen und ihr nacheinander die folgenden Zeilen hinzufügen.
So richten Sie den Dienst "snmpd" ein:
- Stellen Sie über SSH eine Verbindung zum Cluster-Knoten her, um auf den Modus Technical Support Mode zuzugreifen.
- Erstellen Sie eine neue Konfigurationsdatei und legen Sie mit den folgenden Befehlen die Berechtigungen zum Zugriff auf diese fest:
mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup
touch /etc/snmp/snmpd.conf
chown root:root /etc/snmp/snmpd.conf
chmod 600 /etc/snmp/snmpd.conf
- Geben Sie das Protokoll, die Netzwerkschnittstellenadresse und die Portnummer an, auf denen der Dienst "snmpd" eingehende Anforderungen akzeptiert.
- Wenn Sie Anfragen auf allen Netzwerkschnittstellen akzeptieren möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
# Listen for incoming SNMP requests via UDP
agentAddress udp:161
- Wenn Sie Anfragen nur auf der lokalen Netzwerkschnittstelle akzeptieren möchten, beispielsweise wenn das Überwachungssystem auf demselben Computer installiert ist, fügen Sie die folgenden Zeilen hinzu:
# Listen for incoming SNMP requests via UDP
agentAddress udp:127.0.0.1:161
- Wenn Sie Anfragen auf allen Netzwerkschnittstellen akzeptieren möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
- Geben Sie den Pfad und die Berechtigungen für den UNIX-Socket an, auf dem der Dienst "snmpd" Verbindungen vom Subagenten über das AgentX-Protokoll akzeptiert. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Listen for subagent connections via UNIX socket
master agentx
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
- Bei Bedarf können Sie eine Beschreibung des Systems, den Standort des Systems und die Kontaktadresse des Administrators angeben. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Basic system information
sysDescr <system_description>
sysLocation <system_location>
sysContact <contact_address>
sysServices 72
- Geben Sie den Bereich der OID-Struktur an, der Ihrem Überwachungssystem über das SNMP-Protokoll zur Verfügung stehen soll. Um auf KSMG-Anwendungsdaten zuzugreifen, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
# Kaspersky Secure Mail Gateway SNMP statistics
view monitoring included .1.3.6.1.4.1.23668.1735
- Sie können optional einen Bereich der OID-Strukur angeben, der Betriebssysteminformationen enthält, die der Dienst "snmpd" speichert. Dieser Bereich steht Ihrem Überwachungssystem zur Verfügung.
Zu den Informationen über das Betriebssystem gehören beispielsweise Daten zur Nutzung des Prozessors und des Arbeitsspeichers, Daten zum freien Speicherplatz auf Festplattenpartitionen, zur Auslastung der Netzwerkschnittstellen, eine Liste der installierten Software, eine Liste der offenen Netzwerkverbindungen und eine Liste von Laufende Prozesse. Diese Informationen können vertrauliche Daten enthalten.
- Wenn Sie den Zugriff nur auf allgemeine Systeminformationen sowie Daten zur Nutzung von Speicher, Prozessor, Netzwerk und Festplatten zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
# SNMPv2-MIB - Basic system information
view monitoring included .1.3.6.1.2.1.1
# HOST-RESOURCES-MIB - CPU, Memory, Filesystems
view monitoring included .1.3.6.1.2.1.25.1
view monitoring included .1.3.6.1.2.1.25.2
view monitoring included .1.3.6.1.2.1.25.3
view monitoring included .1.3.6.1.2.1.25.5
# UCD-SNMP-MIB - Memory and CPU usage
view monitoring included .1.3.6.1.4.1.2021.4
view monitoring included .1.3.6.1.4.1.2021.10
view monitoring included .1.3.6.1.4.1.2021.11
# UCD-SNMP-DISKIO-MIB - Block devices I/O statistics
view monitoring included .1.3.6.1.4.1.2021.13
# IF-MIB - Network interfaces I/O statistics
view monitoring included .1.3.6.1.2.1.2
view monitoring included .1.3.6.1.2.1.31
- Wenn Sie den Zugriff auf alle Systeminformationen zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
# Allow access to the whole OID tree
view monitoring included .1
- Wenn Sie den Zugriff nur auf allgemeine Systeminformationen sowie Daten zur Nutzung von Speicher, Prozessor, Netzwerk und Festplatten zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:
- Geben Sie den Zugriffsmodus und den Datenbereich für das erstellte Benutzerkonto an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Access control for SNMPv3 monitoring system user
rouser <snmp_username> priv -V monitoring
- Um SNMP-Fallen zu senden, geben Sie die IP-Adresse des Überwachungssystems und die Anmeldedaten des Benutzers zum Empfang von Traps an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:
# Send SNMPv3 traps to the monitoring system
trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <trap_username> -a <trap_auth_algo> -A "<trap_auth_pass>" -x <trap_priv_algo> -X "<trap_priv_pass>" udp:<IP-address>:162
Der Dienst "snmpd" ist konfiguriert.
Für die Integration mit mehreren Überwachungssystemen erstellen Sie für jedes System ein separates Benutzerkonto, geben den Bereich der verfügbaren Daten für die Benutzerkonten an (View- und Rouser-Anweisungen) und konfigurieren das Senden von SNMP-Fallen (Trapsess-Anweisung).
Beispiel für eine Konfigurationsdatei des Dienstes "snmpd": # Listen for incoming SNMP requests via UDP agentAddress udp:161
# Listen for subagent connections via UNIX socket master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers
# Basic system information sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72
# Kaspersky Secure Mail Gateway SNMP statistics view monitoring included .1.3.6.1.4.1.23668.1735
# SNMPv2-MIB - Basic system information view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB - CPU, Memory, Filesystems view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB - Memory and CPU usage view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB - Network interfaces I/O statistics view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31
# Access control for SNMPv3 monitoring system user rouser MonitoringUser priv -V monitoring
# Send SNMPv3 traps to the monitoring system trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162 |
Dienst "snmpd" mit neuer Konfiguration starten
So wenden Sie die neue Konfiguration an:
- Starten Sie den Dienst "snmpd" mit dem folgenden Befehl neu:
systemctl restart snmpd
- Überprüfen Sie den Status des Dienstes "snmpd" mit dem folgenden Befehl:
systemctl status snmpd
Der Status muss
running
lauten. - Erlauben Sie dem Dienst mit dem folgenden Befehl, automatisch zu starten, wenn das Betriebssystem startet:
systemctl enable snmpd
- Wenn Sie in Ihrem Betriebssystem oder Netzwerkgerät eine Firewall verwenden, fügen Sie entsprechende Regeln hinzu, um SNMP-Protokollpakete durchzulassen.
Der Dienst "snmpd" ist konfiguriert.
Funktionalität des Dienstes "snmpd" überprüfen
Um die Funktionalität des Dienstes "snmpd" zu überprüfen, konfigurieren Sie die Verwendung von SNMP in der KSMG-Weboberfläche und fragen Sie SNMP-Daten mit dem Dienstprogramm snmpwalk ab.
Um die von der Anwendung KSMG bereitgestellten SNMP-Datenbereiche abzurufen, führen Sie den folgenden Befehl aus:
snmpwalk -v3 -l authPriv -u <snmp_username> -a <snmp_auth_algo> -A "<snmp_auth_pass>" -x <snmp_priv_algo> -X "<snmp_priv_pass>" <IP-Adresse> .1.3.6.1.4.1.23668.1735
Beispiel: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735 |