Support

Support für Unternehmensanwendungen

Kaspersky Secure Mail Gateway

Ausführung der Anwendung über das SNMP-Protokoll

Einstellungen des Dienstes "snmpd" im Betriebssystem anpassen

Kaspersky Secure Mail Gateway
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung

Einstellungen des Dienstes "snmpd" im Betriebssystem anpassen

23. Mai 2024

ID 222969

Für die Arbeit von KSMG über das SNMP-Protokoll wird der Dienst "snmpd" des Betriebssystems verwendet. Der Dienst "snmpd" fungiert als Master-Agent und akzeptiert und verarbeitet Anfragen von Überwachungssystemen und anderen externen Verbrauchern über das SNMP-Protokoll. KSMG stellt als Subagent über das AgentX-Protokoll über einen UNIX-Socket eine Verbindung zum Dienst "snmpd" her.

Benutzerkonto für den Datenzugriff erstellen

Stoppen Sie den Dienst "snmpd", bevor Sie ein Benutzerkonto erstellen.

Um mithilfe des SNMPv3-Protokolls mit Authentifizierung und Verschlüsselung sicher auf Daten zuzugreifen, müssen Sie auf der Seite des Dienstes "snmpd" ein Benutzerkonto mit den folgenden Daten erstellen:

  • Benutzername (Groß-/Kleinschreibung beachten)
  • Authentifizierungsalgorithmus (MD5 oder SHA, SHA empfohlen)
  • Kennwort für die Authentifizierung
  • Verschlüsselungsalgorithmus (DES oder AES, AES empfohlen)

    Kennwort für die Verschlüsselung

Aus Sicherheitsgründen wird empfohlen, separate Benutzerkonten auf verschiedenen KSMG-Cluster-Knoten zu verwenden.

Sie können ein Benutzerkonto mit dem Tool "net-snmp-create-v3-user" erstellen.

So erstellen Sie ein Benutzerkonto mit Tool "net-snmp-create-v3-user zu erstellen":

  1. Stellen Sie über SSH eine Verbindung zum Cluster-Knoten her, um auf den Modus Technical Support Mode zuzugreifen.
  2. Führen Sie den folgenden Befehl aus:

    net-snmp-create-v3-user -ro -a <snmp_auth_algo> -x <snmp_priv_algo> <snmp_username>

Kennwörter zur Authentifizierung und Verschlüsselung werden interaktiv abgefragt.

Beispiel:

net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Benutzerkonto zum Empfang von SNMP-Fallen erstellen

Um SNMP-Fallen über das SNMPv3-Protokoll mit Authentifizierung und Verschlüsselung zu empfangen, müssen Sie auf der Seite des Überwachungssystems im Kontext des entsprechenden Dienstes (normalerweise des snmptrapd-Dienstes) ein Benutzerkonto erstellen.

Das Benutzerkonto muss folgende Informationen enthalten:

  • Benutzername
  • Authentifizierungsalgorithmus
  • Kennwort für die Authentifizierung
  • Verschlüsselungsalgorithmus
  • Kennwort für die Verschlüsselung

Aus Sicherheitsgründen müssen Sie unterschiedliche Benutzerkonten verwenden, um auf Daten zuzugreifen und SNMP-Fallen zu empfangen.
Es wird empfohlen, separate Benutzerkonten zu erstellen, um SNMP-Fallen von verschiedenen Knoten im KSMG-Cluster zu empfangen.

Anweisungen zum Erstellen eines Benutzerkontos zum Empfang von SNMP-Fallen finden Sie in der Dokumentation Ihres Überwachungssystems.

Dienst "snmpd" konfigurieren

Die Konfiguration des Dienstes "snmpd" wird in der Datei /etc/snmp/snmpd.conf gespeichert. Sie müssen eine neue Konfigurationsdatei erstellen und ihr nacheinander die folgenden Zeilen hinzufügen.

So richten Sie den Dienst "snmpd" ein:

  1. Stellen Sie über SSH eine Verbindung zum Cluster-Knoten her, um auf den Modus Technical Support Mode zuzugreifen.
  2. Erstellen Sie eine neue Konfigurationsdatei und legen Sie mit den folgenden Befehlen die Berechtigungen zum Zugriff auf diese fest:

    mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup

    touch /etc/snmp/snmpd.conf

    chown root:root /etc/snmp/snmpd.conf

    chmod 600 /etc/snmp/snmpd.conf

  3. Geben Sie das Protokoll, die Netzwerkschnittstellenadresse und die Portnummer an, auf denen der Dienst "snmpd" eingehende Anforderungen akzeptiert.
    • Wenn Sie Anfragen auf allen Netzwerkschnittstellen akzeptieren möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

      # Listen for incoming SNMP requests via UDP

      agentAddress udp:161

    • Wenn Sie Anfragen nur auf der lokalen Netzwerkschnittstelle akzeptieren möchten, beispielsweise wenn das Überwachungssystem auf demselben Computer installiert ist, fügen Sie die folgenden Zeilen hinzu:

      # Listen for incoming SNMP requests via UDP

      agentAddress udp:127.0.0.1:161

  4. Geben Sie den Pfad und die Berechtigungen für den UNIX-Socket an, auf dem der Dienst "snmpd" Verbindungen vom Subagenten über das AgentX-Protokoll akzeptiert. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

    # Listen for subagent connections via UNIX socket

    master agentx

    agentXSocket unix:/var/run/agentx-master.socket

    agentXPerms 770 770 kluser klusers

  5. Bei Bedarf können Sie eine Beschreibung des Systems, den Standort des Systems und die Kontaktadresse des Administrators angeben. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

    # Basic system information

    sysDescr <system_description>

    sysLocation <system_location>

    sysContact <contact_address>

    sysServices 72

  6. Geben Sie den Bereich der OID-Struktur an, der Ihrem Überwachungssystem über das SNMP-Protokoll zur Verfügung stehen soll. Um auf KSMG-Anwendungsdaten zuzugreifen, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

    # Kaspersky Secure Mail Gateway SNMP statistics

    view monitoring included .1.3.6.1.4.1.23668.1735

  7. Sie können optional einen Bereich der OID-Strukur angeben, der Betriebssysteminformationen enthält, die der Dienst "snmpd" speichert. Dieser Bereich steht Ihrem Überwachungssystem zur Verfügung.

    Zu den Informationen über das Betriebssystem gehören beispielsweise Daten zur Nutzung des Prozessors und des Arbeitsspeichers, Daten zum freien Speicherplatz auf Festplattenpartitionen, zur Auslastung der Netzwerkschnittstellen, eine Liste der installierten Software, eine Liste der offenen Netzwerkverbindungen und eine Liste von Laufende Prozesse. Diese Informationen können vertrauliche Daten enthalten.

    • Wenn Sie den Zugriff nur auf allgemeine Systeminformationen sowie Daten zur Nutzung von Speicher, Prozessor, Netzwerk und Festplatten zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

      # SNMPv2-MIB - Basic system information

      view monitoring included .1.3.6.1.2.1.1

      # HOST-RESOURCES-MIB - CPU, Memory, Filesystems

      view monitoring included .1.3.6.1.2.1.25.1

      view monitoring included .1.3.6.1.2.1.25.2

      view monitoring included .1.3.6.1.2.1.25.3

      view monitoring included .1.3.6.1.2.1.25.5

      # UCD-SNMP-MIB - Memory and CPU usage

      view monitoring included .1.3.6.1.4.1.2021.4

      view monitoring included .1.3.6.1.4.1.2021.10

      view monitoring included .1.3.6.1.4.1.2021.11

      # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

      view monitoring included .1.3.6.1.4.1.2021.13

      # IF-MIB - Network interfaces I/O statistics

      view monitoring included .1.3.6.1.2.1.2

      view monitoring included .1.3.6.1.2.1.31

    • Wenn Sie den Zugriff auf alle Systeminformationen zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

      # Allow access to the whole OID tree

      view monitoring included .1

  8. Geben Sie den Zugriffsmodus und den Datenbereich für das erstellte Benutzerkonto an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

    # Access control for SNMPv3 monitoring system user

    rouser <snmp_username> priv -V monitoring

  9. Um SNMP-Fallen zu senden, geben Sie die IP-Adresse des Überwachungssystems und die Anmeldedaten des Benutzers zum Empfang von Traps an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

    # Send SNMPv3 traps to the monitoring system

    trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <trap_username> -a <trap_auth_algo> -A "<trap_auth_pass>" -x <trap_priv_algo> -X "<trap_priv_pass>" udp:<IP-address>:162

Der Dienst "snmpd" ist konfiguriert.

Für die Integration mit mehreren Überwachungssystemen erstellen Sie für jedes System ein separates Benutzerkonto, geben den Bereich der verfügbaren Daten für die Benutzerkonten an (View- und Rouser-Anweisungen) und konfigurieren das Senden von SNMP-Fallen (Trapsess-Anweisung).

Beispiel für eine Konfigurationsdatei des Dienstes "snmpd":

# Listen for incoming SNMP requests via UDP

agentAddress udp:161

 

# Listen for subagent connections via UNIX socket

master agentx

agentXSocket unix:/var/run/agentx-master.socket

agentXPerms 770 770 kluser klusers

 

# Basic system information

sysDescr Example Mail Gateway Server, Node 05

sysLocation Example Datacenter, Ground floor, B23-U45

sysContact Mail system administrator <admin@example.com>

sysServices 72

 

# Kaspersky Secure Mail Gateway SNMP statistics

view monitoring included .1.3.6.1.4.1.23668.1735

 

# SNMPv2-MIB - Basic system information

view monitoring included .1.3.6.1.2.1.1

# HOST-RESOURCES-MIB - CPU, Memory, Filesystems

view monitoring included .1.3.6.1.2.1.25.1

view monitoring included .1.3.6.1.2.1.25.2

view monitoring included .1.3.6.1.2.1.25.3

view monitoring included .1.3.6.1.2.1.25.5

# UCD-SNMP-MIB - Memory and CPU usage

view monitoring included .1.3.6.1.4.1.2021.4

view monitoring included .1.3.6.1.4.1.2021.10

view monitoring included .1.3.6.1.4.1.2021.11

# UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

view monitoring included .1.3.6.1.4.1.2021.13

# IF-MIB - Network interfaces I/O statistics

view monitoring included .1.3.6.1.2.1.2

view monitoring included .1.3.6.1.2.1.31

 

# Access control for SNMPv3 monitoring system user

rouser MonitoringUser priv -V monitoring

 

# Send SNMPv3 traps to the monitoring system

trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162

Dienst "snmpd" mit neuer Konfiguration starten

So wenden Sie die neue Konfiguration an:

  1. Starten Sie den Dienst "snmpd" mit dem folgenden Befehl neu:

    systemctl restart snmpd

  2. Überprüfen Sie den Status des Dienstes "snmpd" mit dem folgenden Befehl:

    systemctl status snmpd

    Der Status muss running lauten.

  3. Erlauben Sie dem Dienst mit dem folgenden Befehl, automatisch zu starten, wenn das Betriebssystem startet:

    systemctl enable snmpd

  4. Wenn Sie in Ihrem Betriebssystem oder Netzwerkgerät eine Firewall verwenden, fügen Sie entsprechende Regeln hinzu, um SNMP-Protokollpakete durchzulassen.

Der Dienst "snmpd" ist konfiguriert.

Funktionalität des Dienstes "snmpd" überprüfen

Um die Funktionalität des Dienstes "snmpd" zu überprüfen, konfigurieren Sie die Verwendung von SNMP in der KSMG-Weboberfläche und fragen Sie SNMP-Daten mit dem Dienstprogramm snmpwalk ab.

Um die von der Anwendung KSMG bereitgestellten SNMP-Datenbereiche abzurufen, führen Sie den folgenden Befehl aus:

snmpwalk -v3 -l authPriv -u <snmp_username> -a <snmp_auth_algo> -A "<snmp_auth_pass>" -x <snmp_priv_algo> -X "<snmp_priv_pass>" <IP-Adresse> .1.3.6.1.4.1.23668.1735

Beispiel:

snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.