Verschlüsselungseinstellungen für SNMP-Verbindungen anpassen
26. April 2024
ID 222536
Externe Programme können Zugriff auf die über das SNMP-Protokoll versendeten Daten erhalten oder diese Daten durch ihre eigenen Daten ersetzen. Für eine sichere Datenübermittlung über das SNMP-Protokoll wird empfohlen, die Verschlüsselung der SNMP-Verbindungen zu konfigurieren.
So passen Sie die Verschlüsselung für SNMP-Verbindungen an:
- Fügen Sie der Datei /etc/snmp/snmpd.conf folgende Zeile hinzu:
view systemview included .1
- Erhalten Sie die EngineID, die für die Bearbeitung der SNMP-Fallen benötigt wird. Führen Sie dazu auf jedem Server, der zum Cluster gehört, folgenden Befehl aus:
snmpget -v2c -c<community name> 127.0.0.1 SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'
Geben Sie den Communitynamen (community name) an, der in Ihrem Unternehmen verwendet wird. Gründen Sie bei Bedarf eine neue Community. Es wird empfohlen, die standardmäßig vorgegebene Community public nicht zu benutzen, um die Sicherheit der Datenübertragung nicht zu gefährden.
Vergewissern Sie sich vor der Ausführung des Befehls, dass der Dienst snmpd gestartet ist und läuft.
- Richten Sie auf jedem dem Cluster angehörenden Knoten den Dienst snmpd ein. Gehen Sie hierzu wie folgt vor:
- Stoppen Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:
systemctl stop snmpd
- Legen Sie einen neuen Benutzer an. Führen Sie dazu den folgenden Befehl aus:
net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES <username>
- Fügen Sie der Konfigurationsdatei /etc/snmp/snmpd.conf folgende Zeilen hinzu:
# accept KSMG statistics over unix socket
master agentx
agentXSocket unix:/var/
run/agentx-master.socket
agentXPerms 770 770 kluser klusers
# accept incoming SNMP requests over UDP
agentAddress udp:127.0.0.1:161
rouser <username> priv .1.3.6.1
Kommentieren Sie die folgende Ziele mit # aus, wenn Sie keine Weiterleitung der SNMP-Fallen über eine SNMPv3-Verbindung benötigen
trapsess -e <EngineID> -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:<IP address>:162
Geben Sie als
<IP-address>
die IP-Adresse an, über die der Dienst snmptrapd die Netzverbindungen empfangen wird. Wenn Sie die SNMP-Fallen lokal auf dem Server speichern möchten, geben Sie127.0.0.1
an. - Fügen Sie der Konfigurationsdatei /etc/snmp/snmp.conf folgende Zeilen hinzu:
mibdirs +/opt/kaspersky/ksmg/share/snmp-mibs/
mibs all
Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmp.conf enthalten ist, müssen Sie diese erst erstellen.
- Starten Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:
systemctl start snmpd
- Überprüfen Sie die SNMP-Verbindung. Führen Sie folgende Befehle aus:
snmpwalk -mALL -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:127.0.0.1:161 .1.3.6.1.4.1.23668
snmpget -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:127.0.0.1:161 KSMG-PRODUCTINFO-STATISTICS::applicationName.0
- Stoppen Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:
- Konfigurieren Sie auf dem Server, auf dem Sie die SNMP-Fallen erhalten möchten, den Dienst snmptrapd. Gehen Sie hierzu wie folgt vor:
- Stoppen Sie den Dienst snmptrapd mithilfe des Befehls:
systemctl stop snmptrapd
- Fügen Sie in der Konfigurationsdatei /var/lib/net-snmp/snmptrapd.conf folgende Zeile ein:
createUser -e <EngineID> <username> SHA "<password>" AES "<password>"
Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmptrapd.conf enthalten ist, müssen Sie diese erst erstellen.
Die Anmeldedaten des Benutzers (
<username>
und<password>
) für die Dienste snmpd und snmptrapd müssen übereinstimmen. - Fügen Sie der Konfigurationsdatei /etc/snmp/snmptrapd.conf folgende Zeilen hinzu:
snmpTrapdAddr udp:<IP address>:162
authUser log <username> priv
disableAuthorization no
Wenn im angegebenen Verzeichnis keine Konfigurationsdatei snmptrapd.conf enthalten ist, müssen Sie diese erst erstellen.
- Starten Sie den Dienst snmptrapd. Führen Sie dazu den folgenden Befehl aus:
systemctl start snmptrapd
Vergewissern Sie sich, dass das in der Datei "/var/lib/net-snmp/snmptrapd.conf" im Klartext angegebene Kennwort durch eine maskierende Zeichenkette ersetzt wurde. Das kann möglicherweise erforderlich machen, dass der Dienst snmptrapd mithilfe des Befehls
systemctl restart snmptrapd
mehrere Male neu gestartet werden muss. - Fügen Sie den snmptrapd-Dienst dem Autostart hinzu. Führen Sie dazu den folgenden Befehl aus:
systemctl enable snmptrapd
- Überprüfen Sie die SNMP-Verbindung mithilfe des Befehls:
snmptrap -e <EngineID> -v3 -l authPriv -u <username> -a SHA -A <password> -x AES -X <password> udp:<IP address>:162 0 KSMG-EVENTS-MIB::restartedBinary
Vergewissern Sie sich, dass in der Datei /var/log/messages folgende Zeile erscheint:
<date and time> <hostname> snmptrapd[7503]: <date and time> localhost [UDP: [127.0.0.1]:26325->[<IP address>]:162]:#012DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (0) 0:00:00.00#011SNMPv2-MIB::snmpTrapOID.0 = OID: KSMG-EVENTS-MIB::restartedBinary
Geben Sie als
<IP-address>
die IP-Adresse an, über die der Dienst snmptrapd die Netzverbindungen empfangen wird. Wenn Sie die SNMP-Fallen lokal auf dem Server speichern möchten, geben Sie127.0.0.1
an. - Stoppen Sie den Dienst snmptrapd mithilfe des Befehls:
Verschlüsselung der SNMP-Verbindungen ist nun konfiguriert.