La configuración del servicio snmpd en el sistema operativo
23 de mayo de 2024
ID 222969
La interacción con KSMG a través de SNMP se logra mediante el servicio "snmpd" del sistema operativo. El servicio snmpd actúa como un agente principal, recibiendo y procesando solicitudes de sistemas de supervisión y otros consumidores externos a través de SNMP. KSMG se conecta al servicio snmpd como subagente sobre el protocolo AgentX a través de un socket UNIX.
Crear una cuenta de usuario para acceder a los datos
Antes de crear la cuenta, detenga el servicio snmpd.
Para garantizar la seguridad del acceso a los datos a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta de usuario en el lado del servicio snmpd con la siguiente información:
- Nombre de usuario (distingue entre mayúsculas y minúsculas)
- Algoritmo de autenticación (se recomienda MD5 o SHA, SHA)
- Contraseña de autenticación
- Algoritmo de cifrado (se recomienda DES o AES, AES)
Contraseña de cifrado
Por motivos de seguridad, recomendamos utilizar una cuenta de usuario independiente en cada nodo de clúster de KSMG.
Puede crear una cuenta con la utilidad net-snmp-create-v3-user.
Para crear una cuenta de usuario con la utilidad net-snmp-create-v3-user:
- Conéctese al nodo de clúster a través de SSH para obtener acceso al Modo de Soporte técnico.
- Ejecute el comando siguiente:
net-snmp-create-v3-user -ro -a <snmp_auth_algo> -x <snmp_priv_algo> <snmp_username>
Las contraseñas de autenticación y cifrado se solicitan de forma interactiva.
Ejemplo:
|
Crear una cuenta de usuario para recibir capturas SNMP
Para recibir capturas SNMP a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta en el lado del sistema de supervisión en el contexto del servicio correspondiente (generalmente, el servicio snmptrapd).
La cuenta debe contener la siguiente información:
- Nombre de usuario
- Algoritmo de autenticación
- Contraseña de autenticación
- Algoritmo de cifrado
- Contraseña de cifrado
Por motivos de seguridad, debe utilizar cuentas de usuario independientes para acceder a los datos y para recibir capturas SNMP.
Recomendamos crear cuentas de usuario independientes para recibir capturas SNMP de cada nodo del clúster de KSMG.
Para obtener instrucciones sobre cómo crear una cuenta de usuario para recibir capturas SNMP, consulte la documentación de su sistema de supervisión.
Configurar el servicio snmpd.
La configuración del servicio snmpd se almacena en el archivo /etc/snmp/snmpd.conf. Debe crear un nuevo archivo de configuración y añadirle las siguientes líneas en el orden indicado.
Para configurar el servicio snmpd:
- Conéctese al nodo de clúster a través de SSH para obtener acceso al Modo de Soporte técnico.
- Cree un nuevo archivo de configuración y establezca permisos de acceso para él:
mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup
touch /etc/snmp/snmpd.conf
chown root:root /etc/snmp/snmpd.conf
chmod 600 /etc/snmp/snmpd.conf
- Especifique el protocolo, la dirección de la interfaz de red y el número de puerto en el que el servicio snmpd debe escuchar las solicitudes entrantes.
- Si desea escuchar solicitudes en todas las interfaces de red, agregue las siguientes líneas al archivo de configuración:
# Listen for incoming SNMP requests via UDP
agentAddress udp:161
- Si desea escuchar solicitudes solo en la interfaz de red local (por ejemplo, si el sistema de supervisión está instalado en la misma máquina) añada las siguientes líneas:
# Listen for incoming SNMP requests via UDP
agentAddress udp:127.0.0.1:161
- Si desea escuchar solicitudes en todas las interfaces de red, agregue las siguientes líneas al archivo de configuración:
- Especifique la ruta y los permisos para el socket de UNIX en el que el servicio snmpd debe escuchar las conexiones de subagente a través del protocolo AgentX. Para hacerlo, añada las siguientes líneas al archivo de configuración:
# Listen for subagent connections via UNIX socket
master agentx
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
- Si es necesario, puede proporcionar una descripción del sistema, la ubicación del sistema y la dirección de contacto del administrador. Para hacerlo, añada las siguientes líneas al archivo de configuración:
# Basic system information
sysDescr <system_description>
sysLocation <system_location>
sysContact <contact_address>
sysServices 72
- Especifique el alcance del árbol OID que desea que esté disponible para su sistema de supervisión a través del protocolo SNMP. Para tener acceso a los datos de KSMG, añada las siguientes líneas al archivo de configuración:
# Kaspersky Secure Mail Gateway SNMP statistics
view monitoring included .1.3.6.1.4.1.23668.1735
- Además, puede especificar el alcance del árbol OID que contiene información sobre el sistema operativo que almacena el servicio snmpd. Este alcance estará disponible para su sistema de supervisión.
La información sobre el sistema operativo incluye, por ejemplo, información sobre el uso de CPU y RAM, espacio libre en las particiones del disco, carga de interfaces de red; una lista de software instalado; una lista de conexiones de red abiertas; y una lista de procesos en ejecución. Parte de esta información puede ser confidencial.
- Si desea permitir el acceso solo a la información general del sistema y a la información sobre el uso de RAM, CPU y dispositivos de disco, añada las siguientes líneas al archivo de configuración:
# SNMPv2-MIB - Basic system information
view monitoring included .1.3.6.1.2.1.1
# HOST-RESOURCES-MIB - CPU, Memory, Filesystems
view monitoring included .1.3.6.1.2.1.25.1
view monitoring included .1.3.6.1.2.1.25.2
view monitoring included .1.3.6.1.2.1.25.3
view monitoring included .1.3.6.1.2.1.25.5
# UCD-SNMP-MIB - Memory and CPU usage
view monitoring included .1.3.6.1.4.1.2021.4
view monitoring included .1.3.6.1.4.1.2021.10
view monitoring included .1.3.6.1.4.1.2021.11
# UCD-SNMP-DISKIO-MIB - Block devices I/O statistics
view monitoring included .1.3.6.1.4.1.2021.13
# IF-MIB - Network interfaces I/O statistics
view monitoring included .1.3.6.1.2.1.2
view monitoring included .1.3.6.1.2.1.31
- Si desea permitir el acceso a toda la información del sistema, añada las siguientes líneas al archivo de configuración:
# Allow access to the whole OID tree
view monitoring included .1
- Si desea permitir el acceso solo a la información general del sistema y a la información sobre el uso de RAM, CPU y dispositivos de disco, añada las siguientes líneas al archivo de configuración:
- Especifique el modo de acceso y el alcance de la información para la cuenta de usuario creada. Para hacerlo, añada las siguientes líneas al archivo de configuración:
# Access control for SNMPv3 monitoring system user
rouser <snmp_username> priv -V monitoring
- Para enviar capturas SNMP, especifique la dirección IP del sistema de supervisión y las credenciales de usuario para recibir capturas. Para hacerlo, añada las siguientes líneas al archivo de configuración:
# Send SNMPv3 traps to the monitoring system
trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <trap_username> -a <trap_auth_algo> -A "<trap_auth_pass>" -x <trap_priv_algo> -X "<trap_priv_pass>" udp:<IP_address>:162
Se configurará el servicio snmpd.
Para integrarse con múltiples sistemas de supervisión, cree una cuenta de usuario independientes para cada sistema, especifique el alcance de la información disponible para cada cuenta de usuario (las directivas "ver" y "rouser") y configure el envío de capturas SNMP (la directiva "trapsess").
Ejemplo de un archivo de configuración del servicio snmpd: # Listen for incoming SNMP requests via UDP agentAddress udp:161
# Listen for subagent connections via UNIX socket master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers
# Basic system information sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72
# Kaspersky Secure Mail Gateway SNMP statistics view monitoring included .1.3.6.1.4.1.23668.1735
# SNMPv2-MIB - Basic system information view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB - CPU, Memory, Filesystems view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB - Memory and CPU usage view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB - Network interfaces I/O statistics view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31
# Access control for SNMPv3 monitoring system user rouser MonitoringUser priv -V monitoring
# Send SNMPv3 traps to the monitoring system trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162 |
Iniciar el servicio snmpd con la nueva configuración
Para aplicar la nueva configuración:
- Reinicie el servicio snmpd:
systemctl restart snmpd
- Verifique el estado del servicio snmpd:
systemctl status snmpd
El estado debe ser
running
. - Permita que el servicio se inicie automáticamente al iniciar el sistema operativo:
systemctl enable snmpd
- Si está utilizando un firewall en su sistema operativo o equipo de red, añada reglas para permitir el paso de los paquetes SNMP.
El servicio snmpd está configurado.
Verificar el estado del servicio snmpd
Para probar el servicio snmpd, configure el uso de SNMP en la interfaz web de KSMG y solicite datos SNMP mediante la utilidad "snmpwalk".
Para obtener los alcances de los datos SNMP proporcionados por KSMG:
snmpwalk -v3 -l authPriv -u <snmp_username> -a <snmp_auth_algo> -A "<snmp_auth_pass>" -x <snmp_priv_algo> -X "<snmp_priv_pass>" <IP address> .1.3.6.1.4.1.23668.1735
Ejemplo: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735 |