Support

Solutions pour les entreprises

Kaspersky Secure Mail Gateway

Utilisation de l'application via le protocole SNMP

Configuration du service snmpd dans le système d'exploitation

Kaspersky Secure Mail Gateway
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Télécharger Forum Contacter le support Outils de désinfection

Configuration du service snmpd dans le système d'exploitation

23 mai 2024

ID 222969

Pour travailler via le protocole SNMP avec KSMG, le service snmpd du système d'exploitation est utilisé. Le service snmpd agit comme un agent maître, acceptant et traitant les demandes des systèmes de surveillance et d'autres consommateurs externes via le protocole SNMP. KSMG se connecte au service snmpd en tant que sous-agent en utilisant le protocole AgentX via un socket UNIX.

Créez un compte utilisateur pour accéder aux données

Arrêtez le service snmpd avant de créer un compte.

Pour accéder en toute sécurité aux données à l'aide du protocole SNMPv3 avec authentification et chiffrement, vous devez créer un compte côté service snmpd avec les données suivantes :

  • Nom d'utilisateur (sensible à la casse).
  • Algorithme d'authentification (MD5 ou SHA, SHA recommandé).
  • Mot de passe pour l'authentification.
  • Algorithme de chiffrement (DES ou AES, AES recommandé).

    Mot de passe de chiffrement.

Pour des raisons de sécurité, il est recommandé d'utiliser des comptes distincts sur différents nœuds du cluster KSMG.

Vous pouvez créer un compte à l'aide de l'utilitaire net-snmp-create-v3-user.

Pour créer un compte utilisateur à l'aide de l'utilitaire net-snmp-create-v3-user :

  1. Connectez-vous au nœud du cluster à l'aide de SSH pour accéder au mode Technical Support Mode.
  2. Exécutez la commande :

    net-snmp-create-v3-user -ro -a <snmp_auth_algo> -x <snmp_priv_algo> <snmp_username>

Les mots de passe pour l'authentification et le chiffrement seront demandés de manière interactive.

Exemple :

net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Création d'un compte utilisateur pour recevoir les interruptions SNMP

Pour recevoir des interruptions SNMP utilisant le protocole SNMPv3 avec authentification et chiffrement, vous devez créer un compte côté système de surveillance dans le contexte du service correspondant (généralement le service snmptrapd).

Le compte doit contenir les informations suivantes :

  • Nom d'utilisateur.
  • Algorithme d'authentification.
  • Mot de passe pour l'authentification.
  • Algorithme de chiffrement.
  • Mot de passe de chiffrement.

Pour des raisons de sécurité, vous devez utiliser différents comptes pour accéder aux données et recevoir des interruptions SNMP.
Il est recommandé de créer des comptes distincts pour recevoir les interruptions SNMP des différents nœuds du cluster KSMG.

Pour obtenir des instructions sur la création d'un compte utilisateur pour recevoir des interruptions SNMP, consultez la documentation de votre système de surveillance.

Configuration du service snmpd

La configuration du service snmpd est stockée dans le fichier /etc/snmp/snmpd.conf. Vous devez créer un nouveau fichier de configuration et y ajouter séquentiellement les lignes ci-dessous.

Pour configurer le service snmpd :

  1. Connectez-vous au nœud du cluster à l'aide de SSH pour accéder au mode Technical Support Mode.
  2. Créez un nouveau fichier de configuration et définissez-y les privilèges d'accès à l'aide des commandes :

    mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup

    touch /etc/snmp/snmpd.conf

    chown root:root /etc/snmp/snmpd.conf

    chmod 600 /etc/snmp/snmpd.conf

  3. Indiquez le protocole, l'adresse de l'interface réseau et le numéro de port sur lesquels le service snmpd acceptera les demandes entrantes.
    • Si vous souhaitez accepter les requêtes sur toutes les interfaces réseau, ajoutez les lignes suivantes au fichier de configuration :

      # Listen for incoming SNMP requests via UDP

      agentAddress udp:161

    • Si vous souhaitez accepter les requêtes uniquement sur l'interface réseau locale, par exemple si le système de surveillance est installé sur la même machine, ajoutez les lignes :

      # Listen for incoming SNMP requests via UDP

      agentAddress udp:127.0.0.1:161

  4. Indiquez le chemin et les autorisations du socket UNIX sur lequel le service snmpd acceptera les connexions du sous-agent à l'aide du protocole AgentX. Pour cela, ajoutez les lignes suivantes au fichier de configuration :

    # Listen for subagent connections via UNIX socket

    master agentx

    agentXSocket unix:/var/run/agentx-master.socket

    agentXPerms 770 770 kluser klusers

  5. Si nécessaire, vous pouvez indiquer une description du système, l'emplacement du système et l'adresse de contact de l'administrateur. Pour cela, ajoutez les lignes suivantes au fichier de configuration :

    # Basic system information

    sysDescr <system_description>

    sysLocation <system_location>

    sysContact <contact_address>

    sysServices 72

  6. Indiquez la zone de l'arborescence OID qui sera disponible pour votre système de surveillance via le protocole SNMP. Pour accéder aux données de l'application KSMG, ajoutez les lignes suivantes au fichier de configuration :

    # Kaspersky Secure Mail Gateway SNMP statistics

    view monitoring included .1.3.6.1.4.1.23668.1735

  7. Vous pouvez éventuellement indiquer une zone de l'arborescence OID contenant les informations sur le système d'exploitation que le service snmpd stocke. Cette zone sera disponible pour votre système de surveillance.

    Les informations sur le système d'exploitation comprennent, par exemple, des données sur l'utilisation du processeur et de la mémoire vive, des données sur l'espace libre sur les partitions de disque, la charge sur les interfaces réseau, une liste des logiciels installés, une liste des connexions réseau ouvertes et une liste des processus en cours d’exécution. Ces informations peuvent contenir des données sensibles.

    • Si vous souhaitez autoriser l'accès uniquement aux informations générales du système et aux données d'utilisation de la mémoire, du processeur, du réseau et du disque, ajoutez les lignes suivantes au fichier de configuration :

      # SNMPv2-MIB - Basic system information

      view monitoring included .1.3.6.1.2.1.1

      # HOST-RESOURCES-MIB - CPU, Memory, Filesystems

      view monitoring included .1.3.6.1.2.1.25.1

      view monitoring included .1.3.6.1.2.1.25.2

      view monitoring included .1.3.6.1.2.1.25.3

      view monitoring included .1.3.6.1.2.1.25.5

      # UCD-SNMP-MIB - Memory and CPU usage

      view monitoring included .1.3.6.1.4.1.2021.4

      view monitoring included .1.3.6.1.4.1.2021.10

      view monitoring included .1.3.6.1.4.1.2021.11

      # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

      view monitoring included .1.3.6.1.4.1.2021.13

      # IF-MIB - Network interfaces I/O statistics

      view monitoring included .1.3.6.1.2.1.2

      view monitoring included .1.3.6.1.2.1.31

    • Si vous souhaitez autoriser l'accès à toutes les informations système, ajoutez les lignes suivantes au fichier de configuration :

      # Allow access to the whole OID tree

      view monitoring included .1

  8. Spécifiez le mode d'accès et la zone de données pour le compte créé. Pour cela, ajoutez les lignes suivantes au fichier de configuration :

    # Access control for SNMPv3 monitoring system user

    rouser <snmp_username> priv -V monitoring

  9. Pour envoyer des interruptions SNMP, spécifiez l'adresse IP du système de surveillance et les informations d'identification de l'utilisateur pour recevoir les interruptions. Pour cela, ajoutez les lignes suivantes au fichier de configuration :

    # Send SNMPv3 traps to the monitoring system

    trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <trap_username> -a <trap_auth_algo> -A "<trap_auth_pass>" -x <trap_priv_algo> -X "<trap_priv_pass>" udp:<IP-address>:162

Le service snmpd sera configuré.

Pour intégrer plusieurs systèmes de surveillance, créez un compte distinct pour chaque système, spécifiez la zone de données disponibles pour les comptes (directives view et rouser) et configurez l'envoi des informations SNMP (directive trapsess).

Exemple de fichier de configuration du service snmpd :

# Listen for incoming SNMP requests via UDP

agentAddress udp:161

 

# Listen for subagent connections via UNIX socket

master agentx

agentXSocket unix:/var/run/agentx-master.socket

agentXPerms 770 770 kluser klusers

 

# Basic system information

sysDescr Example Mail Gateway Server, Node 05

sysLocation Example Datacenter, Ground floor, B23-U45

sysContact Mail system administrator <admin@example.com>

sysServices 72

 

# Kaspersky Secure Mail Gateway SNMP statistics

view monitoring included .1.3.6.1.4.1.23668.1735

 

# SNMPv2-MIB - Basic system information

view monitoring included .1.3.6.1.2.1.1

# HOST-RESOURCES-MIB - CPU, Memory, Filesystems

view monitoring included .1.3.6.1.2.1.25.1

view monitoring included .1.3.6.1.2.1.25.2

view monitoring included .1.3.6.1.2.1.25.3

view monitoring included .1.3.6.1.2.1.25.5

# UCD-SNMP-MIB - Memory and CPU usage

view monitoring included .1.3.6.1.4.1.2021.4

view monitoring included .1.3.6.1.4.1.2021.10

view monitoring included .1.3.6.1.4.1.2021.11

# UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

view monitoring included .1.3.6.1.4.1.2021.13

# IF-MIB - Network interfaces I/O statistics

view monitoring included .1.3.6.1.2.1.2

view monitoring included .1.3.6.1.2.1.31

 

# Access control for SNMPv3 monitoring system user

rouser MonitoringUser priv -V monitoring

 

# Send SNMPv3 traps to the monitoring system

trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162

Démarrage du service snmpd avec une nouvelle configuration

Pour appliquer la nouvelle configuration :

  1. Redémarrez le service snmpd avec la commande :

    systemctl restart snmpd

  2. Vérifiez l'état du service snmpd avec la commande :

    systemctl status snmpd

    L'état doit être running.

  3. Autorisez le service à démarrer automatiquement lorsque le système d'exploitation démarre à l'aide de la commande :

    systemctl enable snmpd

  4. Si vous utilisez un pare-feu dans votre système d'exploitation ou votre équipement réseau, ajoutez des règles appropriées pour autoriser le passage des paquets du protocole SNMP.

Le service snmpd sera lancé.

Vérification de la fonctionnalité du service snmpd

Pour vérifier la fonctionnalité du service snmpd, configurez l'utilisation de SNMP dans l'interface Web KSMG et interrogez les données SNMP à l'aide de l'utilitaire snmpwalk.

Pour obtenir les étendues de données SNMP fournies par l'application KSMG, exécutez la commande :

snmpwalk -v3 -l authPriv -u <snmp_username> -a <snmp_auth_algo> -A "<snmp_auth_pass>" -x <snmp_priv_algo> -X "<snmp_priv_pass>" <adresse IP> .1.3.6.1.4.1.23668.1735

Exemple :

snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Kaspersky Endpoint Security for Business Advanced : sécurité adaptative qui détecte les menaces les plus sophistiquées
Contrôle des terminaux avancé. Contrôle adaptatif des anomalies. Chiffrement de données. Geston flexible via une console centralisée.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.