La configuración del servicio snmpd en el sistema operativo

La interacción con KSMG a través de SNMP se logra mediante el servicio "snmpd" del sistema operativo. El servicio snmpd actúa como un agente principal, recibiendo y procesando solicitudes de sistemas de supervisión y otros consumidores externos a través de SNMP. KSMG se conecta al servicio snmpd como subagente sobre el protocolo AgentX a través de un socket UNIX™.

Instalar el servicio snmpd

Asegúrese de que el servicio snmpd esté instalado en el sistema operativo. Si el servicio no está instalado, instale los paquetes adecuados.

Para instalar el servicio snmpd y las utilidades auxiliares

ejecute el siguiente comando:

• En Red Hat Enterprise Linux y Rocky Linux:

  yum install net-snmp net-snmp-utils

• En Ubuntu:

  apt install snmp snmpd

Crear una cuenta de usuario para acceder a los datos

Antes de crear la cuenta, detenga el servicio snmpd.

Para garantizar la seguridad del acceso a los datos a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta de usuario en el lado del servicio snmpd con la siguiente información:

• Nombre de usuario (distingue entre mayúsculas y minúsculas)
• Algoritmo de autenticación (se recomienda MD5 o SHA, SHA)
• Contraseña de autenticación
• Algoritmo de cifrado (solo se admite AES)
• Contraseña de cifrado

Por motivos de seguridad, recomendamos utilizar una cuenta de usuario independiente en cada nodo de clúster de KSMG.

Puede crear una cuenta de usuario de las siguientes formas:

• Usando la utilidad net-snmp-create-v3-user, si está disponible en el sistema operativo
• Agregar manualmente la directiva apropiada al archivo de configuración del servicio snmpd.

Para crear una cuenta de usuario con la utilidad net-snmp-create-v3-user:

net-snmp-create-v3-user -ro -a <algoritmo de autenticación> -x < algoritmo de cifrado> <nombre de usuario>

Las contraseñas de autenticación y cifrado se solicitan de forma interactiva.

Ejemplo: net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Para crear una cuenta de usuario sin la utilidad:

1. Cree el archivo de configuración /var/lib/snmp/snmpd.conf:

   touch /var/lib/snmp/snmpd.conf

2. Añada la línea siguiente al archivo de configuración:

   createUser <nombre de usuario> <algoritmo de autenticación> "<contraseña de autenticación>" <algoritmo de cifrado> "<contraseña de cifrado>"

   Ejemplo: createUser MonitoringUser SHA "MonitoringAuthSecret" AES "MonitoringPrivSecret"

Crear una cuenta de usuario para recibir capturas SNMP

Para recibir capturas SNMP a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta en el lado del sistema de supervisión en el contexto del servicio correspondiente (generalmente, el servicio snmptrapd).

La cuenta debe contener la siguiente información:

• Nombre de usuario
• Algoritmo de autenticación
• Contraseña de autenticación
• Algoritmo de cifrado
• Contraseña de cifrado

Por motivos de seguridad, debe utilizar cuentas de usuario independientes para acceder a los datos y para recibir capturas SNMP.
Recomendamos crear cuentas de usuario independientes para recibir capturas SNMP de cada nodo del clúster de KSMG.

Para obtener instrucciones sobre cómo crear una cuenta de usuario para recibir capturas SNMP, consulte la documentación de su sistema de supervisión.

Configurar el servicio snmpd.

La configuración del servicio snmpd se almacena en el archivo /etc/snmp/snmpd.conf. Puede agregar la información necesaria a un archivo de configuración existente o crear un nuevo archivo de configuración y agregar las líneas enumeradas a continuación, en el orden dado.

Para configurar el servicio snmpd:

1. Si eligió crear un nuevo archivo de configuración, asegúrese de que solo el superusuario tenga acceso a él. Si es necesario, configure los permisos:

   chown root:root /etc/snmp/snmpd.conf

   chmod 600 /etc/snmp/snmpd.conf

2. Especifique el protocolo, la dirección de la interfaz de red y el número de puerto en el que el servicio snmpd debe escuchar las solicitudes entrantes.
   • Si desea escuchar solicitudes en todas las interfaces de red, agregue las siguientes líneas al archivo de configuración:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:161

   • Si desea escuchar solicitudes solo en la interfaz de red local (por ejemplo, si el sistema de supervisión está instalado en la misma máquina) añada las siguientes líneas:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:127.0.0.1:161

3. Especifique la ruta y los permisos para el socket de UNIX en el que el servicio snmpd debe escuchar las conexiones de subagente a través del protocolo AgentX. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Listen for subagent connections via UNIX socket

   master agentx

   agentXSocket unix:/var/run/agentx-master.socket

   agentXPerms 770 770 kluser klusers

4. Si es necesario, puede proporcionar una descripción del sistema, la ubicación del sistema y la dirección de contacto del administrador. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Basic system information

   sysDescr <descripción del sistema>

   sysLocation <ubicación del sistema>

   sysContact <dirección de correo electrónico del administrador>

   sysServices 72

5. Especifique el alcance del árbol OID que desea que esté disponible para su sistema de supervisión a través del protocolo SNMP. Para tener acceso a los datos de KSMG, añada las siguientes líneas al archivo de configuración:

   # Kaspersky Secure Mail Gateway SNMP statistics

   view monitoring included .1.3.6.1.4.1.23668.1735

6. De ser necesario, puede especificar el alcance del árbol OID que contiene información sobre el sistema operativo que almacena el servicio snmpd. Este alcance estará disponible para su sistema de supervisión.

   La información sobre el sistema operativo incluye, por ejemplo, información sobre el uso de CPU y RAM, espacio libre en las particiones del disco, carga de interfaces de red; una lista de software instalado; una lista de conexiones de red abiertas; y una lista de procesos en ejecución. Parte de esta información puede ser confidencial.

   • Si desea permitir el acceso solo a la información general del sistema y a la información sobre el uso de RAM, CPU y dispositivos de disco, añada las siguientes líneas al archivo de configuración:

     # SNMPv2-MIB - Basic system information

     view monitoring included .1.3.6.1.2.1.1

     # HOST-RESOURCES-MIB - CPU, Memory, Filesystems

     view monitoring included .1.3.6.1.2.1.25.1

     view monitoring included .1.3.6.1.2.1.25.2

     view monitoring included .1.3.6.1.2.1.25.3

     view monitoring included .1.3.6.1.2.1.25.5

     # UCD-SNMP-MIB - Memory and CPU usage

     view monitoring included .1.3.6.1.4.1.2021.4

     view monitoring included .1.3.6.1.4.1.2021.10

     view monitoring included .1.3.6.1.4.1.2021.11

     # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

     view monitoring included .1.3.6.1.4.1.2021.13

     # IF-MIB - Network interfaces I/O statistics

     view monitoring included .1.3.6.1.2.1.2

     view monitoring included .1.3.6.1.2.1.31

   • Si desea permitir el acceso a toda la información del sistema, añada las siguientes líneas al archivo de configuración:

     # Allow access to the whole OID tree

     view monitoring included .1

7. Especifique el modo de acceso y el alcance de la información para la cuenta de usuario creada. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Access control for SNMPv3 monitoring system user

   rouser <nombre de usuario> priv -V monitoring

8. Para enviar capturas SNMP, especifique la dirección IP del sistema de supervisión y las credenciales de usuario para recibir capturas. Para hacerlo, añada las siguientes líneas al archivo de configuración:

   # Send SNMPv3 traps to the monitoring system

   trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <nombre de usuario para recibir capturas> -a <algoritmo de autenticación> -A "<contraseña de usuario para recibir capturas>" -x <algoritmo de cifrado> -X "<contraseña de cifrado>" udp:<dirección IP>:162

Se configurará el servicio snmpd.

Para integrarse con múltiples sistemas de supervisión, cree una cuenta de usuario independientes para cada sistema, especifique el alcance de la información disponible para cada cuenta de usuario (las directivas "ver" y "rouser") y configure el envío de capturas SNMP (la directiva "trapsess").

Ejemplo de un archivo de configuración del servicio snmpd

Iniciar el servicio snmpd con la nueva configuración

Para aplicar la nueva configuración:

1. Reinicie el servicio snmpd:

   systemctl restart snmpd

2. Verifique el estado del servicio snmpd:

   systemctl status snmpd

   El estado debe ser running.

3. Permita que el servicio se inicie automáticamente al iniciar el sistema operativo:

   systemctl enable snmpd

4. Si está utilizando un firewall en su sistema operativo o equipo de red, añada reglas para permitir el paso de los paquetes SNMP.

El servicio snmpd está configurado.

Verificar el estado del servicio snmpd

Para probar el servicio snmpd, configure el uso de SNMP en la interfaz web de KSMG y solicite datos SNMP mediante la utilidad "snmpwalk".

Para obtener los alcances de los datos SNMP proporcionados por KSMG:

snmpwalk -v3 -l authPriv -u <nombre de usuario> -a <algoritmo de autenticación > -A "< contraseña de autenticación>" -x <algoritmo de cifrado> -X "<contraseña de cifrado>" <dirección IP> .1.3.6.1.4.1.23668.1735

Ejemplo: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Inicio de página