配置 SNMP 连接的加密

第三方程序可以访问通过 SNMP 发送的数据或用自己的数据替代那些数据。为了确保通过 SNMP 的通信安全,我们建议您配置 SNMP 连接的加密。

在配置之前,请确保在安装了 Kaspersky Web Traffic Security 的所有服务器上安装 snmpd 和 snmptrapd 服务。

要配置 SNMP 连接的加密:

  1. 添加以下行到 /etc/snmp/snmpd.conf 文件:

    view systemview included .1

  2. 接收 EngineID,这是处理 SNMP 陷阱所必需的。为此,在主服务器上运行该命令:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  3. 在作为集群一部分的每台服务器上配置 snmpd 服务。要执行此操作:
    1. 停止 snmpd 服务。为此,请执行命令:

      service snmpd stop

    2. 创建一个新用户。为此,请执行命令:

      net-snmp-create-v3-user -ro -a SHA -A <密码> -x <密码> -X AES kwts-snmp-user

    3. 创建含以下内容的 /etc/snmp/snmpd.conf 配置文件:

      # 通过 unix 接口接受 KWTS 统计数据

      agentXSocket unix:/var/run/agentx-master.socket

      agentXPerms 770 770 kluser klusers

      master agentx

      # 通过 UDP 和 TCP 接受入站 SNMP 请求

      agentAddress udp:localhost:161,tcp:localhost:161

      rouser kwts-snmp-user priv .1.3.6.1

      #如果您不需要通过 SNMPv3 连接转发 SNMP 陷阱,请注释以下行

      trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:162

    4. 将以下字符串添加到配置文件/etc/snmp/snmpn. conf:

      mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/

      mibs all

    5. 启动 snmpd 服务。为此,请执行命令:

      service snmpd start

    6. 检查 SNMP 连接。为此,请运行以下命令:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  4. 在想要接收 SNMP 陷阱的服务器上配置 snmptrapd 服务。要执行此操作:
    1. 停止 snmptrapd 服务。为此,请执行命令:

      service snmptrapd stop

    2. 根据您的操作系统,打开以下配置文件进行编辑:
      • Ubuntu 或 Debian。

        /var/lib/snmpd/snmptrapd.conf

      • CentOS、SUSE Linux Enterprise Server、ALT Server 或 Red Hat Enterprise Linux。

        /var/lib/net-snmp/snmptrapd.conf

      如果指定目录中不存在配置文件,请创建。

    3. 将下列行添加到配置文件:

      createUser -e <EngineID> kwts-snmp-user SHA “<密码>” AES “<密码>”

    4. 创建含以下内容的 /etc/snmp/snmptrapd.conf 配置文件:

      snmpTrapdAddr udp:<IP-地址>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      作为 <IP-地址>,指定 snmptrapd 服务用来接收网络连接的 IP 地址。

    5. 启动 snmptrapd 服务。为此,请执行命令:

      service snmptrapd start

    6. 使用以下命令检查 SNMP 连接:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

已配置 SNMP 连接加密。

页面顶端