Konfigurace služby snmpd v operačním systému

Interakce s KSMG přes SNMP je dosaženo pomocí služby operačního systému „snmpd“. Služba snmpd funguje jako hlavní agent, který prostřednictvím protokolu SNMP přijímá a zpracovává požadavky od monitorovacích systémů a jiných externích spotřebitelů. KSMG se připojuje ke službě snmpd jako podagent prostřednictvím protokolu AgentX prostřednictvím soketu UNIX™.

Instalace služby snmpd

Ujistěte se, že je ve vašem operačním systému nainstalována služba snmpd. Pokud služba není nainstalována, nainstalujte příslušné balíčky.

Postup instalace služby snmpd a pomocných nástrojů

zadejte následující příkaz:

• V systémech Red Hat Enterprise Linux, Rocky Linux:

  yum install net-snmp net-snmp-utils

• V Ubuntu:

  apt install snmp snmpd

Vytvoření uživatelského účtu pro přístup k datům

Před vytvořením účtu zastavte službu snmpd.

Chcete-li zajistit zabezpečení přístupu k datům přes SNMPv3 s ověřením a šifrováním, musíte si na straně služby snmpd vytvořit uživatelský účet s následujícími údaji:

• Uživatelské jméno (rozlišují se malá a velká písmena)
• Ověřovací algoritmus (MD5 nebo SHA, doporučeno SHA)
• Ověřovací heslo
• Šifrovací algoritmus (DES nebo AES, doporučeno AES)
• Šifrovací heslo

Z důvodu zabezpečení doporučujeme použití nezávislého uživatelského účtu na každém uzlu clusteru KSMG.

Uživatelský účet si můžete vytvořit následujícími způsoby:

• Pomocí nástroje net-snmp-create-v3-user, je-li v operačním systému k dispozici.
• Ručně přidáním příslušné direktivy do konfiguračního souboru služby snmpd.

Postup vytvoření uživatelského účtu pomocí nástroje net-snmp-create-v3-user:

net-snmp-create-v3-user -ro -a <ověřovací algoritmus> -x <šifrovací algoritmus> <uživatelské jméno>

Ověřovací a šifrovací hesla jsou vyžadována interaktivně.

Příklad: net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Postup vytvoření uživatelského účtu bez nástroje:

1. Vytvořte konfigurační soubor /var/lib/snmp/snmpd.conf:

   touch /var/lib/snmp/snmpd.conf

2. Přidejte do konfiguračního souboru tento řádek:

   createUser <uživatelské jméno> <ověřovací algoritmus> "<heslo pro ověření>" <šifrovací algoritmus> "<heslo pro šifrování>"

   Příklad: createUser MonitoringUser SHA "MonitoringAuthSecret" AES "MonitoringPrivSecret"

Vytvoření uživatelského účtu pro příjem zachytávání SNMP

Chcete-li přijímat zachytávání SNMP přes SNMPv3 s ověřením a šifrováním, musíte si vytvořit účet na straně monitorovacího systému v kontextu příslušné služby (obvykle služba snmptrapd).

Účet musí obsahovat následující údaje:

• Uživatelské jméno
• Ověřovací algoritmus
• Ověřovací heslo
• Šifrovací algoritmus
• Šifrovací heslo

Z důvodu zabezpečení je nutné pro přístup k datům a pro příjem zachytávání SNMP používat samostatné uživatelské účty.
Doporučujeme vytvořit nezávislé uživatelské účty pro příjem zachytávání SNMP z každého uzlu clusteru KSMG.

Pokyny pro vytvoření uživatelského účtu pro příjem zachytávání SNMP najdete v dokumentaci k vašemu monitorovacímu systému.

Konfigurace služby snmpd

Konfigurace služby snmpd je uložena v souboru /etc/snmp/snmpd.conf. Potřebné informace můžete přidat do stávajícího konfiguračního souboru nebo vytvořit nový konfigurační soubor a přidat níže uvedené řádky v uvedeném pořadí.

Postup konfigurace služby snmpd:

1. Pokud jste se rozhodli vytvořit nový konfigurační soubor, ujistěte se, že k němu má přístup pouze superuživatel. V případě potřeby nastavte oprávnění:

   chown root:root /etc/snmp/snmpd.conf

   chmod 600 /etc/snmp/snmpd.conf

2. Zadejte protokol, adresu síťového rozhraní a číslo portu, na kterém musí služba snmpd naslouchat příchozím požadavkům.
   • Pokud chcete naslouchat požadavkům na všech síťových rozhraních, přidejte do konfiguračního souboru následující řádky:

     # Naslouchat příchozím požadavkům SNMP prostřednictvím UDP

     agentAddress udp:161

   • Pokud chcete naslouchat požadavkům pouze na rozhraní místní sítě, například pokud je monitorovací systém nainstalován na stejném počítači, přidejte následující řádky:

     # Naslouchat příchozím požadavkům SNMP prostřednictvím UDP

     agentAddress udp:127.0.0.1:161

3. Zadejte cestu a oprávnění pro soket UNIX, u kterého musí služba snmpd naslouchat připojení podagenta prostřednictvím protokolu AgentX. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Naslouchat připojení podagenta prostřednictvím soketu UNIX

   master agentx

   agentXSocket unix:/var/run/agentx-master.socket

   agentXPerms 770 770 kluser klusers

4. V případě potřeby můžete uvést popis systému, umístění systému a kontaktní adresu správce. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Základní informace o systému

   sysDescr <popis systému>

   sysLocation <umístění systému>

   sysContact <kontaktní adresa správce>

   sysServices 72

5. Zadejte rozsah stromu OID, který chcete zpřístupnit vašemu monitorovacímu systému prostřednictvím protokolu SNMP. Chcete-li mít přístup k datům KSMG, přidejte do konfiguračního souboru následující řádky:

   # Statistiky SNMP Kaspersky Secure Mail Gateway

   view monitoring included .1.3.6.1.4.1.23668.1735

6. V případě potřeby můžete dodatečně určit rozsah stromu OID obsahujícího informace o operačním systému, které ukládá služba snmpd. Tento rozsah bude k dispozici vašemu monitorovacímu systému.

   Mezi informace o operačním systému patří například informace o využití procesoru a paměti RAM, volném místě na oddílech disku, zatížení síťových rozhraní; seznam nainstalovaného softwaru; seznam otevřených síťových připojení a seznam spuštěných procesů. Část těchto informací může být důvěrná.

   • Pokud chcete povolit přístup pouze k obecným systémovým informacím a informacím o využití paměti RAM, CPU a diskových zařízení, přidejte do konfiguračního souboru následující řádky:

     # SNMPv2-MIB – Základní informace o systému

     view monitoring included .1.3.6.1.2.1.1

     # HOST-RESOURCES-MIB – CPU, paměť, souborové systémy

     view monitoring included .1.3.6.1.2.1.25.1

     view monitoring included .1.3.6.1.2.1.25.2

     view monitoring included .1.3.6.1.2.1.25.3

     view monitoring included .1.3.6.1.2.1.25.5

     # UCD-SNMP-MIB – Využití paměti a procesoru

     view monitoring included .1.3.6.1.4.1.2021.4

     view monitoring included .1.3.6.1.4.1.2021.10

     view monitoring included .1.3.6.1.4.1.2021.11

     # UCD-SNMP-DISKIO-MIB – Blokovat statistiky I/O zařízení

     view monitoring included .1.3.6.1.4.1.2021.13

     # IF-MIB – Statistika I/O síťových rozhraní

     view monitoring included .1.3.6.1.2.1.2

     view monitoring included .1.3.6.1.2.1.31

   • Pokud chcete povolit přístup ke všem systémovým informacím, přidejte do konfiguračního souboru následující řádky:

     # Povolit přístup k celému stromu OID

     view monitoring included .1

7. Zadejte režim přístupu a rozsah informací pro vytvořený uživatelský účet. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Kontrola přístupu pro uživatele monitorovacího systému SNMPv3

   rouser <uživatelské jméno> priv -V monitoring

8. Chcete-li odesílat depeše SNMP, zadejte IP adresu monitorovacího systému a přihlašovací údaje uživatele pro příjem zachytávání. Chcete-li tak učinit, přidejte do konfiguračního souboru následující řádky:

   # Odesílat zachytávání SNMPv3 do monitorovacího systému

   trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <uživatelské jméno pro příjem zachytávání> -a <ověřovací algoritmus> -A "<heslo uživatele pro příjem zachytávání>" -x <šifrovací algoritmus> -X "<heslo pro šifrování>" udp:<IP adresa>:162

Bude nakonfigurována služba snmpd.

Za účelem integrace s více monitorovacími systémy si vytvořte pro každý systém samostatný uživatelský účet, určete pro každý uživatelský účet rozsah dostupných informací (direktivy „view“ a „rouser“) a nakonfigurujte odesílání zachytávání SNMP (direktiva „trapsess“).

Příklad konfiguračního souboru služby snmpd

Spuštění služby snmpd s novou konfigurací

Postup použití nové konfigurace:

1. Restartujte službu snmpd:

   systemctl restart snmpd

2. Zkontrolujte stav služby snmpd:

   systemctl status snmpd

   Stav musí být spuštěn.

3. Povolte automatické spouštění služby při spuštění operačního systému:

   systemctl enable snmpd

4. Pokud v operačním systému nebo síťovém zařízení používáte bránu firewall, přidejte pravidla pro propustnost paketů SNMP.

Je nakonfigurována služba snmpd.

Kontrola stavu služby snmpd

Chcete-li otestovat službu snmpd, nakonfigurujte používání SNMP ve webovém rozhraní aplikace KSMG a požádejte o data SNMP pomocí nástroje „snmpwalk“.

Postup získání rozsahů dat SNMP poskytovaných aplikací KSMG:

snmpwalk -v3 -l authPriv -u <uživatelské jméno> -a <ověřovací algoritmus> -A "<heslo pro ověření>" -x <šifrovací algoritmus> -X "<heslo pro šifrování>" <IP adresa> .1.3.6.1.4.1.23668.1735

Příklad: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Na začátek stránky