Einstellungen des Dienstes "snmpd" im Betriebssystem anpassen

Für die Arbeit von KSMG über das SNMP-Protokoll wird der Dienst "snmpd" des Betriebssystems verwendet. Der Dienst "snmpd" fungiert als Master-Agent und akzeptiert und verarbeitet Anfragen von Überwachungssystemen und anderen externen Verbrauchern über das SNMP-Protokoll. KSMG stellt als Subagent über das AgentX-Protokoll über einen UNIX™-Socket eine Verbindung zum Dienst "snmpd" her.

Benutzerkonto für den Datenzugriff erstellen

Stoppen Sie den Dienst "snmpd", bevor Sie ein Benutzerkonto erstellen.

Um mithilfe des SNMPv3-Protokolls mit Authentifizierung und Verschlüsselung sicher auf Daten zuzugreifen, müssen Sie auf der Seite des Dienstes "snmpd" ein Benutzerkonto mit den folgenden Daten erstellen:

• Benutzername (Groß-/Kleinschreibung beachten)
• Authentifizierungsalgorithmus (MD5 oder SHA, SHA empfohlen)
• Kennwort für die Authentifizierung
• Verschlüsselungsalgorithmus (unterstützt nur AES).
• Kennwort für die Verschlüsselung

Aus Sicherheitsgründen wird empfohlen, separate Benutzerkonten auf verschiedenen KSMG-Cluster-Knoten zu verwenden.

Sie können ein Benutzerkonto mit dem Tool "net-snmp-create-v3-user" erstellen.

So erstellen Sie ein Benutzerkonto mit Tool "net-snmp-create-v3-user zu erstellen":

1. Stellen Sie über SSH eine Verbindung zum Cluster-Knoten her, um auf den Modus Technical Support Mode zuzugreifen.
2. Führen Sie den folgenden Befehl aus:

   net-snmp-create-v3-user -ro -a <Authentifizierungsalgorithmus> -x <Verschlüsselungsalgorithmus> <Benutzername>

   Kennwörter zur Authentifizierung und Verschlüsselung werden interaktiv abgefragt.

   Beispiel: net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Benutzerkonto zum Empfang von SNMP-Fallen erstellen

Um SNMP-Fallen über das SNMPv3-Protokoll mit Authentifizierung und Verschlüsselung zu empfangen, müssen Sie auf der Seite des Überwachungssystems im Kontext des entsprechenden Dienstes (normalerweise des snmptrapd-Dienstes) ein Benutzerkonto erstellen.

Das Benutzerkonto muss folgende Informationen enthalten:

• Benutzername
• Authentifizierungsalgorithmus
• Kennwort für die Authentifizierung
• Verschlüsselungsalgorithmus
• Kennwort für die Verschlüsselung

Aus Sicherheitsgründen müssen Sie unterschiedliche Benutzerkonten verwenden, um auf Daten zuzugreifen und SNMP-Fallen zu empfangen.
Es wird empfohlen, separate Benutzerkonten zu erstellen, um SNMP-Fallen von verschiedenen Knoten im KSMG-Cluster zu empfangen.

Anweisungen zum Erstellen eines Benutzerkontos zum Empfang von SNMP-Fallen finden Sie in der Dokumentation Ihres Überwachungssystems.

Dienst "snmpd" konfigurieren

Die Konfiguration des Dienstes "snmpd" wird in der Datei /etc/snmp/snmpd.conf gespeichert. Sie müssen eine neue Konfigurationsdatei erstellen und ihr nacheinander die folgenden Zeilen hinzufügen.

So richten Sie den Dienst "snmpd" ein:

1. Stellen Sie über SSH eine Verbindung zum Cluster-Knoten her, um auf den Modus Technical Support Mode zuzugreifen.
2. Erstellen Sie eine neue Konfigurationsdatei und legen Sie mit den folgenden Befehlen die Berechtigungen zum Zugriff auf diese fest:

   mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup

   touch /etc/snmp/snmpd.conf

   chown root:root /etc/snmp/snmpd.conf

   chmod 600 /etc/snmp/snmpd.conf

3. Geben Sie das Protokoll, die Netzwerkschnittstellenadresse und die Portnummer an, auf denen der Dienst "snmpd" eingehende Anforderungen akzeptiert.
   • Wenn Sie Anfragen auf allen Netzwerkschnittstellen akzeptieren möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:161

   • Wenn Sie Anfragen nur auf der lokalen Netzwerkschnittstelle akzeptieren möchten, beispielsweise wenn das Überwachungssystem auf demselben Computer installiert ist, fügen Sie die folgenden Zeilen hinzu:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:127.0.0.1:161

4. Geben Sie den Pfad und die Berechtigungen für den UNIX-Socket an, auf dem der Dienst "snmpd" Verbindungen vom Subagenten über das AgentX-Protokoll akzeptiert. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Listen for subagent connections via UNIX socket

   master agentx

   agentXSocket unix:/var/run/agentx-master.socket

   agentXPerms 770 770 kluser klusers

5. Bei Bedarf können Sie eine Beschreibung des Systems, den Standort des Systems und die Kontaktadresse des Administrators angeben. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Basic system information

   sysDescr <system_description>

   sysLocation <system_location>

   sysContact <contact_address>

   sysServices 72

6. Geben Sie den Bereich der OID-Struktur an, der Ihrem Überwachungssystem über das SNMP-Protokoll zur Verfügung stehen soll. Um auf KSMG-Anwendungsdaten zuzugreifen, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

   # Kaspersky Secure Mail Gateway SNMP statistics

   view monitoring included .1.3.6.1.4.1.23668.1735

7. Sie können optional einen Bereich der OID-Strukur angeben, der Betriebssysteminformationen enthält, die der Dienst "snmpd" speichert. Dieser Bereich steht Ihrem Überwachungssystem zur Verfügung.

   Zu den Informationen über das Betriebssystem gehören beispielsweise Daten zur Nutzung des Prozessors und des Arbeitsspeichers, Daten zum freien Speicherplatz auf Festplattenpartitionen, zur Auslastung der Netzwerkschnittstellen, eine Liste der installierten Software, eine Liste der offenen Netzwerkverbindungen und eine Liste von Laufende Prozesse. Diese Informationen können vertrauliche Daten enthalten.

   • Wenn Sie den Zugriff nur auf allgemeine Systeminformationen sowie Daten zur Nutzung von Speicher, Prozessor, Netzwerk und Festplatten zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

     # SNMPv2-MIB - Basic system information

     view monitoring included .1.3.6.1.2.1.1

     # HOST-RESOURCES-MIB - CPU, Memory, Filesystems

     view monitoring included .1.3.6.1.2.1.25.1

     view monitoring included .1.3.6.1.2.1.25.2

     view monitoring included .1.3.6.1.2.1.25.3

     view monitoring included .1.3.6.1.2.1.25.5

     # UCD-SNMP-MIB - Memory and CPU usage

     view monitoring included .1.3.6.1.4.1.2021.4

     view monitoring included .1.3.6.1.4.1.2021.10

     view monitoring included .1.3.6.1.4.1.2021.11

     # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

     view monitoring included .1.3.6.1.4.1.2021.13

     # IF-MIB - Network interfaces I/O statistics

     view monitoring included .1.3.6.1.2.1.2

     view monitoring included .1.3.6.1.2.1.31

   • Wenn Sie den Zugriff auf alle Systeminformationen zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

     # Allow access to the whole OID tree

     view monitoring included .1

8. Geben Sie den Zugriffsmodus und den Datenbereich für das erstellte Benutzerkonto an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Access control for SNMPv3 monitoring system user

   rouser <Benutzername> priv -V monitoring

9. Um SNMP-Fallen zu senden, geben Sie die IP-Adresse des Überwachungssystems und die Anmeldedaten des Benutzers zum Empfang von Traps an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Send SNMPv3 traps to the monitoring system

   trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <Benutzername> -a <Authentifizierungsalgorithmus> -A "<Kennwort zur Authentifizierung>" -x <Verschlüsselungsalgorithmus> -X "<Kennwort für die Verschlüsselung>" udp:<IP-адрес>:162

Der Dienst "snmpd" ist konfiguriert.

Für die Integration mit mehreren Überwachungssystemen erstellen Sie für jedes System ein separates Benutzerkonto, geben den Bereich der verfügbaren Daten für die Benutzerkonten an (View- und Rouser-Anweisungen) und konfigurieren das Senden von SNMP-Fallen (Trapsess-Anweisung).

Beispiel für eine Konfigurationsdatei des Dienstes "snmpd": # Listen for incoming SNMP requests via UDP agentAddress udp:161   # Listen for subagent connections via UNIX socket master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers   # Basic system information sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72   # Kaspersky Secure Mail Gateway SNMP statistics view monitoring included .1.3.6.1.4.1.23668.1735   # SNMPv2-MIB - Basic system information view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB - CPU, Memory, Filesystems view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB - Memory and CPU usage view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB - Network interfaces I/O statistics view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31   # Access control for SNMPv3 monitoring system user rouser MonitoringUser priv -V monitoring   # Send SNMPv3 traps to the monitoring system trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162

Dienst "snmpd" mit neuer Konfiguration starten

So wenden Sie die neue Konfiguration an:

1. Starten Sie den Dienst "snmpd" mit dem folgenden Befehl neu:

   systemctl restart snmpd

2. Überprüfen Sie den Status des Dienstes "snmpd" mit dem folgenden Befehl:

   systemctl status snmpd

   Der Status muss running lauten.

3. Erlauben Sie dem Dienst mit dem folgenden Befehl, automatisch zu starten, wenn das Betriebssystem startet:

   systemctl enable snmpd

4. Wenn Sie in Ihrem Betriebssystem oder Netzwerkgerät eine Firewall verwenden, fügen Sie entsprechende Regeln hinzu, um SNMP-Protokollpakete durchzulassen.

Der Dienst "snmpd" ist konfiguriert.

Funktionalität des Dienstes "snmpd" überprüfen

Um die Funktionalität des Dienstes "snmpd" zu überprüfen, konfigurieren Sie die Verwendung von SNMP in der KSMG-Weboberfläche und fragen Sie SNMP-Daten mit dem Dienstprogramm snmpwalk ab.

Um die von der Anwendung KSMG bereitgestellten SNMP-Datenbereiche abzurufen, führen Sie den folgenden Befehl aus:

snmpwalk -v3 -l authPriv -u <Benutzername> -a <Authentifizierungsalgorithmus> -A "<Kennwort zur Authentifizierung>" -x <Verschlüsselungsalgorithmus> -X "<Kennwort für die Verschlüsselung>" <IP-Adresse> .1.3.6.1.4.1.23668.1735

Beispiel: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735

Nach oben