Configurar o serviço snmpd no sistema operacional

A interação com o Kaspersky Web Traffic Security sobre SNMP é obtida usando o serviço 'snmpd' do sistema operacional. O serviço snmpd atua como um agente principal, recebendo e processando solicitações de sistemas de monitoramento e outros consumidores externos através do SNMP. O Kaspersky Web Traffic Security conecta-se ao serviço snmpd como um subagente através do protocolo AgentX através de um soquete UNIX™.

Instalando o serviço snmpd

Se o Kaspersky Web Traffic Security foi instalado via um arquivo ISO, nenhuma outra ação será necessária. Se o Kaspersky Web Traffic Security foi instalado via um pacote RPM ou DEB, certifique-se de que o serviço snmpd esteja instalado no seu sistema operacional. Se o serviço não estiver instalado, instale os pacotes apropriados.

Para instalar o serviço snmpd e os utilitários auxiliares

digite o seguinte comando:

• No Red Hat Enterprise Linux, Rocky Linux, RED OS, CentOS:

  yum install net-snmp net-snmp-utils

• No Ubuntu, Debian, Astra Linux Special Edition:

  apt install snmp snmpd

Criar uma conta de usuário para acessar os dados

Antes de criar a conta, interrompa o serviço snmpd.

Para garantir a segurança do acesso aos dados através de SNMPv3 com autenticação e criptografia, você precisa criar uma conta de usuário no lado do serviço snmpd com as seguintes informações:

• Nome de usuário (diferencia maiúsculas de minúsculas)
• Algoritmo de autenticação (MD5 ou SHA, SHA é recomendado)
• Senha de autenticação
• Algoritmo de criptografia (somente compatível com AES)
• Senha de criptografia

Por motivos de segurança, recomendamos usar uma conta de usuário independente em cada node do cluster Kaspersky Web Traffic Security.

Você pode criar uma conta de usuário das seguintes maneiras:

• Usando o utilitário net-snmp-create-v3-user, se disponível no sistema operacional.
• Manualmente, adicionando a diretiva apropriada ao arquivo de configuração do serviço snmpd

Para criar uma conta de usuário usando o utilitário net-snmp-create-v3-user:

1. Se o Kaspersky Web Traffic Security tiver sido instalado de um arquivo ISO, conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Web Traffic Security sob a conta raiz usando a chave privada SSH. Isso leva você ao Modo de Suporte Técnico.

   Se o Kaspersky Web Traffic Security tiver sido instalado de um pacote RPM ou DEB, inicie o shell de comando do sistema operacional para executar comandos com permissões de superusuário (administrador do sistema).

2. Execute o seguintes comando:

   net-snmp-create-v3-user -ro -a <algoritmo de autenticação> -x <algoritmo de criptografia> <nome de usuário>

As senhas de autenticação e criptografia são solicitadas interativamente.

Exemplo: net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

Para criar uma conta de usuário sem o utilitário:

1. Inicie um shell de comando do sistema operacional para executar comandos com permissões de superusuário (administrador do sistema).
2. Crie o arquivo de configuração /var/lib/snmp/snmpd.conf:

   touch /var/lib/snmp/snmpd.conf

3. Adicione a seguinte linha ao arquivo de configuração:

   createUser <nome de usuário> <algoritmo de autenticação> "<senha de autenticação>" <algoritmo de criptografia> "<senha de criptografia>"

   Exemplo: createUser MonitoringUser SHA "MonitoringAuthSecret" AES "MonitoringPrivSecret"

Criando uma conta de usuário para receber armadilhas SNMP

Para receber armadilhas SNMP sobre SNMPv3 com autenticação e criptografia, você precisa criar uma conta no lado do sistema de monitoramento no contexto do serviço correspondente (geralmente o serviço snmptrapd).

A conta deve conter as seguintes informações:

• <User name>.
• Algoritmo de autenticação
• Senha de autenticação
• Algoritmo de criptografia
• Senha de criptografia

Por motivos de segurança, você deve usar contas de usuário separadas para acessar os dados e receber armadilhas SNMP.
Recomendamos criar contas de usuário independentes para receber armadilhas SNMP de cada node do cluster do Kaspersky Web Traffic Security.

Para obter instruções sobre como criar uma conta de usuário para receber armadilhas SNMP, consulte a documentação de seu sistema de monitoramento.

Configurando o serviço snmpd

A configuração do serviço snmpd é armazenada no arquivo /etc/snmp/snmpd.conf. Você deve criar um novo arquivo de configuração e adicionar a ele as seguintes linhas na ordem especificada.

Para configurar o serviço snmpd:

1. Se o Kaspersky Web Traffic Security foi implementado a partir de um arquivo ISO, conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Web Traffic Security como raiz usando a chave privada SSH. Isso leva você ao Modo de Suporte Técnico.

   Se o Kaspersky Web Traffic Security tiver sido instalado de um pacote RPM ou DEB, inicie o shell de comando do sistema operacional para executar comandos com privilégios de superusuário (administrador do sistema).

2. Crie um novo arquivo de configuração e defina as permissões de acesso para ele:

   mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup

   touch /etc/snmp/snmpd.conf

   chown root:root /etc/snmp/snmpd.conf

   chmod 600 /etc/snmp/snmpd.conf

3. Especifique o protocolo, o endereço da interface de rede e o número da porta nos quais o serviço snmpd deve escutar as solicitações recebidas.
   • Se quiser ouvir solicitações em todas as interfaces de rede, adicione as seguintes linhas ao arquivo de configuração:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:161

   • Se quiser ouvir solicitações somente na interface de rede local, por exemplo, se o sistema de monitoramento estiver instalado na mesma máquina, adicione as seguintes linhas:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:127.0.0.1:161

4. Especifique o caminho e as permissões para o soquete UNIX no qual o serviço snmpd deve escutar conexões de subagente através do protocolo AgentX. Para isso, adicione as seguintes linhas ao arquivo de configuração:

   # Listen for subagent connections via UNIX socket

   master agentx

   agentXSocket unix:/var/run/agentx-master.socket

   agentXPerms 770 770 kluser klusers

5. Se necessário, você pode fornecer uma descrição do sistema, a localização do sistema e o endereço de contato do administrador. Para isso, adicione as seguintes linhas ao arquivo de configuração:

   # Basic system information

   sysDescr <descrição do sistema>

   sysLocation <localização do sistema>

   sysContact <endereço de e-mail do administrador>

   sysServices 72

6. Especifique o escopo da árvore OID que você deseja que esteja disponível para seu sistema de monitoramento através do protocolo SNMP. Para ter acesso aos dados do Kaspersky Web Traffic Security, adicione as seguintes linhas ao arquivo de configuração:

   # Estatísticas SNMP do Kaspersky Web Traffic Security

   monitoramento de visualização incluído .1.3.6.1.4.1.23668.2022

7. Se necessário, você também pode especificar o escopo da árvore OID que contém informações sobre o sistema operacional armazenado pelo serviço snmpd. Este escopo estará disponível para seu sistema de monitoramento.

   As informações sobre o sistema operacional incluem, por exemplo, informações sobre o uso da CPU e da RAM, espaço livre nas partições do disco, carga das interfaces de rede; uma lista de softwares instalados; uma lista de conexões de rede abertas; e uma lista de processos em execução. Parte dessas informações pode ser confidencial.

   • Se quiser permitir o acesso somente a informações gerais do sistema e informações sobre o uso de RAM, CPU e dispositivos de disco, adicione as seguintes linhas ao arquivo de configuração:

     # SNMPv2-MIB - Basic system information

     view monitoring included .1.3.6.1.2.1.1

     # HOST-RESOURCES-MIB - CPU, Memory, Filesystems

     view monitoring included .1.3.6.1.2.1.25.1

     view monitoring included .1.3.6.1.2.1.25.2

     view monitoring included .1.3.6.1.2.1.25.3

     view monitoring included .1.3.6.1.2.1.25.5

     # UCD-SNMP-MIB - Memory and CPU usage

     view monitoring included .1.3.6.1.4.1.2021.4

     view monitoring included .1.3.6.1.4.1.2021.10

     view monitoring included .1.3.6.1.4.1.2021.11

     # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

     view monitoring included .1.3.6.1.4.1.2021.13

     # IF-MIB - Network interfaces I/O statistics

     view monitoring included .1.3.6.1.2.1.2

     view monitoring included .1.3.6.1.2.1.31

   • Se quiser permitir o acesso a todas as informações do sistema, adicione as seguintes linhas ao arquivo de configuração:

     # Allow access to the whole OID tree

     view monitoring included .1

8. Especifique o modo de acesso e o escopo das informações para a conta de usuário criada. Para isso, adicione as seguintes linhas ao arquivo de configuração:

   # Access control for SNMPv3 monitoring system user

   rouser <nome de usuário> priv -V monitoramento

9. Para enviar armadilhas SNMP, especifique o endereço IP do sistema de monitoramento e as credenciais do usuário para receber armadilhas. Para isso, adicione as seguintes linhas ao arquivo de configuração:

   # Send SNMPv3 traps to the monitoring system

   trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <nome de usuário para receber traps> -a <algoritmo de autenticação> -A "<senha do usuário para receber traps>" -x <algoritmo de criptografia> -X "<senha de criptografia>" udp:<endereço IP>:162

O serviço snmpd será configurado.

Para integrar com vários sistemas de monitoramento, crie uma conta de usuário separada para cada sistema, especifique o escopo das informações disponíveis para cada conta de usuário (as diretivas 'view' e 'rouser') e configure o envio de traps SNMP (a diretiva 'trapsess').

Exemplo de um arquivo de configuração de serviço snmpd

Iniciando o serviço snmpd com a nova configuração

Para aplicar a nova configuração:

1. Reinicie o serviço snmpd:

   systemctl restart snmpd

2. Verifique o status do serviço snmpd:

   systemctl status snmpd

   O status deve estar em execução.

3. Permitir que o serviço seja iniciado automaticamente na inicialização do sistema operacional:

   systemctl enable snmpd

4. Se estiver usando um firewall em seu sistema operacional ou equipamento de rede, adicione regras para permitir a passagem de pacotes SNMP.

O serviço snmpd está configurado.

Verificando a integridade do serviço snmpd

Para testar o serviço snmpd, configure o uso do SNMP na interface da Web do Kaspersky Web Traffic Security e solicite dados SNMP usando o utilitário 'snmpwalk'.

Para obter os escopos de dados SNMP fornecidos pelo Kaspersky Web Traffic Security, execute o seguinte comando:

snmpwalk -v3 -l authPriv -u <nome de usuário> -a <authentication algorithm> -A "<authentication password>" -x <encryption algorithm> -X "<senha de criptografia>" <endereço IP> .1.3.6.1.4.1.23668.2022

Exemplo: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.2022

Topo da página