红旗认证辅导:如何提升Nagios服务器安全
Nagios是一种监控软件,能够辅佐用户迅速体味主机和互联网上呈现的问题,而且可以将其设置装备摆设为在任何收集使用。在任何版本的Linux操作系统上安装Nagios处事器都长短常快速的过程,不外平安的安装则要破耗一些功夫。本文将重点切磋若何提高Nagios的平安性问题,而不会讲解若何安装Nagios的问题,因为已经太多近似文章。你可能会迷惑为什么需要考虑Nagios处事器的平安问题?因为如不美观Nagios受到抨击袭击的话,黑客将获取年夜量信息。下文的示例都是在Ubuntu情形进行的,不外这些示例能够辅佐任何情形下的用户提高Nagios处事器的平安性,因为根基概念是一致的。
Web界面
如不美观你按照互联网上供给的快速安装指南安装Nagios,很可能只是安装了web界面,因为Nagios使用Apache显示出良多其他平安选项。
下面是Nagios web界面的apache设置装备摆设的例子:
Options:ExecCGI
AllowOverride:None
Order allow:deny
Allow from:all
AuthName:"Nagios Access"
AuthType:Basic
AuthUserFile:/usr/local/nagios/etc/htpasswd.users
Require:valid-user
“Allow from”选项是用来明晰只能向某些IP地址和/或收集供给访谒权限的,膳缦沔例子中许可所有IP地址访谒该web界面。其他平安选项是用于身份验证的,“AuthType”界说了使用哪种身份验证类型,只有两种类型可供选择Basic或者Digest,根基验证(Basic)会将用户密码和用户名作为纯文本提交,而Digest验证的密码则会作为MD5 digest提交,很较着后者加倍平安。
为了提高平安性我们需要进行如下改削:
Options:ExecCGI
AllowOverride:None
Order allow:deny
Allow from:192.168.4.
AuthName:"Nagios Access"
AuthType:Digest
AuthDigestFile:/usr/local/nagios/etc/htpasswd.users
Require:valid-user
这个设置装备摆设中,只有192.168.4.0收集的电脑可以访谒该web界面,而且我们此刻使用Digest验证庖代了不平安的根基验证体例。
此刻我们需要添加许可访谒web收集的用户以及密码,使用下列呼吁来为digest验证添加新用户:
# htdigest -c /usr/local/nagios/etc/htpasswd.users realm username
Digest验证确实比Basic验证加倍平安,不外呵护用户名和密码平安最好的体例仍是使用SSL。
进行任何设置装备摆设更改后都必需年夜头启动apache,呼吁如下:.
# /etc/init.d/apache2 restart
最佳做法
本节将列举出一些安装Nagios处事器的最佳平安做法,具体如下:
· 不要以root身份运行Nagios。需要有一个名为nagios的通俗用户,如不美观Nagios作为root运行,那么当Nagios受到抨击袭击时,抨击袭击者就能够对用户系统随心所欲了。.
· 锁定Check Result Directory。 确保只有nagios用户拥有对check result directory的篡夺/写入权限,否则抨击袭击者将可能发送伪造的主机和处事搜检结不美观,该目录凡是位于这个位置:/usr/local/nagios/var/spool/checkresults。
红旗认证辅导:如何提升Nagios服务器安全
· 在Command Definitions中使用完整路径。当界说呼吁时,请明晰完整的路径,而不是与正在执行的任何剧本或者二进制相关的路径。· 呵护远程代办代庖平安。远程代办代庖搜罗NRPE,、NSClient以及SNMP等,下文中我们将介绍呵护NRPE远程代办代庖的轨范。
呵护远程代办代庖(remote agent)
本节我们将研究若何保障NRPE平安的问题。该远程代办代乱用于在远程主机上执行搜检轨范(搜检负载或者磁盘使用等),我们不会但愿任何轨范或者用户能够在远程机械上执行呼吁,是以保障NRPE的平安性长短常主要的。
因为NRPE附带有对TCP wrappers的撑持,我们可以界说哪些主机许可访谒NRPE:
/etc/hosts.allow
nrpe:192.168.1.91
以上示例中,只有192.168.1.91可以在该主机上使用这个远程代办代庖,你可以将你的Nagios客户端IP地址庖代192.168.1.91,请注重应该同时用于你的Nagios处事器和客户端。
NRPE毫不能作为root或者任何其他superuser来运行,它只能作为nagios用户组中的nagios用户来运行,可以在/etc/nagios/nrpe.cfg位置查看NRPE是否作为nagios运行:
part of /etc/nagios/nrpe.cfg
nrpe_user=nagios
nrpe_group=nagios
NRPE的另一部门也可能成为平安裂痕,即许可command arguments。我们当然不但愿看到抨击袭击者经由过程发送恶意arguments抨击袭击我们的系统,确实有时辰需要许可Nagios发送command arguments,但如不美观年夜部门时辰不需要启用此功能,那么必然要禁用。
禁用此功能需要编纂/etc/nagios/nrpe.cfg 并确保你执行下列呼吁:
dont_blame_nrpe=0
用户进行任何设置装备摆设更改后都必需年夜头启动nrpe.cfg,想要体味更多关于NRPE平安的信息请阅读数据包源文件中的SECURITY文件。
呵护通信渠道平安
在收集进行通信时,必然要涉及到通信平安问题,这也恰是SSL的用武之地。
NRPE可以许可你启用SSL功能,可是数据包必需已经设置装备摆设为–enable-ssl option(启用SSL选项),如不美观NRPE设置装备摆设为使用SSL功能,请注重客户端和处事器都必需同时启用。.
下一步我们还需要设置装备摆设SSL以提高其平安性,这样才不至于发似撇的纯文本web界面密码:
# openssl genrsa -des3 -out server.3des-key 1024
# openssl rsa -in server.3des-key -out server.key
# openssl req -new -key server.key -x509 -out server.crt -days 365
# chmod 600 server.key
# rm server.3des-key
# mv server.crt /etc/ssl/
# mv server.key /etc/ssl/private/
此刻我们已经生成了证书,需要告诉Apache来使用这些证书。
在Apache设置装备摆设中,需要添加SSLRequireSSL选项,例如:
SSLRequireSSL
Options:ExecCGI
AllowOverride:None
Order allow:deny
Allow from:192.168.4.
AuthName:"Nagios Access"
AuthType:Digest
AuthDigestFile:/usr/local/nagios/etc/htpasswd.users
Require:valid-user
请记住年夜头启动Apache:
# /etc/init.d/apache2 restart
此刻Nagios处事器已经很平安了,下一步就是即使进行平安更新。
与体味更多Nagios相关资料,可以访谒Nagios Documentation
页:
[1]