· 在Command Definitions中使用完整路径。当界说呼吁时,请明晰完整的路径,而不是与正在执行的任何剧本或者二进制相关的路径。7 r6 h3 k6 \6 q/ x( s
· 呵护远程代办代庖平安。远程代办代庖搜罗NRPE,、NSClient以及SNMP等,下文中我们将介绍呵护NRPE远程代办代庖的轨范。
+ R% X5 D' y0 o: _3 [7 ? 呵护远程代办代庖(remote agent)) U- Q/ S1 W5 h8 v/ f+ |5 P3 f- |
本节我们将研究若何保障NRPE平安的问题。该远程代办代乱用于在远程主机上执行搜检轨范(搜检负载或者磁盘使用等),我们不会但愿任何轨范或者用户能够在远程机械上执行呼吁,是以保障NRPE的平安性长短常主要的。
0 k8 W5 O$ d; i( [8 c1 C& k 因为NRPE附带有对TCP wrappers的撑持,我们可以界说哪些主机许可访谒NRPE:* I L+ C* G8 d
/etc/hosts.allow
9 \& n$ |- F6 c' r2 J nrpe:192.168.1.91# N" v) b# \0 i8 q3 S
以上示例中,只有192.168.1.91可以在该主机上使用这个远程代办代庖,你可以将你的Nagios客户端IP地址庖代192.168.1.91,请注重应该同时用于你的Nagios处事器和客户端。
) i3 _: `8 H9 q) } NRPE毫不能作为root或者任何其他superuser来运行,它只能作为nagios用户组中的nagios用户来运行,可以在/etc/nagios/nrpe.cfg位置查看NRPE是否作为nagios运行:
6 B v# T, t% n* `( D. f1 D" e- `% o part of /etc/nagios/nrpe.cfg
. }# d: p5 X' s6 p) y nrpe_user=nagios$ O$ G; E# L Y6 K, r
nrpe_group=nagios
8 C A! Y" a" R/ w) s NRPE的另一部门也可能成为平安裂痕,即许可command arguments。我们当然不但愿看到抨击袭击者经由过程发送恶意arguments抨击袭击我们的系统,确实有时辰需要许可Nagios发送command arguments,但如不美观年夜部门时辰不需要启用此功能,那么必然要禁用。# ?( M$ \$ Z/ G( E8 Z! Y
禁用此功能需要编纂/etc/nagios/nrpe.cfg 并确保你执行下列呼吁:
% k- a# t- H; U' V6 D+ C% P dont_blame_nrpe=0
; j( F! D$ L9 X; p0 @& O 用户进行任何设置装备摆设更改后都必需年夜头启动nrpe.cfg,想要体味更多关于NRPE平安的信息请阅读数据包源文件中的SECURITY文件。( i+ l% J) J! }1 r
呵护通信渠道平安: ]' l& h, d0 o. h. V1 t
在收集进行通信时,必然要涉及到通信平安问题,这也恰是SSL的用武之地。
7 u$ g- |% O3 v, {, K: S5 e; h NRPE可以许可你启用SSL功能,可是数据包必需已经设置装备摆设为–enable-ssl option(启用SSL选项),如不美观NRPE设置装备摆设为使用SSL功能,请注重客户端和处事器都必需同时启用。.7 H! d0 L2 x! b3 }5 Z8 W, U
下一步我们还需要设置装备摆设SSL以提高其平安性,这样才不至于发似撇的纯文本web界面密码:1 [1 r6 @" l* C& J! ?
# openssl genrsa -des3 -out server.3des-key 1024% F( b5 ?$ {4 ^% w
# openssl rsa -in server.3des-key -out server.key9 w; X6 s/ G4 c2 I, h7 m0 g
# openssl req -new -key server.key -x509 -out server.crt -days 365
& t f& x* B* [5 m1 |+ L # chmod 600 server.key
# p+ g! T/ O( Z; T# M0 ]9 V; Q # rm server.3des-key$ N6 B; A5 n) C
# mv server.crt /etc/ssl/ r2 e' ~2 V' V+ n& [9 ]( m
# mv server.key /etc/ssl/private/
1 G4 j/ y' f( I 此刻我们已经生成了证书,需要告诉Apache来使用这些证书。# v# g/ C9 V0 K1 B; F
在Apache设置装备摆设中,需要添加SSLRequireSSL选项,例如:
" m# i- }* y0 ` SSLRequireSSL
! f2 i1 o D% E. e9 c: i Options:ExecCGI
5 M4 {3 n4 l* x6 _$ |; s AllowOverride:None6 X- H) ~# N. C, Y* U
Order allow:deny0 a) ^$ x1 N; ?% L" m# k4 u5 n
Allow from:192.168.4.
% M% Z% x7 G( Q) ^2 M+ e AuthName:"Nagios Access"" U7 a; |8 x# ~- J! g
AuthType:Digest
3 c7 w0 F3 G5 f& [ AuthDigestFile:/usr/local/nagios/etc/htpasswd.users
6 M' C* E+ H5 |2 i% o Require:valid-user
! b+ F3 Z) U& g2 b 请记住年夜头启动Apache:
6 n, n& {! V6 a9 H( z$ ?! t1 z # /etc/init.d/apache2 restart
- U* f" d6 j f6 J2 m 此刻Nagios处事器已经很平安了,下一步就是即使进行平安更新。
$ Z: I$ O' o% L. c! x' e- H 与体味更多Nagios相关资料,可以访谒Nagios Documentation |