设为首页收藏本站
开启辅助访问 切换到窄版

a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

我考网»我考网社区 计算机考试 Linux认证 红旗认证辅导:如何提升Nagios服务器安全
返回列表 发新帖
查看: 153|回复: 1

[红旗认证] 红旗认证辅导:如何提升Nagios服务器安全

[复制链接]
会计考友
发表于 2012-8-4 12:16:06 | 显示全部楼层 |阅读模式
Nagios是一种监控软件,能够辅佐用户迅速体味主机和互联网上呈现的问题,而且可以将其设置装备摆设为在任何收集使用。在任何版本的Linux操作系统上安装Nagios处事器都长短常快速的过程,不外平安的安装则要破耗一些功夫。本文将重点切磋若何提高Nagios的平安性问题,而不会讲解若何安装Nagios的问题,因为已经太多近似文章。
- L6 B5 ~- @9 c3 o$ R  你可能会迷惑为什么需要考虑Nagios处事器的平安问题?因为如不美观Nagios受到抨击袭击的话,黑客将获取年夜量信息。下文的示例都是在Ubuntu情形进行的,不外这些示例能够辅佐任何情形下的用户提高Nagios处事器的平安性,因为根基概念是一致的。- G5 P0 z: y3 q' ]
  Web界面; j" H1 h! M: V
  如不美观你按照互联网上供给的快速安装指南安装Nagios,很可能只是安装了web界面,因为Nagios使用Apache显示出良多其他平安选项。$ K3 F- H! h$ l- k6 t+ H5 {3 B2 T
  下面是Nagios web界面的apache设置装备摆设的例子:
+ i8 v5 ~0 T" x+ P, q8 N2 v  Options:ExecCGI: e1 x) I  H0 S3 ?8 |
  AllowOverride:None
2 U& u! X0 V+ [6 v7 K6 y  Order allow:deny
0 t# e- m- z5 K% n1 `: y  Allow from:all
. \; e# ]+ C0 D$ ?+ x8 G) Q* E  AuthName:"Nagios Access"
1 `4 v; y1 d. {. G8 N5 e- R* N3 s  AuthType:Basic
! G: V4 \% e- O$ `& P9 i  AuthUserFile:/usr/local/nagios/etc/htpasswd.users
+ @. x! D4 x2 ]: `& ^  m1 v  Require:valid-user& l/ k9 Z/ B, u. N% v" P  l0 L4 c
  “Allow from”选项是用来明晰只能向某些IP地址和/或收集供给访谒权限的,膳缦沔例子中许可所有IP地址访谒该web界面。其他平安选项是用于身份验证的,“AuthType”界说了使用哪种身份验证类型,只有两种类型可供选择Basic或者Digest,根基验证(Basic)会将用户密码和用户名作为纯文本提交,而Digest验证的密码则会作为MD5 digest提交,很较着后者加倍平安。
1 @* r1 C" E: n. e2 S. X& M( u  为了提高平安性我们需要进行如下改削:. x! w  z) _9 o) X$ z2 s4 v5 I" b
  Options:ExecCGI
- Q+ P: p% f9 u* K1 |. q' ?, z  AllowOverride:None' `5 x0 Z# s. B9 v
  Order allow:deny1 r$ Y! I- y5 P! K- `/ N+ A
  Allow from:192.168.4.  i& v8 z7 c( E! X/ J9 \# Y
  AuthName:"Nagios Access"* ?! R$ z7 c3 U$ l, t8 q: @
  AuthType:Digest! e2 D5 U$ ~* E; \/ ]. j2 ^; ?9 _
  AuthDigestFile:/usr/local/nagios/etc/htpasswd.users
. D. |9 |* j- i! G  Require:valid-user- y' Z. l5 I9 g1 w6 k8 z2 h
  这个设置装备摆设中,只有192.168.4.0收集的电脑可以访谒该web界面,而且我们此刻使用Digest验证庖代了不平安的根基验证体例。* g9 f" O' C+ q( _" L
  此刻我们需要添加许可访谒web收集的用户以及密码,使用下列呼吁来为digest验证添加新用户:
0 Z. g+ z$ Z) Z) H7 ]$ B9 r8 S  # htdigest -c /usr/local/nagios/etc/htpasswd.users realm username
% U" O5 V. f( w. F  c( Q  Digest验证确实比Basic验证加倍平安,不外呵护用户名和密码平安最好的体例仍是使用SSL。" z% N+ J# g+ q* H
  进行任何设置装备摆设更改后都必需年夜头启动apache,呼吁如下:. 1 L1 I: Q! o0 R' G& F2 Y
  # /etc/init.d/apache2 restart. W$ l" N/ w( e/ @- ~
   最佳做法  h0 ]6 z  H  n* D; w+ E" \% H
  本节将列举出一些安装Nagios处事器的最佳平安做法,具体如下:6 v3 O! y8 C* b) m
  · 不要以root身份运行Nagios。需要有一个名为nagios的通俗用户,如不美观Nagios作为root运行,那么当Nagios受到抨击袭击时,抨击袭击者就能够对用户系统随心所欲了。.
3 X3 h" I4 v9 `  · 锁定Check Result Directory。 确保只有nagios用户拥有对check result directory的篡夺/写入权限,否则抨击袭击者将可能发送伪造的主机和处事搜检结不美观,该目录凡是位于这个位置:/usr/local/nagios/var/spool/checkresults。
回复

使用道具 举报

会计考友
 楼主| 发表于 2012-8-4 12:16:07 | 显示全部楼层

红旗认证辅导:如何提升Nagios服务器安全

  · 在Command Definitions中使用完整路径。当界说呼吁时,请明晰完整的路径,而不是与正在执行的任何剧本或者二进制相关的路径。7 r6 h3 k6 \6 q/ x( s
  · 呵护远程代办代庖平安。远程代办代庖搜罗NRPE,、NSClient以及SNMP等,下文中我们将介绍呵护NRPE远程代办代庖的轨范。
+ R% X5 D' y0 o: _3 [7 ?  呵护远程代办代庖(remote agent)) U- Q/ S1 W5 h8 v/ f+ |5 P3 f- |
  本节我们将研究若何保障NRPE平安的问题。该远程代办代乱用于在远程主机上执行搜检轨范(搜检负载或者磁盘使用等),我们不会但愿任何轨范或者用户能够在远程机械上执行呼吁,是以保障NRPE的平安性长短常主要的。
0 k8 W5 O$ d; i( [8 c1 C& k  因为NRPE附带有对TCP wrappers的撑持,我们可以界说哪些主机许可访谒NRPE:* I  L+ C* G8 d
  /etc/hosts.allow
9 \& n$ |- F6 c' r2 J  nrpe:192.168.1.91# N" v) b# \0 i8 q3 S
  以上示例中,只有192.168.1.91可以在该主机上使用这个远程代办代庖,你可以将你的Nagios客户端IP地址庖代192.168.1.91,请注重应该同时用于你的Nagios处事器和客户端。
) i3 _: `8 H9 q) }  NRPE毫不能作为root或者任何其他superuser来运行,它只能作为nagios用户组中的nagios用户来运行,可以在/etc/nagios/nrpe.cfg位置查看NRPE是否作为nagios运行:
6 B  v# T, t% n* `( D. f1 D" e- `% o  part of /etc/nagios/nrpe.cfg
. }# d: p5 X' s6 p) y  nrpe_user=nagios$ O$ G; E# L  Y6 K, r
  nrpe_group=nagios
8 C  A! Y" a" R/ w) s  NRPE的另一部门也可能成为平安裂痕,即许可command arguments。我们当然不但愿看到抨击袭击者经由过程发送恶意arguments抨击袭击我们的系统,确实有时辰需要许可Nagios发送command arguments,但如不美观年夜部门时辰不需要启用此功能,那么必然要禁用。# ?( M$ \$ Z/ G( E8 Z! Y
  禁用此功能需要编纂/etc/nagios/nrpe.cfg 并确保你执行下列呼吁:
% k- a# t- H; U' V6 D+ C% P  dont_blame_nrpe=0
; j( F! D$ L9 X; p0 @& O  用户进行任何设置装备摆设更改后都必需年夜头启动nrpe.cfg,想要体味更多关于NRPE平安的信息请阅读数据包源文件中的SECURITY文件。( i+ l% J) J! }1 r
  呵护通信渠道平安: ]' l& h, d0 o. h. V1 t
  在收集进行通信时,必然要涉及到通信平安问题,这也恰是SSL的用武之地。
7 u$ g- |% O3 v, {, K: S5 e; h  NRPE可以许可你启用SSL功能,可是数据包必需已经设置装备摆设为–enable-ssl option(启用SSL选项),如不美观NRPE设置装备摆设为使用SSL功能,请注重客户端和处事器都必需同时启用。.7 H! d0 L2 x! b3 }5 Z8 W, U
  下一步我们还需要设置装备摆设SSL以提高其平安性,这样才不至于发似撇的纯文本web界面密码:1 [1 r6 @" l* C& J! ?
  # openssl genrsa -des3 -out server.3des-key 1024% F( b5 ?$ {4 ^% w
  # openssl rsa -in server.3des-key -out server.key9 w; X6 s/ G4 c2 I, h7 m0 g
  # openssl req -new -key server.key -x509 -out server.crt -days 365
& t  f& x* B* [5 m1 |+ L  # chmod 600 server.key
# p+ g! T/ O( Z; T# M0 ]9 V; Q  # rm server.3des-key$ N6 B; A5 n) C
  # mv server.crt /etc/ssl/  r2 e' ~2 V' V+ n& [9 ]( m
  # mv server.key /etc/ssl/private/
1 G4 j/ y' f( I  此刻我们已经生成了证书,需要告诉Apache来使用这些证书。# v# g/ C9 V0 K1 B; F
  在Apache设置装备摆设中,需要添加SSLRequireSSL选项,例如:
" m# i- }* y0 `  SSLRequireSSL
! f2 i1 o  D% E. e9 c: i  Options:ExecCGI
5 M4 {3 n4 l* x6 _$ |; s  AllowOverride:None6 X- H) ~# N. C, Y* U
  Order allow:deny0 a) ^$ x1 N; ?% L" m# k4 u5 n
  Allow from:192.168.4.
% M% Z% x7 G( Q) ^2 M+ e  AuthName:"Nagios Access"" U7 a; |8 x# ~- J! g
  AuthType:Digest
3 c7 w0 F3 G5 f& [  AuthDigestFile:/usr/local/nagios/etc/htpasswd.users
6 M' C* E+ H5 |2 i% o  Require:valid-user
! b+ F3 Z) U& g2 b  请记住年夜头启动Apache:
6 n, n& {! V6 a9 H( z$ ?! t1 z  # /etc/init.d/apache2 restart
- U* f" d6 j  f6 J2 m  此刻Nagios处事器已经很平安了,下一步就是即使进行平安更新。
$ Z: I$ O' o% L. c! x' e- H  与体味更多Nagios相关资料,可以访谒Nagios Documentation
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-5-6 12:46 , Processed in 0.176863 second(s), 23 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表