Configurar o serviço snmpd no sistema operacional
23 de maio de 2024
ID 222969
A interação com o KSMG sobre SNMP é obtida usando o serviço 'snmpd' do sistema operacional. O serviço snmpd atua como um agente principal, recebendo e processando solicitações de sistemas de monitoramento e outros consumidores externos através do SNMP. O KSMG conecta-se ao serviço snmpd como um subagente através do protocolo AgentX através de um soquete UNIX.
Criar uma conta de usuário para acessar os dados
Antes de criar a conta, interrompa o serviço snmpd.
Para garantir a segurança do acesso aos dados através de SNMPv3 com autenticação e criptografia, você precisa criar uma conta de usuário no lado do serviço snmpd com as seguintes informações:
- Nome de usuário (diferencia maiúsculas de minúsculas)
- Algoritmo de autenticação (MD5 ou SHA, SHA é recomendado)
- Senha de autenticação
- Algoritmo de criptografia (DES ou AES, AES é recomendado)
Senha de criptografia
Por motivos de segurança, recomendamos usar uma conta de usuário independente em cada node do cluster KSMG.
Para criar uma conta de usuário usando o utilitário net-snmp-create-v3-user:
Para criar uma conta de usuário usando o utilitário net-snmp-create-v3-user:
- Conecte-se ao node do cluster via SSH para obter acesso ao modo Suporte Técnico.
- Execute o seguintes comando:
net-snmp-create-v3-user -ro -a <snmp_auth_algo> -x <snmp_priv_algo> <snmp_username>
As senhas de autenticação e criptografia são solicitadas interativamente.
Exemplo:
|
Criando uma conta de usuário para receber interceptações SNMP
Para receber interceptações SNMP sobre SNMPv3 com autenticação e criptografia, você precisa criar uma conta no lado do sistema de monitoramento no contexto do serviço correspondente (geralmente o serviço snmptrapd).
A conta deve conter as seguintes informações:
- Nome de usuário
- Algoritmo de autenticação
- Senha de autenticação
- Algoritmo de criptografia
- Senha de criptografia
Por motivos de segurança, você deve usar contas de usuário separadas para acessar os dados e receber interceptações SNMP.
Recomendamos criar contas de usuário independentes para receber interceptações SNMP de cada node do cluster KSMG.
Para obter instruções sobre como criar uma conta de usuário para receber interceptações SNMP, consulte a documentação de seu sistema de monitoramento.
Configurando o serviço snmpd
A configuração do serviço snmpd é armazenada no arquivo /etc/snmp/snmpd.conf. Você deve criar um novo arquivo de configuração e adicionar a ele as seguintes linhas na ordem especificada.
Para configurar o serviço snmpd:
- Conecte-se ao node do cluster via SSH para obter acesso ao modo Suporte Técnico.
- Crie um novo arquivo de configuração e defina as permissões de acesso para ele:
mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backuptouch /etc/snmp/snmpd.confchown root:root /etc/snmp/snmpd.confchmod 600 /etc/snmp/snmpd.conf - Especifique o protocolo, o endereço da interface de rede e o número da porta nos quais o serviço snmpd deve escutar as solicitações recebidas.
- Se quiser ouvir solicitações em todas as interfaces de rede, adicione as seguintes linhas ao arquivo de configuração:
# Listen for incoming SNMP requests via UDPagentAddress udp:161 - Se quiser ouvir solicitações somente na interface de rede local, por exemplo, se o sistema de monitoramento estiver instalado na mesma máquina, adicione as seguintes linhas:
# Listen for incoming SNMP requests via UDPagentAddress udp:127.0.0.1:161
- Se quiser ouvir solicitações em todas as interfaces de rede, adicione as seguintes linhas ao arquivo de configuração:
- Especifique o caminho e as permissões para o soquete UNIX no qual o serviço snmpd deve escutar conexões de subagente através do protocolo AgentX. Para isso, adicione as seguintes linhas ao arquivo de configuração:
# Listen for subagent connections via UNIX socketmaster agentxagentXSocket unix:/var/run/agentx-master.socketagentXPerms 770 770 kluser klusers - Se necessário, você pode fornecer uma descrição do sistema, a localização do sistema e o endereço de contato do administrador. Para isso, adicione as seguintes linhas ao arquivo de configuração:
# Basic system informationsysDescr <descrição_do_sistema>sysLocation <local_do_sistema>sysContact <endereço_de_contato>sysServices 72 - Especifique o escopo da árvore OID que você deseja que esteja disponível para seu sistema de monitoramento através do protocolo SNMP. Para ter acesso aos dados do KSMG, adicione as seguintes linhas ao arquivo de configuração:
# Kaspersky Secure Mail Gateway SNMP statisticsview monitoring included .1.3.6.1.4.1.23668.1735 - Você também pode especificar o escopo da árvore OID que contém informações sobre o sistema operacional armazenado pelo serviço snmpd. Este escopo estará disponível para seu sistema de monitoramento.
As informações sobre o sistema operacional incluem, por exemplo, informações sobre o uso da CPU e da RAM, espaço livre nas partições do disco, carga das interfaces de rede; uma lista de softwares instalados; uma lista de conexões de rede abertas; e uma lista de processos em execução. Parte dessas informações pode ser confidencial.
- Se quiser permitir o acesso somente a informações gerais do sistema e informações sobre o uso de RAM, CPU e dispositivos de disco, adicione as seguintes linhas ao arquivo de configuração:
# SNMPv2-MIB - Basic system informationview monitoring included .1.3.6.1.2.1.1# HOST-RESOURCES-MIB - CPU, Memory, Filesystemsview monitoring included .1.3.6.1.2.1.25.1view monitoring included .1.3.6.1.2.1.25.2view monitoring included .1.3.6.1.2.1.25.3view monitoring included .1.3.6.1.2.1.25.5# UCD-SNMP-MIB - Memory and CPU usageview monitoring included .1.3.6.1.4.1.2021.4view monitoring included .1.3.6.1.4.1.2021.10view monitoring included .1.3.6.1.4.1.2021.11# UCD-SNMP-DISKIO-MIB - Block devices I/O statisticsview monitoring included .1.3.6.1.4.1.2021.13# IF-MIB - Network interfaces I/O statisticsview monitoring included .1.3.6.1.2.1.2view monitoring included .1.3.6.1.2.1.31 - Se quiser permitir o acesso a todas as informações do sistema, adicione as seguintes linhas ao arquivo de configuração:
# Allow access to the whole OID treeview monitoring included .1
- Se quiser permitir o acesso somente a informações gerais do sistema e informações sobre o uso de RAM, CPU e dispositivos de disco, adicione as seguintes linhas ao arquivo de configuração:
- Especifique o modo de acesso e o escopo das informações para a conta de usuário criada. Para isso, adicione as seguintes linhas ao arquivo de configuração:
# Access control for SNMPv3 monitoring system userrouser <snmp_username> priv -V monitoring - Para enviar armadilhas SNMP, especifique o endereço IP do sistema de monitoramento e as credenciais do usuário para receber armadilhas. Para isso, adicione as seguintes linhas ao arquivo de configuração:
# Send SNMPv3 traps to the monitoring systemtrapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <trap_username> -a <trap_auth_algo> -A "<trap_auth_pass>" -x <trap_priv_algo> -X "<trap_priv_pass>" udp:<IP_address>:162
O serviço snmpd será configurado.
Para integrar com vários sistemas de monitoramento, crie uma conta de usuário separada para cada sistema, especifique o escopo das informações disponíveis para cada conta de usuário (as diretivas 'view' e 'rouser') e configure o envio de traps SNMP (a diretiva 'trapsess' ).
Exemplo de um arquivo de configuração de serviço snmpd: # Listen for incoming SNMP requests via UDP agentAddress udp:161
# Listen for subagent connections via UNIX socket master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers
# Basic system information sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72
# Kaspersky Secure Mail Gateway SNMP statistics view monitoring included .1.3.6.1.4.1.23668.1735
# SNMPv2-MIB - Basic system information view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB - CPU, Memory, Filesystems view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB - Memory and CPU usage view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB - Network interfaces I/O statistics view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31
# Access control for SNMPv3 monitoring system user rouser MonitoringUser priv -V monitoring
# Send SNMPv3 traps to the monitoring system trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162 |
Iniciando o serviço snmpd com a nova configuração
Para aplicar a nova configuração:
- Reinicie o serviço snmpd:
systemctl restart snmpd - Verifique o status do serviço snmpd:
systemctl status snmpdO status deve ser
em execução. - Permitir que o serviço seja iniciado automaticamente na inicialização do sistema operacional:
systemctl enable snmpd - Se estiver usando um firewall em seu sistema operacional ou equipamento de rede, adicione regras para permitir a passagem de pacotes SNMP.
O serviço snmpd está configurado.
Verificando a integridade do serviço snmpd
Para testar o serviço snmpd, configure o uso do SNMP na interface da Web do KSMG e solicite dados SNMP usando o utilitário 'snmpwalk'.
Para obter os escopos dos dados SNMP fornecidos pelo KSMG:
snmpwalk -v3 -l authPriv -u <snmp_username> -a <snmp_auth_algo> -A "<snmp_auth_pass>" -x <snmp_priv_algo> -X "<snmp_priv_pass>" <endereço IP> .1.3.6.1.4.1.23668.1735
Exemplo: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735 |