В этом руководстве рассказывается, как настроить SNMP версии 3 в Debian 9.
На данный момент разработано три основных версии SNMP; версии SNMPv1, SNMPv2c и SNMPv3.
Обе версии 2c и 3 имеют улучшенную производительность с точки зрения производительности, гибкости и безопасности.
В нашем предыдущем руководстве рассказывается, как настроить SNMP версии 2c в Debian 9.
? Как настроить версию 2c SNMP в Debian 9
Как настроить SNMP версии 3 в Debian 9
Предполагая, что у вас уже установлены необходимые пакеты SNMP, перейдите к настройке версии 3 SNMP в Debian 9.
Однако, если вы не установили пакеты SNMP и необходимые библиотеки, выполните команду ниже;
apt update apt install snmpd snmp libsnmp-dev
Версия 3 SNMP фокусируется в основном на трех основных аспектах безопасности связи между объектами SNMP.
Он обеспечивает строгую аутентификацию, шифрование пакетов данных, что повышает конфиденциальность.
Настройrка SNMP 3 в Debian 9
Файл конфигурации демона SNMP по умолчанию – /etc/snmp/snmpd.conf.
Я бы порекомендовал вам сделать резервную копию этого файла конфигурации, прежде чем вы сможете приступить к его настройке.
cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.original
Определите IP-адрес интерфейса, с которого сервер может быть подключен удаленно.
Помните, что по умолчанию демон SNMP слушает в интерфейсе loopback.
vim /etc/snmp/snmpd.conf
... # AGENT BEHAVIOUR # # Listen for connections from the local system only agentAddress udp:127.0.0.1:161,udp:192.168.43.188:161 ...
Для настройки SNMP версии 3 в Debian 9 вам необходимо:
- Создать имя пользователя для аутентификации
- Установить пароль аутентификации
- Установить пароль шифрования
- Определить права доступа
- Определить алгоритм шифрования
Требования могут быть выполнены с помощью инструмента командной строки net-snmp-create-v3-user. Синтаксис этой команды:
net-snmp-create-v3-user [-ro] [-A authpass] [-a MD5|SHA] [-X privpass][-x DES|AES] [username]
systemctl stop snmpd
Далее создайте имя пользователя с вышеуказанными требованиями.
Обратите внимание, что для повышения безопасности убедитесь, что вы используете разные пароли для аутентификации и шифрования.
Используемый по умолчанию метод аутентификации – MD5.
net-snmp-create-v3-user -ro -A SecUREDpass -a SHA -X StRongPASS -x AES snmpreadonly
adding the following line to /var/lib/snmp/snmpd.conf: createUser snmpreadonly SHA "SecUREDpass" AES StRongPASS adding the following line to /usr/share/snmp/snmpd.conf: rouser snmpreadonly
Для интерактивного запуска net-snmp-create-v3-user вы просто должны запустить его как;
net-snmp-create-v3-user -x AES -a SHA
Запустите демон SNMP и включите его при перезагрузке системы.
systemctl start snmpd systemctl enable snmpd
Настройте брандмауэр соответствующим образом, чтобы обеспечить соединение с портом UDP на сервере с хоста мониторинга.
Теперь вы можете проверить, все ли хорошо.
Чтобы выполнить локальную проверку, выполните команду ниже;
snmpwalk -v3 -a SHA -A SecUREDpass -x AES -X StRongPASS -l authPriv -u snmpreadonly localhost | head -10
iso.3.6.1.2.1.1.1.0 = STRING: "Linux debian 4.9.0-8-amd64 #1 SMP Debian 4.9.144-3.1 (2019-02-19) x86_64"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.8072.3.2.10
iso.3.6.1.2.1.1.3.0 = Timeticks: (6984) 0:01:09.84
iso.3.6.1.2.1.1.4.0 = STRING: "Me <me@example.org>"
iso.3.6.1.2.1.1.5.0 = STRING: "debian"
iso.3.6.1.2.1.1.6.0 = STRING: "Sitting on the Dock of the Bay"
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.8.0 = Timeticks: (0) 0:00:00.00
iso.3.6.1.2.1.1.9.1.2.1 = OID: iso.3.6.1.6.3.11.3.1.1
iso.3.6.1.2.1.1.9.1.2.2 = OID: iso.3.6.1.6.3.15.2.1.1
Чтобы выполнить проверку того же самого с удаленного хоста мониторинга, выполните команду ниже;
snmpwalk -v3 -a SHA -A hacker100 -x AES -X hacker101 -l authPriv -u snmpreadonly 192.168.43.188 | head -10
iso.3.6.1.2.1.1.1.0 = STRING: "Linux debian 4.9.0-8-amd64 #1 SMP Debian 4.9.144-3.1 (2019-02-19) x86_64" iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.8072.3.2.10 iso.3.6.1.2.1.1.3.0 = Timeticks: (1436) 0:00:14.36 iso.3.6.1.2.1.1.4.0 = STRING: "Me <me@example.org>" iso.3.6.1.2.1.1.5.0 = STRING: "debian" iso.3.6.1.2.1.1.6.0 = STRING: "Sitting on the Dock of the Bay" iso.3.6.1.2.1.1.7.0 = INTEGER: 72 iso.3.6.1.2.1.1.8.0 = Timeticks: (1) 0:00:00.01 iso.3.6.1.2.1.1.9.1.2.1 = OID: iso.3.6.1.6.3.11.3.1.1 iso.3.6.1.2.1.1.9.1.2.2 = OID: iso.3.6.1.6.3.15.2.1.1
Это все о том, как сконфигурировать SNMP версии 3 в Debian 9.