Я установил SNMP на свой сервер. Я просто следовал онлайн-руководству по этому поводу. Я понятия не имел, что это такое. Несколько дней назад с того места, где мы купили наш сервер, они отправили электронное письмо как
Сообщение о нарушении [AbuseID: 2B760B: 25]: AbuseBSI: [CERT-Bund # 2015020428001579] Offene SNMP-Dienste в AS24940 - 17 сентября 2016 г.
Shadowserver предоставляет CERT-Bund результаты тестирования IP-адресов, размещенных в Германии, для уведомления владельцев затронутых систем. Дополнительная информация о тестах, запускаемых Shadowserver, доступна в [2].
Ниже приведен список уязвимых систем, размещенных в вашей сети. Отметка времени (часовой пояс UTC) указывает, когда система была протестирована и ответила на запросы SNMP из Интернета.
Мы хотели бы попросить вас проверить эту проблему и предпринять соответствующие шаги для защиты служб SNMP в затронутых системах или соответствующим образом уведомить ваших клиентов.
У меня вопрос: каковы эти шаги для защиты SNMP? В блоге был человек, который сослался на изменение строки сообщества по умолчанию. Итак, я погуглил об этом и отредактировал этот файл nano /etc/snmp/snmpd.conf и добавил строку сообщества как public hostIP(on which snmp installed).
Но я не уверен, что делал до сих пор. Если у кого-то есть такой же опыт, пожалуйста, помогите мне с этим. Любая помощь будет оценена по достоинству.
Это неожиданное предупреждение может показаться нежелательным электронным письмом, но оно законное и исходит из Германии. "Bundesamt für Sicherheit in der Informationstechnik", Федеральное управление информационной безопасности CERT-Bund.
Группа реагирования на компьютерные чрезвычайные ситуации для федеральных агентств имеет программу активного оповещения немецких организаций и предприятий о потенциальных онлайн-угрозах. Если ваши системы размещены у немецкого провайдера (например, Hetzner), вы тоже можете получить такие предупреждения.
В этом случае сканирование портов обнаружило, что служба SNMP была активна в одной из ваших систем. Как и в случае с рядом протоколов, можно легко использовать SNMP для отражения и усиления атак типа «отказ в обслуживании». Это также протокол / сервис, который вам не нужно предоставлять в Интернете в целом.
У вас есть несколько вариантов:
На самом деле вы не используете SNMP и можете просто отключить службу (systemctl stop snmpd & systemctl diasable snmpd) или удалите его.
Вы используете snmp для мониторинга, но служба мониторинга работает на том же хосте? редактировать /etc/snmp/snmpd.conf и настройте snmpd так, чтобы он принимал только запросы, отправленные на локальный интерфейс обратной петли, а не на ваш общедоступный IP-адрес, установив agentAddress udp:127.0.0.1:161
Вы используете snmp для мониторинга, но служба мониторинга работает на другом хосте? Настройте брандмауэр, который позволяет этому конкретному хосту подключаться к порту UDP 161 и запрещать все остальные.