Я пытался изучить укрепление Nagios (если есть такая вещь ...), но не нашел ничего слишком определенного в том, что делать, или рекомендаций о том, на что даже смотреть.
Я опасаюсь продолжать работу Nagios до тех пор, пока не узнаю больше о его потенциальных уязвимостях безопасности и о том, как лучше всего удалить эти уязвимости или, по крайней мере, укрепить его, чтобы это не представляло собой потенциальной проблемы.
Насколько я могу судить, в настоящее время у меня отключен Nagios, пока я не найду способы немного его укрепить. Никакие процессы Nagios не запущены, и я запустил chkconfig nagios off.
Моя конфигурация выглядит следующим образом:
Вот вопросы, которые у меня есть:
Что еще мне нужно проверить, чтобы убедиться, что Nagios отключен?
Каковы возможные уязвимости системы безопасности при запуске Nagios в конфигурации по умолчанию?
Какие шаги я могу предпринять, чтобы укрепить Nagios?
Я нашел несколько советов в Документация Nagios которые касаются конкретно безопасности:
Nagios реализован по частям; давайте посмотрим на них по отдельности.
Есть планировщик Nagios и реализация плагина. Это фактически выполняет работу по определению состояния Nagios для различных хостов / служб. Это можно сделать разными способами. В частности, вы можете захотеть изучить SSH. Nagios может подключаться к удаленным хостам по SSH, например, для проверки использования диска. Эта учетная запись SSH обычно настраивается с закрытым ключом на хосте Nagios и открытым ключом на всех целевых машинах Linux для мониторинга.
Есть и другие механизмы, которые Nagios может использовать в зависимости от плагина. Такие методы, как SNMP, прямое соединение и NRPE (Nagios Remote Plugin Executor). Это всего лишь введение в плагины, одна из областей исследования безопасности Nagios.
Следующее, что нужно учитывать, - это сам пользовательский интерфейс. Пользовательский интерфейс по умолчанию создается с помощью скомпилированных сценариев C CGI. У вас есть несколько шагов аутентификации / авторизации, которые нужно настроить поверх стандартных CGI. Чтобы узнать больше о безопасности CGI, просмотрите cgi.cfg в каталоге конфигурации Nagios, обычно /etc/nagiosи / или прочитайте документацию Nagios на CGI аутентификация.
Чтобы ответить на ваши конкретные вопросы:
ps -aux | grep -v grep | grep nagios
См. Выше общие проблемы безопасности с плагинами / веб-интерфейсом и обзор. Документация по безопасности Nagios.
Просмотрите приведенное выше, подумайте, как устроена ваша сеть и какие порты / протоколы вам нужно открыть для различных плагинов Nagios. Рассмотрите возможность защиты пользовательского интерфейса с помощью iptables или других ограничений для доступа к пользовательскому интерфейсу.
Отдельно от официальные рекомендации Nagios, вам также следует всегда обновляться до последней версии Nagios Core. В последнее время Nagios внес много исправлений в систему безопасности, пожалуйста, проверьте Протокол изменений Nagios Core 4 для получения дополнительной информации. Помимо Nagios, вам также следует обновить зависимые компоненты, такие как ваши агенты (nrpe-agent или NSClient ++) и используемые протоколы, такие как NSCA и NRPE. NRPE, в частности, получил крупное обновление в последнее время. Проверьте журнал изменений Вот.
Я знаю, что это более старый поток, но я сделал одну вещь в своей установке Nagios в дополнение к тому, что опубликовали другие, - это реализовать правила IPtables на каждом целевом хосте, чтобы разрешить трафик Nagios / NRPE (порт 5666) только с фактического Сервер Nagios. В nrpe.conf есть директива, которая позволяет вам указать «allowed_hosts», которые могут подключаться к целевому хосту. Даже при этом мне все еще нравится добавлять цепочку в IPtables, чтобы разрешать трафик Nagios / NRPE только с реального сервера Nagios.
Помимо этого, то, что опубликовали другие, действительно укрепит ваш сервер Nagios.