Агенты SNMP
Категория: Управление сетями | Автор: admin | 5-06-2010, 19:29 | Просмотров: 5656

Многие производители операционных систем и сетевого оборудования поставляют свою продукцию с готовыми к использованию SNMP-агентами. Пароль доступа только для чтения чаше всего равен "public", а пароль доступа для записи иногда задается как "private" или "secret". Мы сталкивались со многими производителями, использующими такое решение. Это удобно для системных администраторов, но также удобно и для хакеров. Тем, кто планирует использовать SNMP, советуем сконфигурировать агентов так, чтобы пароли и для чтения, и для записи было трудно угадать.

Операционные системы Solaris и HP-UX поставляются с неплохими SNMP-агентами. UCD-агент системы FreeBSD находится в каталоге /usr/ports/net/ucd-snmp. В стандартном дистрибутиве Red Hat поддержка протокола SNMP отсутствует.

Ниже мы рассмотрим агентов систем Solaris и HP-UX, а затем — пакет UCD, который рекомендуем использовать в системах, не имеющих собственных агентов.

 

SNMP-агент в Solaris

 

Solaris располагает солидными средствами управления сетями. В дополнение к довольно мощному SNMP-агенту система также обеспечивает поддержку интерфейса DMI.

Главным SNMP-агентом является демон /usr/lib/snmp/snmpdx, конфигурация которого хранится в файле /etc/snmp/conf/snmpd.conf. В этот файл можно записывать значения многих переменных MIB, а также основные параметры конфигурации агента. Например, можно задать строку описания системы (sysdescr), узлы, которым требуется посылать уведомляющие сообщения (параметр trap), и пароли для чтения и записи (read-community, write-community). После изменения содержимого конфигурационного файла уничтожьте и запустите заново демон snmpdx, чтобы внесенные изменения вступили в силу.

Демон snmpdx извлекает информацию о безопасности из файла /etc/snmp/conf/snmpdx.acl. В этом файле перечислены IP-адреса компьютеров, которым разрешен доступ к локальному SNMP-агенту. Каждый набор компьютеров может иметь собственный пароль ("имя сообщества") для чтения и записи данных. Такие возможности существенно повышают безопасность протокола SNMP. К сожалению, по умолчанию все ограничения отключены.

В своем дистрибутивном варианте система Solaris на этапе начальной загрузки запускает два процесса, связанных с интерфейсом DMI. Первый — это демон /usr/lib/dmi/dmispd, который непосредственно отвечает на DMI-запросы. Второй демон — /usr/lib/dmi/snmpXdmid — преобразует SNMP-запросы в формат DMI и передает их демону dmispd Ответ последнего преобразуется демоном snmpXdmid и возвращается обратно SNMP-серверу snmpdx. Параметры преобразования SNMP/DMI определяются содержимым файлов, находящихся в каталоге /var/dmi/map. По умолчанию заданы два вида преобразования. Если дополнительные преобразования не планируются, то нет смысла запускать демон snmpXdmid.

Если в системе отсутствуют средства DMI-управления или их использование не планируется, следует запретить запуск всех DMI-процессов при начальной загрузке системы. Для этого необходимо переименовать файл /etc/rc3.d, S77dmi в /etc/rc3.d/s77dmi. Если требуется отключить демон snmpXdmid, переименуйте его конфигурационный файл snmpXdmid.conf в snmpXdmid.conf.orig.

 

SNMP-агент в HP-UX

 

Одним из самых удачных программных средств, разработанных компанией Hewlett-Packard для управления сетями масштаба предприятия, считается пакет HP OpenView. Так как эта компания — признанный лидер в разработке средств управления сетями, то факт включения SNMP-агента в дистрибутив HP-UX не стал большой неожиданностью. Вот только вместо единого агента в HP-UX используется набор специализированных "субагентов". Такая схема позволяет разработчикам добавлять необходимые субагенты для новых аппаратных или программных компонентов без изменения всей системы.

Главным агентом является демон /usr/sbin/snmpdm, но он никогда не запускается непосредственно. Этой цели служит сценарий /usr/sbin/snmpd, который кроме агента snmpdm запускает нужные субагенты для сбора данных.

Агент читает свои установки из файла /etc/SnmpAgent.d/snmpd.conf. Кроме того, конфигурационные параметры могут быть заданы в строке запуска сценария snmpd.

В файле snmpd.conf можно использовать только пять ключевых слов. Рассмотрим пример:

 

# Конфигурация SNMP-агента для узла disaster.xor.com

get-community-name: ro-community

set-community-name: D8j4kL.2nG

trap-dest:  jaguar.xor.com

trap-dest: ov.xor.com

location: First floor lab machine room

contact: root@disaster.xor.com

 

 

Ключевые слова get-community-name и set-community-name задают пароли для чтения и записи данных. Выражений, определяющих пароли, может быть несколько, однако управление доступом не должно различаться для разных групп компьютеров. Любой пароль, указанный в любой инструкции set-community-name, действителен для любой поддерживаемой операции чтения или записи.

Ключевым словом trap-dest задается имя или IP-адрес SNMP-клиента, который будет принимать уведомления о прерываниях. Клиентов может быть несколько, и уведомления посылаются во все пункты назначения.

Ключевые слова location и contact задают значения объектов sysLocation и sysContact базы MIB-II.

С помощью флага -m можно контролировать объем журнальной информации, выдаваемой сценарием snmpd:

snmpd -m маска

 

Аргумент маска должен представлять собой побитовое объединение флагов, выбираемых из табл. 20.2.

Таблица 20.2. Флаги для сценария snmpd в HP-UX

Флаг

Функция

0

Отключить журнальную регистрацию

1

Регистрировать отказы в аутентификации

2

Регистрировать ошибки

4

Регистрировать запросы на конфигурирование

8

Регистрировать SNMP-транзакции

16

Регистрировать добавляемые объекты

32

Распечатывать все пакеты в шестнадцатеричном виде

64

Регистрировать сообщения о трассировке

 

К сожалению, в HP-UX SNMP-агент не использует систему Syslog. Стандартный файл регистрации — /var/adm/snmpd.log; другой файл можно задать с помощью опции -l.

 

SNMP-агент UCD

 

После выхода первого стандарта SNMP в университете Карнеги-Меллона и Массачусетсом технологическом институте были разработаны реализации протокола. Университетская реализация получилась более полной и быстродействующей, поэтому она стала стандартом де-факто для UNIX-систем. После прекращения разработки SNMP-продуктов в университете Карнеги-Меллона работы продолжили специалисты Калифорнийского университета в Дэвисе (University of California at Davis, UCD).

В настоящее время дистрибутив UCD широко распространен в качестве бесплатной реализации протокола SNMP для UNIX. Мы настоятельно рекомендуем использовать этот пакет в тех системах, которые не имеют собственных SNMP-агентов. В состав пакета входит SNMP-агент, несколько утилит командной строки и даже библиотека для разработки SNMP-приложений. Ниже мы рассмотрим работу самого агента, а об утилитах поговорим чуть позже. Последнюю версию пакета можно получить на Web-узле ucd-snmp.ucdavis.edu.

Как и в других реализациях SNMP, UCD-агент собирает данные о локальном компьютере и предоставляет их SNMP-менеджерам по сети. По умолчанию инсталлируются базы MIB, содержащие статистические данные об использовании сетевого интерфейса, памяти, дисков, процессов и центрального процессора. Возможности агента достаточно велики, так как он может запустить любую UNIX-команду и представить ее выходные данные в качестве SNMP-ответа. Это позволяет посредством протокола SNMP осуществлять мониторинг практически любых событий, происходящих в системе.

По умолчанию агент инсталлируется под именем /usr/sbin/snmpd. Обычно он запускается на этапе начальной загрузки системы и считывает параметры своей конфигурации из файлов, находящихся в каталоге /etc/smnp. Наиболее важный из этих файлов — snmpd.conf; он содержит большинство конфигурационных параметров и описание множества доступных методов сбора данных. При разработке пакета его авторы полагали, что пользователи должны редактировать только файл snmpd.local.conf. Но на практике приходится хотя бы один раз изменять и файл snmpd.conf, чтобы отключить те методы сбора данных, использование которых не планируется.

Сценарий configure пакета UCD позволяет задать используемый по умолчанию журнальный файл и ряд других локальных параметров. С помощью опции -l, указываемой при вызове демона snmpd, можно выбрать другой журнальный файл, а посредством опции -s организуется направление журнальных сообщений в систему Syslog. Перечень наиболее важных опций демона snmpd приведен в табл. 20.3. Мы рекомендуем всегда задавать опцию . При поиске неисправностей удобно применять опции -V, -d и -D, которые позволяют получать более подробную информацию о происходящих в системе событиях.

Следует заметить, что существует большое количество полезных модулей Perl для SNMP. Тем, кто собирается писать собственные сценарии управления сетью, рекомендуем обратиться в архив CPAN за примерами.

Таблица 20.3. Опции демона snmpd пакета UCD

Опция

Функция

-1 файл 

Направлять журнальную информацию в файл

-a

Регистрировать адреса всех SNMP-соединений

-d

Регистрировать содержимое каждого SNMP-пакета

-V

Включить режим подробного описания событий

-D

Регистрировать отладочную информацию

-h

Отображать все аргументы демона snmpd

Отображать все директивы конфигурационного файла

Добавлять данные в журнальный файл, а не перезаписывать его

-S

Направлять регистрационные сообщения в систему Syslog



 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page