日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Nagios是一種監(jiān)控軟件，能夠幫助用戶迅速了解主機和互聯(lián)網(wǎng)上出現(xiàn)的問題，并且可以將其配置為在任何網(wǎng)絡使用。在任何版本的Linux操作系統(tǒng)上安裝Nagios服務器都是非?？焖俚倪^程，不過安全的安裝則要花費一些功夫。本文將重點探討如何提高Nagios的安全性問題，而不會講解如何安裝Nagios的問題，因為已經(jīng)太多類似文章。

創(chuàng)新互聯(lián)建站專注于蓬萊網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供蓬萊營銷型網(wǎng)站建設，蓬萊網(wǎng)站制作、蓬萊網(wǎng)頁設計、蓬萊網(wǎng)站官網(wǎng)定制、小程序開發(fā)服務，打造蓬萊網(wǎng)絡公司原創(chuàng)品牌,更為您提供蓬萊網(wǎng)站排名全網(wǎng)營銷落地服務。

　　你可能會疑惑為什么需要考慮Nagios服務器的安全問題?因為如果Nagios受到攻擊的話，黑客將獲取大量信息。下文的示例都是在Ubuntu環(huán)境進行的，不過這些示例能夠幫助任何環(huán)境下的用戶提高Nagios服務器的安全性，因為基本概念是一致的。

　　Web界面

　　如果你按照互聯(lián)網(wǎng)上提供的快速安裝指南安裝Nagios，很可能只是安裝了web界面，因為Nagios使用Apache顯示出很多其他安全選項。

　　下面是Nagios web界面的apache配置的例子：

    Options：ExecCGI
　　AllowOverride：None
　　Order allow：deny
　　Allow from：all
　　AuthName："Nagios Access"
　　AuthType：Basic
　　AuthUserFile：/usr/local/nagios/etc/htpasswd.users
　　Require：valid-user

“Allow from”選項是用來明確只能向某些IP地址和/或網(wǎng)絡提供訪問權限的，上面例子中允許所有IP地址訪問該web界面。其他安全選項是用于身份驗證的，“AuthType”定義了使用哪種身份驗證類型，只有兩種類型可供選擇Basic或者Digest，基本驗證(Basic)會將用戶密碼和用戶名作為純文本提交，而Digest驗證的密碼則會作為MD5 digest提交，很明顯后者更加安全。

　　為了提高安全性我們需要進行如下修改：

    Options：ExecCGI
　　AllowOverride：None
　　Order allow：deny
　　Allow from：192.168.4.
　　AuthName："Nagios Access"
　　AuthType：Digest
　　AuthDigestFile：/usr/local/nagios/etc/htpasswd.users
　　Require：valid-user

        這個配置中，只有192.168.4.0網(wǎng)絡的電腦可以訪問該web界面，并且我們現(xiàn)在使用Digest驗證取代了不安全的基本驗證方法。

　　現(xiàn)在我們需要添加允許訪問web網(wǎng)絡的用戶以及密碼，使用下列命令來為digest驗證添加新用戶：　

# htdigest -c /usr/local/nagios/etc/htpasswd.users realm username

　　Digest驗證確實比Basic驗證更加安全，不過保護用戶名和密碼安全最好的方法還是使用SSL。

　　進行任何配置更改后都必須重新啟動apache，命令如下：.　

# /etc/init.d/apache2 restart

　　最佳做法

　　本節(jié)將列舉出一些安裝Nagios服務器的最佳安全做法，具體如下：

　　· 不要以root身份運行Nagios。需要有一個名為nagios的普通用戶，如果Nagios作為root運行，那么當Nagios受到攻擊時，攻擊者就能夠對用戶系統(tǒng)為所欲為了。.

　　· 鎖定Check Result Directory。 確保只有nagios用戶擁有對check result directory的讀取/寫入權限，否則攻擊者將可能發(fā)送偽造的主機和服務檢查結果，該目錄通常位于這個位置：/usr/local/nagios /var/spool/checkresults。

　　· 在Command Definitions中使用完整路徑。當定義命令時，請明確完整的路徑，而不是與正在執(zhí)行的任何腳本或者二進制相關的路徑。

　　· 保護遠程代理安全。遠程代理包括NRPE,、NSClient以及SNMP等，下文中我們將介紹保護NRPE遠程代理的步驟。

　　保護遠程代理(remote agent)

　　本節(jié)我們將研究如何保障NRPE安全的問題。該遠程代理用于在遠程主機上執(zhí)行檢查程序(檢查負載或者磁盤使用等)，我們不會希望任何程序或者用戶能夠在遠程機器上執(zhí)行命令，因此保障NRPE的安全性是非常重要的。

　　由于NRPE附帶有對TCP wrappers的支持，我們可以定義哪些主機允許訪問NRPE：

        /etc/hosts.allow
　　nrpe:192.168.1.91
　　以上示例中，只有192.168.1.91可以在該主機上使用這個遠程代理，你可以將你的Nagios客戶端IP地址取代192.168.1.91，請注意應該同時用于你的Nagios服務器和客戶端。

　　NRPE絕不能作為root或者任何其他superuser來運行，它只能作為nagios用戶組中的nagios用戶來運行，可以在/etc/nagios/nrpe.cfg位置查看NRPE是否作為nagios運行：

        part of /etc/nagios/nrpe.cfg
　　nrpe_user=nagios
　　nrpe_group=nagios

　　NRPE的另一部分也可能成為安全漏洞，即允許command arguments。我們當然不希望看到攻擊者通過發(fā)送惡意arguments攻擊我們的系統(tǒng)，確實有時候需要允許Nagios發(fā)送command arguments，但如果大部分時候不需要啟用此功能，那么一定要禁用。

　　禁用此功能需要編輯/etc/nagios/nrpe.cfg 并確保你執(zhí)行下列命令：

      dont_blame_nrpe=0

　　用戶進行任何配置更改后都必須重新啟動nrpe.cfg，想要了解更多關于NRPE安全的信息請閱讀數(shù)據(jù)包源文件中的SECURITY文件。

　　保護通信渠道安全

　　在網(wǎng)絡進行通信時，必然要涉及到通信安全問題，這也正是SSL的用武之地。

　　NRPE可以允許你啟用SSL功能，但是數(shù)據(jù)包必須已經(jīng)配置為–enable-ssl option(啟用SSL選項)，如果NRPE配置為使用SSL功能，請注意客戶端和服務器都必須同時啟用。

　　下一步我們還需要配置SSL以提高其安全性，這樣才不至于發(fā)送簡單的純文本web界面密碼：

        # openssl genrsa -des3 -out server.3des-key 1024
　　# openssl rsa -in server.3des-key -out server.key
　　# openssl req -new -key server.key -x509 -out server.crt -days 365
　　# chmod 600 server.key
　　# rm server.3des-key
　　# mv server.crt /etc/ssl/
　　# mv server.key /etc/ssl/private/

　　現(xiàn)在我們已經(jīng)生成了證書，需要告訴Apache來使用這些證書。

　　在Apache配置中，需要添加SSLRequireSSL選項，例如：

    SSLRequireSSL
　　Options：ExecCGI
　　AllowOverride：None
　　Order allow：deny
　　Allow from：192.168.4.
　　AuthName："Nagios Access"
　　AuthType：Digest
　　AuthDigestFile：/usr/local/nagios/etc/htpasswd.users
　　Require：valid-user

        請記住重新啟動Apache：

     # /etc/init.d/apache2 restart

　　現(xiàn)在Nagios服務器已經(jīng)很安全了，下一步就是即使進行安全更新。

　　與了解更多Nagios相關資料，可以訪問Nagios Documentation