snmp konfigurieren, um remote mit mrtg Daten zu sammeln

[sstadtl]

Hallo Alle

Um MRTG zu nutzen habe ich mir mal folgende Zeilen für die /etc/snmp/snmpd.conf ergoogelt :

Code: Select all

com2sec paranoid 127.0.0.1 public
group MyROSystem v1 paranoid
group MyROSystem v2c paranoid
group MyROSystem usm paranoid
view all included .1 80
access MyROSystem "" any noauth exact all none none

das klappt wohl nur von localhost. Wie muss ich es umstellen, damit ich auch von einem anderen Server die Daten einsammeln darf?

Wie sieht eine mrtg.conf aus, die von remote liest?
Wie sieht eine snmp.conf aus, die das erlaubt?

Vielen Danke im voraus :-)

Sebastian

p.s.: System ist übrigens Debain Woody(auf beiden Servern)

[captaincrunch]

http://www.net-snmp.org/man/snmp_config.html und http://www.net-snmp.org/man/snmpd.conf.html

Ich würde dir aber ganz stark davon abraten, da SNMP (bis einschl. v2) nicht gerade das sicherste Protokoll ist, und besser nur im lokalen Netz eingesetzt werden sollte.

[sstadtl]

Die Sicherheit von snmp ist bei mir nicht SO wichtig, den ich setze eine Firewall ein,
bei der ich explizit den zweiten Server für snmp(port:161?) freischalte.
Naja die manpage kenne ich natürlich, aber so ganz sicher bin ich mir nicht, ob
ich damit ne passende Konfiguration zusammenstöpseln kann.
Mal sehen...

Grüße
Sebastian

[captaincrunch]

Du weißt aber schon dass du dafür Port 161 UDP freischalten musst ? Genau das ist es auch, was auch dein "Firewallkonzept" etwas verwässern wird, da UDP verbidnungslos ist, und erheblich leichter gespooft werden kann.

[sstadtl]

na gut : das mit dem spoofing wegen UDP ist schon ein Punkt für dich, aber

welches Risiko gehe ich ein wenn ich readonly freischalte?
ich kenne snmp nicht genug um einzuschätzen was ich damit jemandem erlaube,
wenn er nur lesend darauf zugreifen darf....
Ich bin aber eh in Sicherheit, denn ich bin zu doof für die Konfiguration und mache
jetzt alles wieder rückgängig :oops:

Grüße
Sebastian

[captaincrunch]

Nicht, dass wir uns falsch verstehen : ich wollte dir nur klarmachen, dass SNMP, das "frei" im Internet rumschwirrt ein dickes Problem sein kann, um dich nicht einfach so ins offene Messer laufen zu lassen.

Was den readonly-Zugriff anbelangt, ist es natürlich nicht "schlimm", dass sich jemand deine Informationen anschauen könnte. u.U. gibst du demjenigen damit aber Informationen, die es ihm erleichtern, sich weiteren Zugriff auf den Rechner zu verschaffen.
Desweiteren : sofern derjenige schon einmal Zugriff hat (wenn auch nur readonly), ist es umso einfacher, Lücken auszunutzen, von denen du im schlimmsten Fall noch nicht einmal gehört hast, da bereits vor dem nötigen Patch Exploits kursieren.

Um dir jetzt aber wenigstens etwas zu helfen : ;)
Schau dir am besten mal SNMP v3 an. Ist zwar nicht unerheblich mehr Aufwand und Hintergrundwissen, für deine Belange aber wahrscheinlich "sicher" genug. Informationen dazu gibt's (z.B.) hier http://www.net-snmp.org/FAQ.html#What_a ... _s_anyway_ , in den zuständigen RFC's (im Link stehen die Nummern), und per Google.
Sofern du das intus hast, kannst du eigentlich beruhigt drangehen, und dein SNMP-System aufbauen, das sollte dann auch nur noch ein Klacks sein ... ;)