SNMP und MRTG

[thomi]

Gibt es eigentlich einen Grund, warum in der RootForum-FAQ zu MRTG (http://faq.rootforum.de/index.php?sid=2 ... =001&id=10) auch eine weltweit lesbare Community erstellt werden soll? Also das hier:

Code: Select all

com2sec  world    default            public

group ROworld    v1     world 
group ROworld    v2c    world 
group ROworld    usm    world 

view system included  system  fe 

access ROworld    ""       any    noauth  exact  system   none   none

Für MRTG wird das nicht benötigt, im Gegenteil, dadurch können User von Außen aus der system-Gruppe lesen. Ist zwar kein riesiges Sicherheits-Problem, aber auch nicht notwendig.

Im übrigen ist im neuesten Linux-Magazin (09/2002) eine Titel-Strecke zum Thema Netzmanagement/Monitoring zu lesen, unter anderen mit Artikeln zu SNMP und MRTG, letzteren gibts auch online unter http://www.linux-magazin.de/Artikel/aus ... /mrtg.html.

[mark]

Recht hast du...

Ich bin sowieso dazu übergegangen SNMP komplett zu deaktivieren.

Hab mir für alle Dienste (cpu, net, users, mailqueue, ...) Perl/Bash-Scripte geschrieben, die diese Werte liefern und hab diese in MRTG eingetragen.

Mann muss ja nur wissen, welches Format für MRTG wichtig ist:

Code: Select all

wert1
wert2
uptime
hostname

So kann man für alles Graphen erzeugen, z.B.
- CPU Auslastung
- Speicherauslastung RAM / HD
- User Online FTP / Shell
- Mails in der queue
- gesendete / empfangene E-Mails
- Users auf TeamSpeak Server
- ...

OK. Hier ein Beispiel für Net-Traffic:

Code: Select all

#!/usr/bin/perl
#
# net2mrtg.pl
#
#
$host = qx<hostname>;
$device = shift || "eth0";
$net_states = qx<cat /proc/net/dev |grep $device>;

# -----------------

$net_states =~ s/^ +//g;
$net_states =~ s/:/ /;
$net_states =~ s/ +/ /g;

chomp $host;

@stats = split (/ /, $net_states);

$upload = $stats[1];
$download = $stats[9];

# Uptime ermitteln:
open(UPTIMEOUTPUT,"/usr/bin/uptime |");
$_ = <UPTIMEOUTPUT>;
$_ =~ /ups*(.*),s*d*s*user[s]?,s*load average[s]?:s*[0-9.]*,s*([0-9.]*),/;
$uptime = $1;
close(UPTIMEOUTPUT);

print "$uploadn$downloadn$uptimen$hostn";

Gruß
Mark

[dea]

SNMP auf einem rootie halte ich für ein aktives Sicherheitsrisiko, innerhalb eines (passend gesicherten) LANs hingegen für eine ungemein angenehme Sache.

[captaincrunch]

SNMP auf einem rootie halte ich für ein aktives Sicherheitsrisiko

Je nachdem. Wenn du nur per localhost (also explizit 127.0.0.1) und read-only drankommst (wozu auch mehr ?), ist da nichts unsicheres dran ...

[dea]

Mag sein, aber da ich es ja nicht wirklich brauche (mrtg lässt sich ja auchso füttern - s.o.) hab' ich es auch nicht installiert und somit eine potentielle Fehlerquelle weniger. Außerdem ist SNMP per se unsicher und ich (vielleicht *g*) paranoid ;) Du sagst ja selber oft genug "nichts installieren, was nicht wirklich gebraucht wird" :)

[captaincrunch]

Außerdem ist SNMP per se unsicher und ich (vielleicht *g*) paranoid

Na dann mal willkommen im Club der Paranoiker ... Den Satz, das SNMP per se unsicher ist, kann ich aber trotzdem nicht 100%ig unterschreiben. Die "Unsicherheit" von SNMP beruht in den allermeisten Fällen darauf, das sich kaum jemand ernsthaft mit SNMPv3 befasst.

Grundsätzlich stimme ich dir aber natürlich vollkommen zu.

[mark]

Wie wäre es denn mit einer Sammlung von mrtg-"Plugins".

Ich würde die Dinger auch gerne hosten, wenn Interesse besteht.

Eine kleine Sammlung hab ich ja bereits (so ca. 10 stück)

Gruß
Mark