学习啦 > 学习电脑 > 网络知识 > 网络基础知识 > 如何提升nagios服务器安全

如何提升nagios服务器安全

时间: 权威724 分享

如何提升nagios服务器安全

  Nagios是一种监控软件,能够帮助用户迅速了解主机和互联网上出现的问题,并且可以将其配置为在任何网络使用,那么你知道如何提升nagios服务器安全吗?下面是学习啦小编整理的一些关于如何提升nagios服务器安全的相关资料,供你参考。

  提升nagios服务器安全的方法:

  Web界面

  如果你按照互联网上提供的快速安装指南安装Nagios,很可能只是安装了web界面,因为Nagios使用Apache显示出很多其他安全选项。

  下面是Nagios web界面的apache配置的例子:

 Options:ExecCGI AllowOverride:None Order allow:deny Allow from:all AuthName:"Nagios Access" AuthType:Basic AuthUserFile:/usr/local/nagios/etc/htpasswd.users Require:valid-user 

学习啦在线学习网   “Allow from”选项是用来明确只能向某些IP地址和/或网络提供访问权限的,上面例子中允许所有IP地址访问该web界面。其他安全选项是用于身份验证的,“AuthType”定义了使用哪种身份验证类型,只有两种类型可供选择Basic或者Digest,基本验证(Basic)会将用户密码和用户名作为纯文本提交,而Digest验证的密码则会作为MD5 digest提交,很明显后者更加安全。

学习啦在线学习网   为了提高安全性我们需要进行如下修改:

 Options:ExecCGI AllowOverride:None Order allow:deny Allow from:192.168.4. AuthName:"Nagios Access" AuthType:Digest AuthDigestFile:/usr/local/nagios/etc/htpasswd.users Require:valid-user 

  这个配置中,只有192.168.4.0网络的电脑可以访问该web界面,并且我们现在使用Digest验证取代了不安全的基本验证方法。

  现在我们需要添加允许访问web网络的用户以及密码,使用下列命令来为digest验证添加新用户:

  # htdigest -c /usr/local/nagios/etc/htpasswd.users realm username

  Digest验证确实比Basic验证更加安全,不过保护用户名和密码安全最好的方法还是使用SSL。

  进行任何配置更改后都必须重新启动apache,命令如下:.

  # /etc/init.d/apache2 restart

  最佳做法

  本节将列举出一些安装Nagios服务器的最佳安全做法,具体如下:

学习啦在线学习网   · 不要以root身份运行Nagios。需要有一个名为nagios的普通用户,如果Nagios作为root运行,那么当Nagios受到攻击时,攻击者就能够对用户系统为所欲为了。.

学习啦在线学习网   · 锁定Check Result Directory。 确保只有nagios用户拥有对check result directory的读取/写入权限,否则攻击者将可能发送伪造的主机和服务检查结果,该目录通常位于这个位置:/usr/local/nagios /var/spool/checkresults。

  · 在Command Definitions中使用完整路径。当定义命令时,请明确完整的路径,而不是与正在执行的任何脚本或者二进制相关的路径。

  · 保护远程代理安全。远程代理包括NRPE,、NSClient以及SNMP等,下文中我们将介绍保护NRPE远程代理的步骤。

  保护远程代理(remote agent)

  本节我们将研究如何保障NRPE安全的问题。该远程代理用于在远程主机上执行检查程序(检查负载或者磁盘使用等),我们不会希望任何程序或者用户能够在远程机器上执行命令,因此保障NRPE的安全性是非常重要的。

学习啦在线学习网   由于NRPE附带有对TCP wrappers的支持,我们可以定义哪些主机允许访问NRPE:

学习啦在线学习网   /etc/hosts.allow

学习啦在线学习网   nrpe:192.168.1.91

  以上示例中,只有192.168.1.91可以在该主机上使用这个远程代理,你可以将你的Nagios客户端IP地址取代192.168.1.91,请注意应该同时用于你的Nagios服务器和客户端。

  NRPE绝不能作为root或者任何其他superuser来运行,它只能作为nagios用户组中的nagios用户来运行,可以在/etc/nagios/nrpe.cfg位置查看NRPE是否作为nagios运行:

  part of /etc/nagios/nrpe.cfg

学习啦在线学习网   nrpe_user=nagios

  nrpe_group=nagios

  NRPE的另一部分也可能成为安全漏洞,即允许command arguments。我们当然不希望看到攻击者通过发送恶意arguments攻击我们的系统,确实有时候需要允许Nagios发送command arguments,但如果大部分时候不需要启用此功能,那么一定要禁用。

  禁用此功能需要编辑/etc/nagios/nrpe.cfg 并确保你执行下列命令:

  dont_blame_nrpe=0

学习啦在线学习网   用户进行任何配置更改后都必须重新启动nrpe.cfg,想要了解更多关于NRPE安全的信息请阅读数据包源文件中的SECURITY文件。

学习啦在线学习网   保护通信渠道安全

学习啦在线学习网   在网络进行通信时,必然要涉及到通信安全问题,这也正是SSL的用武之地。

  NRPE可以允许你启用SSL功能,但是数据包必须已经配置为–enable-ssl option(启用SSL选项),如果NRPE配置为使用SSL功能,请注意客户端和服务器都必须同时启用。

  下一步我们还需要配置SSL以提高其安全性,这样才不至于发送简单的纯文本web界面密码:

  # openssl genrsa -des3 -out server.3des-key 1024

学习啦在线学习网   # openssl rsa -in server.3des-key -out server.key

  # openssl req -new -key server.key -x509 -out server.crt -days 365

  # chmod 600 server.key

  # rm server.3des-key

学习啦在线学习网   # mv server.crt /etc/ssl/

  # mv server.key /etc/ssl/private/

  现在我们已经生成了证书,需要告诉Apache来使用这些证书。

  在Apache配置中,需要添加SSLRequireSSL选项,例如:

 SSLRequireSSL Options:ExecCGI AllowOverride:None Order allow:deny Allow from:192.168.4. AuthName:"Nagios Access" AuthType:Digest AuthDigestFile:/usr/local/nagios/etc/htpasswd.users Require:valid-user 

  请记住重新启动Apache:

学习啦在线学习网   # /etc/init.d/apache2 restart

  现在Nagios服务器已经很安全了,下一步就是即使进行安全更新。

  看过文章“如何提升nagios服务器安全”的人还看了:

  1.如何提升服务器安全等级

  2.如何防护网络服务器安全

  3.如何维护网络服务器安全

  4.服务器如何防攻击

  5.Windows服务器的基础安全加固方法

  6.入侵服务器的基础知识

  7.服务器怎么防攻击

  8.怎么利用服务器的DHCP维护局域网安全

  9.怎么设置网件PR2000为公共热点安全模式

  10.服务器物理安全

603967