Установка Nagios и проблемы безопасности

Известные дыры в безопасности обычно не являются проблемой, потому что они закрываются. Проблема в том, о чем вы не знаете. Но тогда спрашивать, есть ли какие-нибудь неизвестные дыры, не имеет смысла, не так ли?

Кстати, вам не обязательно открывать вашу установку nagios для публики. Держите административные службы на другом сервере с другим IP, и вы будете немного безопаснее (ботнеты, как правило, сосредоточены на общедоступных сайтах).

В зависимости от того, что вы хотите отслеживать, Nagios может быть или не подходить инструмент для работы. И есть также другие компании, которым вы можете заплатить за мониторинг. Тогда вам не придется беспокоиться о мониторинге самой системы мониторинга. Ребята из monitis даже предлагают мониторинг MySQL .

Веб-интерфейс, который вы можете защитить с помощью дополнительной аутентификации на уровне веб-сервера (с административным, непубличным приложением вряд ли есть основания полагаться только на встроенную аутентификацию, то же самое с phpmyadmin).

То, что вам нужно настроить гораздо более тщательно, - это уровень удаленного плагина (nrpe, ssh, клиентский nsca ...), поскольку здесь задействованы неинтерактивные доверительные отношения, а некоторые настройки выполняются прямо через открытый Интернет.

Нет никаких известных средств защиты дыры в нагиосе. Если есть неизвестные дыры в безопасности, вы ничего не сможете с этим поделать.

Есть некоторые меры безопасности, которые вы можете предпринять:

• прежде всего определите на вашем NRPE, какой IP-адрес работает на вашем хосте. Это можно сделать в /etc/nrpe.cfg найдите allowed_hosts = . Это ограничит круг лиц, которые действительно могут спросить NRPE о том, что происходит. (или выполнить удаленные команды)
• Убедитесь, что тайм-аут для ваших команд является разумным (значения по умолчанию допустимы)
• Чтобы укрепить ваш хост, я бы запретил любому хосту получить к нему доступ. Итак, что вы можете сделать, это привязать его к 127.0.0.1. Если вы хотите получить к нему доступ, вам нужно сначала туннелировать к вашему хосту. Если вы используете VPN, вы можете назначить адрес в VPN своему хосту и разрешить всей VPN доступ к нему. (чтобы кто-то на vpn мог к нему переходить)

Я предполагаю, что вы используете apache2, поэтому для этого посмотрите файл /etc/apache2/nagios.conf (или ваш эквивалентный файл конфигурации apache2, если у вас есть скомпилированная версия). В блоке сопоставления каталога есть что-то вроде следующего:

Allow from all

Вы можете изменить это на:

Allow from IP/subnetmask

или

Разрешить с IP

ИМХО, ни один из инструментов администрирования www, таких как phpmyadmin и nagios, не должен быть доступен из Интернета, если компания не запрашивает это явно.

Но если вы должны это сделать, защитите такие приложения дополнительными паролями с помощью .htaccess.

Если вам нужно предоставить phpmyadmin для большого количества пользователей, то защита его с помощью .htaccess - не такая уж хорошая идея (громоздко сгенерировать пароль для всех пользователей (клиентов), а пользователям не нравится двойная аутентификация).

] Вы всегда можете поделиться им по уникальному URL-адресу, а не https: // yoursite / phpmyadmin , все, что вам нужно сделать, это изменить псевдоним в файле visrtualhost phpmyadmin.

Вы всегда должны делиться этими приложениями через https!

Nagios предназначен только для администратора, вы можете ограничить доступ к нему только для IP-адресов, которые должны иметь доступ к .htaccess. Если вы не используете ни один стандартный порт (кроме 80 и 443), вы можете ограничить доступ к нему с помощью iptables.

Хорошая идея - защитить эти приложения от грубой силы с помощью fail2ban.

Идеально защищенных систем не существует. Риск есть всегда, но нужно делать все, чтобы его минимизировать.