Привет, я новичок в check_mk и вообще не очень хорош в конфигурации сервера Linux, поэтому спасибо за ваше терпение .
Я установил check_mk под debian через gdebi (systemd, а не xinetd - и пока использовал конфигурацию по умолчанию), а также уже развернул несколько агентов. Это хорошо работало на большинстве машин. но на машинах, где ipv6 отключен по соображениям безопасности, он не работает. ( https://security.stackexchange.com/questions/181949/how-would-dispting-ipv6-make-a-server-any-more-secure кажется не худшей идеей)
проверка netstat -npa | grep 6556
показал мне его прослушивание tcp6
.
tcp6 0 0 :::6556 :::* LISTEN 1/init
Когда я проверяю telnet localhost 6556
, я получаю выходные данные агента (такие же, когда я запускаю check_mk_agent
).
И панель управления check_mk сообщает мне, что может пинговать этот сервер. Так оно и есть.
Каковы мои шансы решить эту проблему без активации ipv6?
Спасибо :)
Теперь я смог переключиться на ipv4.
Я следовал инструкциям в ручной установке здесь:
https://docs.checkmk.com/latest/de/agent_linux.html (2.5) – что было неочевидно у меня так как установка gdebi
работала без ошибок.
Затем я настроил xinetd
, чтобы изменить сокет ceckmk для прослушивания ipv4 в файле конфигурации /etc/xinetd.d/check-mk-agent
.
В Linux сокеты v6 по умолчанию имеют двойной стек, но это зависит от конкретной платформы. Конечно, приложения по-прежнему могут использовать сокеты AF_INET
и должны были бы это делать, если v6 не находится в ядре. Осторожно, без v6 некоторые приложения могут больше не работать в своих конфигурациях по умолчанию.
но на машинах, где ipv6 деактивирован из соображений безопасности, не работает.
Не отключайте IPv6 полностью на хосте. Вы уже сломали вещь, и притворяться, что ее не существует, небезопасно. Избегайте увеличения технического долга.
Вместо этого оставьте IPv6 включенным на хостах и управляйте своей сетью. Просто назовем некоторые основы, защита RA и другие средства безопасности первого перехода, правила брандмауэра и управление записями A или AAAA в DNS. Реализация IPv6 не требуется, но на самом деле защита сети требует знания обоих.