Nagios硬化

Nagiosは部分的に実装されています。それらを個別に見てみましょう。

Nagiosスケジューラーとプラグインの実装があります。これは、さまざまなホスト/サービスの状態を決定するNagiosの実際の作業を行います。これは、さまざまな方法で実行できます。特に調査したいのはSSHです。 NagiosはリモートホストにSSHで接続して、たとえばディスク使用率を確認できます。このSSHアカウントは通常、Nagiosホストの秘密鍵と、監視するすべてのターゲットLinuxマシンの公開鍵を使用して設定されます。

プラグインに応じて、Nagiosが使用できるメカニズムは他にもあります。 SNMP、直接接続、NRPE（Nagios Remote Plugin Executor）などの方法。これはプラグインの紹介であり、Nagiosのセキュリティに関する調査の1つの領域です。

次に考慮すべき領域はUI自体です。デフォルトのUIは、コンパイルCCGIスクリプトで構築されます。デフォルトのCGIの上に設定するいくつかの認証/承認手順があります。 CGIセキュリティの詳細については、Nagiosconfigディレクトリの下のcgi.cfg（通常は/etc/nagios）を確認するか、 CGI Authentication のNagiosドキュメントを読んでください。

特定の質問に答えるには：

1. ps -aux | grep -v grep | grep nagios

2. プラグイン/ウェブUIに関する一般的なセキュリティの懸念については、上記を参照してください Nagiosセキュリティドキュメント 。

3. 上記を確認し、ネットワークがどのようにレイアウトされているか、さまざまなNagiosプラグインに対して開く必要のあるポート/プロトコルを検討してください。 UIにアクセスするには、iptablesまたはその他の制限でUIを保護することを検討してください。

私はこれが古いスレッドであることを知っていますが、他の人が投稿したものに加えて、私のNagiosインストールで行ったことの1つは、実際からのNagios/NRPEトラフィック（ポート5666）のみを許可するように各ターゲットホストにIPtablesルールを実装することですNagiosサーバー。 nrpe.confには、ターゲットホストに接続できる「allowed_hosts」を指定できるディレクティブがあります。それでも、IPtablesにチェーンを追加して、実際のNagiosサーバーからのNagios/NRPEトラフィックのみを許可するのが好きです。

それ以外に、他の人が投稿したものはあなたのNagiosサーバーを本当に強化します。

公式のNagios推奨事項 とは別に、常に最新バージョンのNagiosCoreに更新する必要があります。 Nagiosは最近多くのセキュリティ修正を行いました。詳細については、 Nagios Core 4変更ログ を確認してください。 Nagiosとは別に、エージェント（nrpe-agentまたはNSClient ++）などの依存コンポーネントやNSCAやNRPEなどの使用済みプロトコルもアップグレードする必要があります。特にNRPEは最近メジャーアップデートを行いました。変更ログを確認してください ここ 。