Installation SNMPd

Aus Qloc Wiki
Wechseln zu: Navigation, Suche

Was ist SNMPd?

SNMP steht für Simple Network Management Protocol und dient zur Verwaltung und Steuerung von Netzwerken. Es wird dafür verwendet, Status-/Statistikdaten sowie Management-Informationen zwischen Netzwerkstationen und einem Management-System zu übertragen.

SNMP wird verwendet um ein (oder mehrere) Linux Systeme zu überwachen. Es können z.B. CPU-Auslastung, RAM-Auslastung, Laufwerksspeicherkapazität, I/O-Zugriffe und der Netzwerktraffic überwacht werden. SNMPd ist der dafür verwendete Daemon, welcher sich auf einem zu überwachenden System befindet. Ein SNMP Client ist in der Lage diese Informationen abzufragen, welche ein Monitoring Dienst wie z.B. Paessler PRTG Netwerk Monitor weiterverarbeiten kann.

In der folgenden Anleitung erklären wir die Installation von SNMPv3 (mit Verschlüsselung und Readonly Rechten), Ideal für das Monitoring mit Paessler PRTG Netwerk Monitor.

Installation von SNMPd unter Debian/Ubuntu

Vorbereitung

Nur unter Debian:

  • Stellen Sie sicher, dass die Paketverwaltung die Sektion "non-free" beeinhaltet. In der Datei "/etc/apt/sources.list" erkennen Sie dies daran, dass die "main" Paketquelle die Sektion "non-free" aufweist:
deb http://ftp.de.debian.org/debian/ jessie main non-free
deb-src http://ftp.de.debian.org/debian/ jessie main non-free

Unter Debian und Ubuntu:

  • Aktualisieren Sie im Anschluss die Paketlisten und die Pakete:
apt-get update && apt-get upgrade -y

Installation

  • Installation Sie die notwendigen Pakete:
apt-get install snmp snmpd libsnmp-dev snmp-mibs-downloader -y
  • Stoppen Sie den SNMPd Daemon:
service snmpd stop
  • Öffnen Sie die Datei "/etc/default/snmpd" mit einem beliebigen Editor:
nano /etc/default/snmpd

und editieren Sie folgende Zeilen:

#export MIBS=
MIBDIRS=+/usr/share/mibs/
SNMPDOPTS='-LSwd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid'

Konfiguration

  • Öffnen Sie die Datei "/etc/snmp/snmpd.conf" mit einem beliebigen Editor:
nano /etc/snmp/snmpd.conf
  • Erstellen Sie einen SNMPv3 Benutzer, indem Sie die folgenden Zeilen hinzufügen. <BENUTZERNAME> steht für den Benutzernamen und <PASSWORT> für das dazugehörige Passwort.
 createUser <BENUTZERNAME> MD5 <PASSWORT> AES
 rouser <BENUTZERNAME>
  • Damit der SNMPd Daemon auch auf allen IP Adressen lauscht und von außen erreichbar ist, bearbeiten Sie folgende Zeile:
agentAddress  udp:0.0.0.0:161
  • Starten Sie den SNMPd Daemon:
service snmpd start
  • Testen Sie SNMPd, indem Sie den folgenden Befehl ausführen:
 snmpwalk -v3 -l authPriv -u <BENUTZERNAME> -a MD5 -A <PASSWORT> -l authNoPriv 127.0.0.1:161 1.3.6.1.2.1.1.3.0

Als Ausgabe sollten Sie die Uptime des SNMPd Daemons erhalten.

Firewall

Da SNMP-Anfragen zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden, wird dringend empfohlen, die Verbindung via iptables soweit einzuschränken, dass ausschließlich das Monitoring-System mit dem SNMP Dienst verbinden darf:

 iptables -A INPUT -p udp -s <IP Adresse des Monitoring Systems> --dport 161 -j ACCEPT
 iptables -A INPUT -p udp -m udp --dport 161 -j DROP

Installation von SNMPd unter CentOS

Vorbereitung

  • Aktualisieren Sie die Paketlisten und die Pakete:
yum update

Installation

  • Installation Sie die notwendigen Pakete:
yum -y install net-snmp net-snmp-utils
  • Stoppen Sie den SNMPd Daemon:
service snmpd stop
  • Öffnen Sie die Datei "/etc/default/snmpd" mit einem beliebigen Editor:
nano /etc/sysconfig/snmpd

und editieren Sie folgende Zeile:

OPTIONS="-LSwD-6d -Lf /dev/null -p /var/run/snmpd.pid -x 0.0.0.0"

Konfiguration

  • Öffnen Sie die Datei "/etc/snmp/snmpd.conf" mit einem beliebigen Editor:
nano /etc/snmp/snmpd.conf
  • Erstellen Sie einen SNMPv3 Benutzer, indem Sie die folgenden Zeilen hinzufügen. <BENUTZERNAME> steht für den Benutzernamen und <PASSWORT> für das dazugehörige Passwort.
 createUser <BENUTZERNAME> MD5 <PASSWORT> AES
 rouser <BENUTZERNAME>
  • Damit der SNMPd Daemon auch beim nächsten Systemstart automatisch startet, führen Sie folgenden Befehl aus:
chkconfig snmpd on
  • Starten Sie den SNMPd Daemon:
service snmpd start
  • Testen Sie SNMPd, indem Sie den folgenden Befehl ausführen:
 snmpwalk -v3 -l authPriv -u <BENUTZERNAME> -a MD5 -A <PASSWORT> -l authNoPriv 127.0.0.1:161 1.3.6.1.2.1.1.3.0

Als Ausgabe sollten Sie die Uptime des SNMPd Daemons erhalten.

Firewall

Da SNMP-Anfragen zunehmend zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden, wird dringend empfohlen, die Verbindungen via iptables soweit einzuschränken, dass ausschließlich das Monitoring-System mit dem SNMP Dienst verbinden darf:

 iptables -A INPUT -p udp -s <IP Adresse des Monitoring Systems> --dport 161 -j ACCEPT
 iptables -A INPUT -p udp -m udp --dport 161 -j DROP