Centos
Nagios 強化
我一直在努力研究強化 Nagios(如果有這樣的事情……),但還沒有找到任何關於該做什麼或看什麼的指導的太明確的東西。
在我了解更多關於它的潛在安全漏洞以及如何最好地消除這些漏洞,或者至少加強它以減少潛在問題之前,我對保持 Nagios 執行持謹慎態度。
據我所知,我目前禁用了 Nagios,直到我能找到一些方法來加強它。沒有 Nagios 程序正在執行,我已經執行了
chkconfig nagios off
.我的配置如下:
- CentOS 6.3 x64
- Nagios 核心 3.4.1
以下是我的問題:
- 還有什麼我需要檢查以確保 Nagios 被禁用嗎?
- 在預設配置下執行 Nagios 可能存在哪些安全漏洞?
- 我可以採取哪些步驟來強化 Nagios?
我在Nagios 文件中找到了一些專門處理安全性的提示:
- 使用專用監控箱。
- 不要以根使用者身份執行 Nagios。
- 鎖定檢查結果目錄。
- 鎖定外部命令文件。
- 要求在 CGI 中進行身份驗證。
- 實施增強的 CGI 安全措施。
- 在命令定義中使用完整路徑。
- 隱藏敏感資訊 $ USERn $ 宏。
- 從宏中去除危險字元。
- 安全訪問遠端代理。
- 安全的通信渠道。
我知道這是一個較舊的執行緒,但是除了其他人發布的內容之外,我在 Nagios 安裝上所做的一件事是在每個目標主機上實施 IPtables 規則,以僅允許來自實際的 Nagios/NRPE 流量(埠 5666) Nagios 伺服器。nrpe.conf 中有一個指令允許您指定可以連接到目標主機的“allowed_hosts”。即使這樣,我仍然喜歡在 IPtables 中添加一個鏈,只允許來自實際 Nagios 伺服器的 Nagios/NRPE 流量。
除此之外,其他人發布的內容將真正強化您的 Nagios 伺服器。