Firewall

使用 Nagios 檢查服務不可用是否合理?

  • August 4, 2014

假設我有一個帶有私有介面和公共介面的伺服器。公共可能有 HTTP(S) 伺服器,私有可能有 MySQL 和 SSH。

顯然,Nagios 有助於檢查服務是否在各自的介面上執行。但是,建構明確測試 MySQL 和 SSH 埠在公共介面上打開的檢查是否是個好主意?這個想法是為了捕捉無意中的錯誤配置,這些錯誤配置打開了應該是私有的服務,並適當地發出警報。

我的一部分認為這不會很好地擴展 - 想像有一個 iptables DROP 規則,例如,檢查必須等到超過檢查超時才能完成並繼續。但是這個超時時間必須足夠高,以便能夠區分一個被阻塞的服務和一個真正陷入困境的開放服務。

這是一個實用的想法嗎?Nagios 是正確的工具嗎?我什至沒有研究否定 TCP 檢查外掛結果的可行性,但我確信它是可行的……

是的當然。監控系統的工作是確保 IT 基礎架構目前滿足業務需求,無論這些需求是什麼。

我的直覺是,你監控的埠數量沒有簡單的限制(嗯,65535),以確保它們不會突然打開,實現這種控制的最好方法是嚴格的原始碼控制加上強大的,伺服器上的主動文件系統監控(例如tripwire)。

但是,如果某些埠絕對對業務至關重要,那麼絕對不會暴露,那麼是的,無論如何都要對此進行特定檢查。您可能想查看 NAGIOSnegate外掛,該外掛隨大多數主要發行版一起提供,用於完全按照您的建議進行操作。

引用自:https://serverfault.com/questions/616443