Net-SNMP FAQ (Перевод)   |   Net-SNMP README (Перевод)

Перевод документации на Net-SNMP :: Net-SNMP FAQ




www.net-snmp.ru /  Net-SNMP FAQ / AGENT. Как мне остановить доступ других людей к моему агенту?



AGENT. Как мне остановить доступ других людей к моему агенту?

Для начала, вы говорите про доступ на чтение или запись?

Если речь идет об изменении чего-либо на агентах, то на самом деле относительно мало вещей, которые на самом деле можно изменить (см. вопрос "Я не могу установить любые переменные в MIB" выше).

Если вы используете пример config файла, то он настроен на доступ на чтение из локальной сети, и доступ на запись только с вашей системы (доступной как 'localhost'),оба используют указанное имя community. Вам понадобится установить подходящие значения и для NETWORK и для COMMUNITY в этом файле перед его использованием.

Этот механизм также может быть гораздо более строго использован для контроля доступа. (см. несколько следующих записей для получения деталей).

Другие опции включают:

  • Блокирование доступа на 161 порт снаружи вашей организации (используя фильтры на сетевых маршрутизаторах).
  • Использование встроенной в ядро системы сетевой фильтрации (например IPTables).
  • Конфигурирование поддержки TCP wrapper ("--with-libwrap"). Используется библиотека TCP 'libwrap' (доступная отдельно) для позволения/запрета доступа через /etc/hosts.{allow,deny}.

Для прямого контроля безопасности вам следует использовать только SNMPv3, который является безопасной формой протокола. Тем не менее, обратите внимание, что механизм контроля доступа агента не ограничивает SNMPv3 трафик по адресации - SNMPv3 запрос будет принят или отклонен в процессе аутентификации, вне зависимости от места отправки. Основанные на коде ограничения запросов SNMPv3 требуют использовать один из "внешних" механизмов, перечисленных выше.



<<<  AGENT. Через некоторое время агент перестает отвечать, и начинает кушать CPU. Почему? 
AGENT. Как мне прослушивать только один отдельный интерфейс?  >>>
При копировании размещение гиперссылки на оригинал обязательно!
© MIB Search 2006-2009