Configurazione del demone snmpd su CentOS 6

Utilizzare il protocollo SNMP per il monitoraggio dei dispositivi di rete è sempre una buona scelta, tenendo bene a mente, però, che le versioni 1 e 2 non prevedono cifratura della community string e quindi sono vulnerabili ad eventiali attacchi MITM.
Inoltre, in determinate circostanze, tale protocollo può essere impiegato anche per il monitoraggio delle macchine *nix, soprattutto per ciò che concerne lo stato delle interfacce di rete ed il loro throughput.
Installazione e configurazione di snmpd Vediamo adesso come configurare il demone snmpd su una macchina CentOS 6.
Per prima cosa occorre installare i seguenti pacchetti tramite yum: # yum install net-snmp net-snmp-utils A questo punto passiamo alla configurazione del demone vera e propria, editando il file /etc/snmp/snmp.conf.  Definiamo, dapprima, le utenze ed i gruppi, mediante le seguenti direttive: com2sec local      localhost        secret com2sec mynetwork  192.168.1.0/24 secret group local      v2c        local group mynetwork  v2c        mynetwork In particolare, mediante la keyword com2sec stiamo definendo l'utente local, il cui IP/hostname sorgente dovrà essere localhost e la cui community string dovrà essere secret.
Discorso analogo vale per l'utente mynetwork.
Invece, per ciò che concerne la definizione dei gruppi, la keyword da utilizzare è group, seguita dal nome del gruppo, dalla versione del protocollo SNMP (v2c) e dal nome degli utenti che ne fanno parte (local nel primo caso e mynetwork nel secondo).
Successivamente è necessario abilitare l'intera alberatura degli OID, mediante la seguente direttiva: view all    included  .1                               80 Infine, passiamo alla definizione delle ACL per i gruppi appena creati: # context sec.model sec.level prefix read  write notif access  local     ""      any       noauth   exact  all   none none access  mynetwork ""      any       noauth   exact  all   none none dove la prima riga indica il significato di ciascun campo utilizzato dopo la keyword access ed il gruppo a cui l'ACL si riferisce.
Dalla suddetta configurazione è facile notare come entrambi i gruppi (local e mynetwork) abbiano solo la possibilità di effettuare GET SNMP (read) ma non SET (write).
Per completezza, è possibile editare dei campi facoltativi quali syslocation e syscontact: syslocation Italy server.vostrodominio.com syscontact Nome Cognome Riavviamo snmpd per rendere effettive le suddette modifiche: # service [...]

Leggi tutto l'articolo