Bir hizmetin KULLANILMADIĞINI kontrol etmek için Nagios'u kullanmak makul müdür?

9

Özel arabirime ve genel arabirime sahip bir sunucum olduğunu varsayalım. Herkese açık HTTP (S) sunucuları, özel MySQL ve SSH olabilir.

Açıkçası Nagios, hizmetlerin kendi arayüzlerinde çalışıp çalışmadığını kontrol etmek için yararlıdır. Ancak, MySQL ve SSH bağlantı noktalarının genel arabirimde açık olmadığını açıkça test eden kontroller oluşturmak iyi bir fikir mi? Fikir, özel olması ve uygun şekilde uyarılması gereken hizmetleri açmış olan yanlışlıkla yapılan yanlış yapılandırmaları yakalamaktır.

Bir parçamın bunun çok iyi ölçeklenmeyeceği fikri var - örneğin bir iptables DROP kuralı olduğunu düşünün, örneğin, kontrolün tamamlanıp devam etmeden önce kontrol zaman aşımının aşılmasını beklemek zorunda kalacaksınız. Ancak bu zaman aşımı, engellenen bir hizmeti gerçekten çökmüş olan açık bir hizmetten ayırt edebilmek için yeterince yüksek olmalıdır.

Bu pratik bir fikir mi? Nagios doğru araç mu? TCP kontrol eklentilerinden sonucu reddetmenin fizibilitesine bile bakmadım, ancak eminim yapılabilir ...

firewall  monitoring  nagios  service  private-ip 
smitelli
kaynak
2
Uzun zamandır DROPböyle bir amaç için uygun bir hedef olmadığına ikna oldum , kullanmak -j REJECT --reject-with tcp-resetbu sorunu çözecektir. Bana göre sorunuz, kullanmak REJECTyerine başka bir neden gibi geliyor DROP.
kasperd
4
check_nmap FTW.
dmourati

Yanıtlar:

11

Evet tabi ki. Bir izleme sisteminin işi, bu gereksinimler ne olursa olsun, iş gereksinimlerinin şu anda BT altyapısı tarafından karşılandığından emin olmaktır.

Bağırsak hissim, aniden açık olmadıklarından emin olmak için izlediğiniz port sayısı için kolay bir sınırın (iyi, 65535) olmaması ve bu kontrolü elde etmenin en iyi yolunun sıkı kaynak kontrolü artı güçlü olması, sunucuda agresif dosya sistemi izleme (örn. tripwire).

Ancak, kesinlikle iş açısından kritik olduğu belirli portlar varsa , asla maruz kalmaz, o zaman evet, elbette bunun için belirli bir kontrol yapın. negateEn büyük dağıtımlarla birlikte gelen ve tam olarak önerilerinizi yapmak için kullanılan NAGIOS eklentisine bakmak isteyebilirsiniz .

Çılgın Şapkacı
kaynak
3

negateKontrol mantığını tersine çevirmek için herhangi bir kontrolü eklenti ile birleştirebilirsiniz . Örneğin CRIT, WARN, UNKNOWN ve OK gibi diğer durumlara yeniden tanımlayabilirsiniz. Daha fazla bilgi için --help çıktısına bakın .

DROP politikalarının kontrol süresini artırmasından endişe ediyorsanız, zaman aşımını kısaltabilirsiniz. Böyle bir çek için, muhtemelen her 5 dakikada bir kontrol etmeniz gerekmez. Saatlik çalışan benzer kontrollerimiz var.

Keith
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.