[Debian] MRTG security, source localhost voldoende? - Linux en overige clients

woensdag 12 mei 2004 00:06

Acties:

Topicstarter

Ik heb mrtg en snmpd geinstalleerd en na wat geprust werkt het, maar ik vroeg me af, is mijn config nu veilig of niet?

Op dit forum zag ik een paar keer dat je de andere regel moet activeren, maar dan staat de daemon open voor de buitenwereld. Nu heb ik default in localhost veranderd, maar is dat genoeg?

code:

1
2
3

#com2sec paranoid  default         public
com2sec  readonly  localhost       public  
#com2sec readwrite default         private

woensdag 12 mei 2004 09:43

Acties:

Paul

Met paranoid mag je bijna niets, readonly en readwrite spreken voor zich neem ik aan

Veilig... Je snmpd is niet van buitenaf bereikbaar als ik die localhost goed interpreteer. Wel gebruik je als community-string public. Eventuele kwaadwillende proggies op je eigen pc kunnen dus ook deze community uitlezen en zo gegevens achterhalen, maar die proggies draaien al op je eigen pc, dus je hebt dan een groter probleem dan een public readonly community

Draait mrtg op een andere pc dan kun je die public nog veranderen in g3h3iM of zo

Dit moet je dan ook aan mrtg vertellen, maar dat kun je dan als 'wachtwoord' beschouwen. (ik denk ook dat je dan localhost in default meot veranderen, maar dat is niet gebaseerd op enige kennis van snmpd.conf, meer een beredeneerde gok

).
Je zou dan ook nog alleen de mrtg-pc toegang kunnen geven tot die poort dmv je firewall.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 12 mei 2004 09:51

Acties:

pierre-oord

ah leuk, hier ben ik ook mee bezig, waarschijnlijk ga ik mrtg op een andere pc draaien, dus is het wel makkelijk om dat te beveiligen. Ook ik wil niet dat heel de wereld mijn statistieken op kan vragen.
Ik ken deze config niet, ergens heb ik het idee dat dit niet van snmpd is maar het zal wel. Ik wil misschien via een apart netwerk alles uitlezen.

Maare, snmp werkt toch ook via een port nummer gewoon? Kun je dan niet gewoon met hulp van iptables maar een adres toegang geven tot snmp?

edit:
Ik zie dat dat boven mij ook al is gezegd, het laatste.

[ Voor 7% gewijzigd door pierre-oord op 12-05-2004 09:51 ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

woensdag 12 mei 2004 11:37

Acties:

Olaf van der Spek

Topicstarter

pierre-oord schreef op 12 mei 2004 @ 09:51:
ah leuk, hier ben ik ook mee bezig, waarschijnlijk ga ik mrtg op een andere pc draaien, dus is het wel makkelijk om dat te beveiligen. Ook ik wil niet dat heel de wereld mijn statistieken op kan vragen.
Ik ken deze config niet, ergens heb ik het idee dat dit niet van snmpd is maar het zal wel. Ik wil misschien via een apart netwerk alles uitlezen.

Dit komt uit /etc/snmp/snmpd.conf

Maare, snmp werkt toch ook via een port nummer gewoon? Kun je dan niet gewoon met hulp van iptables maar een adres toegang geven tot snmp?

edit:
Ik zie dat dat boven mij ook al is gezegd, het laatste.

Dat zou ook kunnen, maar ik heb iptables nog niet geinstalleerd.
Bovendien is het beter meerdere lagen van beveiliging te hebben.

[ Voor 5% gewijzigd door Olaf van der Spek op 12-05-2004 11:37 ]

woensdag 12 mei 2004 13:03

Acties:

pierre-oord

Dat laatste is natuurlijk ook waar

iptables is wel standaard al installed bij de meeste distro's.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

woensdag 12 mei 2004 13:14

Acties:

Olaf van der Spek

Topicstarter

Ja, maar ik heb het ook nog niet geconfigureerd.