Restrictionarea SSH-ului si securitatea acestuia in Check MK

Configurare noua (How To)

Situatie

De ce avem nevoie pentru a-l face securizat? Agentul Check_mk_ trebuie sa fie rulat ca root. Acest lucru nu este la indemana, dar este necesar, deoarece unele dintre informatiile pe care le aduna pot fi citite numai cu root (de exemplu, unele Loguri si parametrii de interfata de retea).

Solutie

Pasi de urmat

Avand o cheie ssh situata pe serverul Nagios, care permite logarea completa root pe unele dintre masinile fara parola nu este deloc de dorit. Dar nu trebuie pur si simplu sa restrictionezi autentificarile cu cheia pe care Nagios o foloseste pentru a rula doar /usr/bin/check_mk_agent – indiferent de modul în care este numit ssh-ul. Mai departe aflati care este modul de a face acest lucru (cu OpenSSH)

Configurarea ssh cu restrictie de comanda

Creati o noua pereche de chei special pentru monitorizarea cu check_mk:

root@linux# cd /etc/check_mk
root@linux# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): check_mk.key
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in check_mk.key.
Your public key has been saved in check_mk.key.pub.
The key fingerprint is:
d8:db:b0:8c:db:df:33:a0:ba:e9:b1:30:4a:c3:d0:27 root@Nagios

 

Faceti cheia privata astfel incat sa poata fi citita de Nagios:

root@linux# chown nagios check_mk.key
root@linux# chmod 400 check_mk.key

Instalati cheia pe masinile tinta, dar limitati executarea /usr/bin/check_mk_agent. Acest lucru se face prin precedarea liniei cu comanda = „/usr/bin/check_mk_agent“ (toate într-o singura linie!):

Incercati sa va logati cu ssh si testati:

root@linux# ssh -i check_mk.key targethost

Nu ar trebui sa obtineti un shell, ci datele de iesire ale agentului. În cazul în care un atacator obtine cheia privata tot ce poate face este sa citeasca datele
de iesire ale agentul.

Integrarea în check_mk nu este speciala. Nu uitati sa specificati cheia cu optiunea ssh-ului -i. Puteti omite comanda. Este executat în mod automat:

Tip solutie

Permanent

Voteaza

(9 din 25 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?