「TCP ラッパー」の版間の差分
(ページの作成: == 導入 Introduction == このドキュメントでは、TCPラッパーズによって拒絶される接続の試みのためにNagiosで簡単にアラートを生成する…) |
(相違点なし)
|
2010年8月31日 (火) 13:13時点における最新版
目次
導入 Introduction
このドキュメントでは、TCPラッパーズによって拒絶される接続の試みのためにNagiosで簡単にアラートを生成する方法を説明します。例えば、権限のないホストがあなたのSSHサーバに接続するのを試みるなら、あなたは拒絶されたホストの名前を含めて、Nagiosでアラートを受信することができます。あなたのリナックス/ユニックスボックスにおいてこれを実装すると、あなたはあなたのネットワークの向こう側にどれだけ多くのポートスキャンを検出できるか、驚かせるでしょう。
これらの指示の推測:
- あなたは既にパッシブチェックと、それらがどう働いているか、よく知ってます。
- あなたは既にVolatile サービスと、それらがどう働いているか、よく知ってます。
- あなたが(すなわち、あなたがTCPラッパーを使用しているホスト)のためにアラートを生成しているホストは、(この例においてファイヤーストームと呼ばれる)リモートホストです。 Nagiosを実行している同じホストの上でアラートを生成したいなら、あなたは私が提供する例へのいくつかの変更を行う必要があるでしょう。
- あなたの監視しているサーバにおいてNSCAデーモンと TCPにラッパーのアラートを生成しているリモートマシンにおいて、NSCAクライアント(send_nsca)をインストールしました。
サービスの定義 Defining A Service
もしそれを既にしていないなら、リモートホスト(ファイヤーストーム)のためのホスト定義を作成してください。
次に、ホストファイヤーストーム上のTCPラッパーのアラートのためのオブジェクト構成ファイルの1つでサービスを定義してください。サービス定義はこのように見えるかもしれません:
define service{ host_name firestorm service_description TCP Wrappers is_volatile 1 active_checks_enabled 0 passive_checks_enabled 1 max_check_attempts 1 check_command check_none ... }
上のサービス定義に関して注意するいくつかの重要なことがあります:
- その変わりやすいオプションが可能にされた。 私たちは、私たちが、入るあらゆる警戒のために通知を生成して欲しいと思うので、このオプションを可能にして欲しいと思います。
- パッシブチェックが可能な間、そのサービスのアクティブチェックは出来なくなります。 これは、そのサービスがNagiosによって、決してアクティブにチェックされないことを意味します--外部ソースからの全てのアラート情報をパッシブに受け取らなければならないでしょう。
- そのmax_check_attemptsは1に設定されます。 これは最初のアラートが発生する時に、あなたが通知を得るのを保証します。
TCPラッパーを構成する Writing The ScriptWriting The Script
あなたが最後にする必要があるのは、Nagiosサーバにアラートを送り返すファイヤーストームに関するhandle_tcp_wrapperスクリプトを書くことです。このように見えるかもしれません:
#!/bin/sh /usr/local/nagios/libexec/eventhandlers/submit_check_result firestorm "TCP Wrappers" 2 "Denied $2-$1" > /dev/null 2> /dev/null
handle_tcp_wrapperスクリプトは、submit_check_resultスクリプトに、実際に監視ホストにアラートを送り返す事を指令するのに注意してください。あなたのNagiosサーバが監視と呼ばれると仮定して、submit check_resultスクリプトはこのように見えるかも知れません:
#!/bin/sh # Arguments # $1 = name of host in service definition # $2 = name/description of service in service definition # $3 = return code # $4 = output /bin/echo -e "$1\t$2\t$3\t$4\n" | /usr/local/nagios/bin/send_nsca monitor -c /usr/local/nagios/etc/send_nsca.cfg
完了 Finishing Up
あなたがしなければならないのは、ファイヤーストームでのinetdプロセスの再起動とあなたの監視サーバ上でのNagiosの再起動であり、あなたは必要な物すべてを今、構成しています。それです! ファイヤーストーム上のTCPラッパーズが接続の試みを拒否する時、あなたはNagiosでアラートを得るべきです。アラートのためのプラグイン出力は、以下のように見えるでしょう: