Nagios硬化

Question

我一直试图研究强化Nagios (如果有这样的事情.)，但是还没有发现任何关于应该做什么或指导应该看什么的太明确的东西。

在更多地了解Nagios的潜在安全漏洞以及如何最好地消除这些漏洞之前，我都会谨慎地让Nagios继续运行，或者至少让它变得更不可能成为一个潜在的问题。

据我所知，目前我已经禁用了Nagios，直到我能够找到一些方法来使它变硬。没有Nagios进程正在运行，我已经运行了chkconfig nagios off。

我的配置如下：

• CentOS 6.3 x64
• Nagios Core 3.4.1

以下是我的问题：

1. 为了确保Nagios被禁用，还有什么需要检查的吗？
2. 在默认配置中运行Nagios可能存在哪些安全漏洞？
3. 我可以采取哪些步骤来加强Nagios呢？

Answer 1

Nagios是分部分实现的；让我们单独看一看。

这里有Nagios调度程序和插件实现。这就完成了Nagios为各种主机/服务确定状态的实际工作。这可以通过许多不同的方式来完成。您可能特别要调查的一个问题是SSH。Nagios可以将SSH放入远程主机，以检查磁盘利用率。这个SSH帐户通常是使用Nagios主机上的一个私钥和所有要监视的目标Linux机器上的一个公钥设置的。

根据插件的不同，Nagios还可以使用其他机制。例如SNMP、直接连接和NRPE (Nagios远程插件执行器)。这只是对插件的介绍，这是Nagios安全性研究的一个领域。

下一个要考虑的领域是UI本身。默认UI使用编译C CGI脚本构建。您需要在默认CGI之上配置一些身份验证/授权步骤。要了解更多关于CGI安全性的信息，请查看Nagios配置目录下的cgi.cfg (通常为/etc/nagios )和/或读取CGI认证上的Nagios文档。

要回答你的具体问题：

1. ps -aux | grep -v grep | grep nagios
2. 有关插件/web和查看Nagios安全文档的一般安全问题，请参见上文。
3. 回顾上面的内容，考虑一下您的网络是如何布局的，以及您需要向各种Nagios插件打开哪些端口/协议。考虑使用iptables或其他访问UI的限制来保护UI。

Answer 2

我知道这是一个较旧的线程，但是除了其他人发布的内容外，我在Nagios安装中还做了一件事，就是在每个目标主机上实现IPtables规则，只允许Nagios/NRPE通信量(端口5666)来自实际的Nagios服务器。nrpe.conf中有一个指令，允许您指定可以连接到目标主机的"allowed_hosts“。即使这样，我仍然喜欢在IPtables中添加一个链，以便只允许来自实际Nagios服务器的Nagios/NRPE流量。

除此之外，其他人发布的内容将真正加强Nagios服务器。

Answer 3

除了Nagios官方建议之外，您还应该始终更新到Nagios的最新版本。Nagios最近做了很多安全修复，请查看Nagios 4更改日志之前的更多信息。除了Nagios之外，您还应该升级依赖组件，如代理( NRPE -agent或NSClient++)以及使用的协议(如NSCA和NRPE)。特别是NRPE最近有了重大的更新。查看changelog 这里。