martedì 1 aprile 2008

Abilitare SNMP su tutta la rete (e non solo da localhost)


In un precedente articolo abbiamo visto come configurare SNMP per consentire di monitorare un server mediante il software cacti.

La configurazione proposta pero', per motivi di sicurezza non consente di monitorare una macchina se non da se stessa. Il demone SNMPD infatti accetta per default solo richieste provenienti dall'indirizzo 127.0.0.1 (localhost).

La maggior parte delle guide indica come abilitare l'accesso al demone snmpd dagli altri host della rete inserendo l'indirizzo della rete (es.: 192.168.1.0/24) nelle dichiarazioni com2sec del file /etc/snmp/snmpd.conf

Purtroppo questa soluzione non sembra funzionare.
E' invece risolutiva questa serie di istruzioni (almeno per le distribuzioni Debian based):

Salvate il file di configurazione di snmp:

sudo mv /etc/snmp/snmpd.conf /etc/snnp/snmpd.conf.orig


Create un nuovo file /etc/snmp/snmpd.conf contenente le linee seguenti:

# sec.name source community com2sec readonly default public # sec.model sec.name group MyROGroup v1 readonly # incl/excl subtree mask view all included .1 80 view system included .iso.org.dod.internet.mgmt.mib-2.system # context sec.model sec.level match read write notif access MyROGroup "" any noauth exact all none none


N.B.: non so se questa configurazione apra falle di sicurezza o cose del genere. Se decidete di utilizzarla siete pregati di verificare o di accettarne il rischio.
In caso sostituite a 'public' il nome della vostra community SNMP.
Fate ripartire il demone snmpd:

sudo /etc/init.d/snmp restart


Se ancora non riuscite a collegarvi da un'altra macchina della vostra rete, probabilmente e' colpa dei parametri di linea di comando con cui viene lanciato snmpd. Questi sono nascosti in /etc/defaults/snmpd. In particolare nella variabile SNMPDOPTS. Bisogna rimuovere dalla sua definizione l'indirizzo 127.0.0.1

Nessun commento: