LINUX.ORG.RU

Обезопасить закрытый ключ на сервере мониторинга NAGIOS

 , ,


0

2

Добрый день. Есть сервер мониторинга (VPS):

*** CentOS 6 *** Nagios ***

На нем мониториться предположим 10 других серверов, транспорт SSH по ключам. Закрытый ключ не шифруется паролем, потому что непонятно как потом настроить автоматический ввод этого пароля при взаимодействии Nagios (пользователя nagios) с другими серверами (клиентами Nagios). Если вдруг злоумышленник, предположим тот же хостер данного сервера уводит закрытый ключ, то он получает доступ ко всем этим 10-ти серверам.

Как быть, что делать в таком случае?

Спасибо.



Последнее исправление: Nezhnayka28 (всего исправлений: 3)

ты в гос учреждении? у тебя ФСТЭК? что ты себе голову забиваешь, пока з\п больше 5 нулей не будет, даже не парься о таком.

erzent ☆☆
()
Ответ на: комментарий от erzent

Ну вот, но на самом то деле вопрос очень важный, как это не париться? У меня предположим 10-клиентов, которых я мониторю. Сервер Nagios, как сказал VPS (х.з что на уме у хостера, либо каким-либо образом угнали закрытый ключ), что дальше? Доступ ко всем 10-ти серверам у кого-то в руках? Что ждать? Думаю ничего хорошего.

Nezhnayka28
() автор топика
Ответ на: комментарий от Nezhnayka28

vps похрен на тебя, у них есть рыбку покрупнее и посолиднее, я бы на твоём меньше больше боялся за свой комп домашний и квартиру, в преддверии дарения 20 млн гражданства рф. шанс, что у тебя отнимут квартиру и имущество выше, чем что кто-то залезет на твой vps.

erzent ☆☆
()
Ответ на: комментарий от erzent

шанс, что у тебя отнимут квартиру и имущество выше, чем что кто-то залезет на твой vps.

Решение вопроса из первого поста есть какое-то?

Nezhnayka28
() автор топика
Ответ на: комментарий от erzent

а вот если запаролить закрытый ключ, то можно каким-то образом настроить Nagios, чтобы он через ssh-agent кешированный пароль подставлял туда? И скорее всего даже если возможно то после каждой перезагрузки сервера, где стоит сервер-Nagios придется руками заходить под пользователем nagios и добавлять инфу о закрытом ключе?

Nezhnayka28
() автор топика
Ответ на: комментарий от erzent

это пробовал?

Так именно так у меня и работает сейчас - это и есть описание SSH-транспорта через ключи и далее через плагин check_by_ssh мониторинг удаленных серверов. А закрытый ключ не зашифрован паролем, как и в этой статье: This creates the key without a passphrase

Nezhnayka28
() автор топика
Ответ на: комментарий от EvgGad_303

спасибо, буду знать, я первую ссылку с гугла кинул, прочитав начало.

erzent ☆☆
()
Ответ на: комментарий от beastie

О, прикольно, теперь буду этим тыкать любителей поднять нагиос.

EvgGad_303 ★★★★★
()
Ответ на: комментарий от erzent

ты других своему эникейскому подходу не учил бы

EvgGad_303 ★★★★★
()
Ответ на: комментарий от erzent

А у тебя и не будет никогда зарплаты в пять нулей, именно потому что ты не паришься о подобном. Прирожденный эникей.

entefeed ☆☆☆
()
Ответ на: комментарий от erzent

а вот если запаролить закрытый ключ, то можно каким-то образом настроить Nagios, чтобы он через ssh-agent кешированный пароль подставлял туда? И скорее всего даже если возможно то после каждой перезагрузки сервера, где стоит сервер-Nagios придется руками заходить под пользователем nagios и добавлять инфу о закрытом ключе?

Сделал через ssh-agent, мда, через терминал нормально ходит без запроса пароля шифрования закрытого сертификата, Nagios (check_by_ssh) - нифига.

Потом увидел твой пост:

http://sourceforge.net/p/nagios/mailman/message/14936003/

там как раз проблема с ssh-agent+nagios, но костыли, которые там предлагают как альтернативу чего-то не стал делать - это уже из ряда вон костыль какой-то.

Nezhnayka28
() автор топика
Ответ на: комментарий от Nezhnayka28

весь нагиос костыль, проекту хренова туча лет, а конфиги до сих пор голову ломай.

erzent ☆☆
()
Ответ на: комментарий от beastie

Типичный хейтер, все обосрал без объяснений, показал какие-то разрозненные тулзы, которые если объединить, то получится мониторинг (его, аФтора) мечты. кг/ам как говорилось.

anonymous
()

На сервере держать запароленный приватный ключ не имеет смысла. Если злоумышленник получит доступ к серверу, то ключ он сможет и из памяти nagios вытянуть

http://www.trapkit.de/research/sslkeyfinder/keyfinder_v1.0_20060205.pdf

Vovka-Korovka ★★★★★
()
Последнее исправление: Vovka-Korovka (всего исправлений: 1)

Выбрал бы snmp все могло пойти по другому.

hizel ★★★★★
()

Никогда не использовал Nagios, но может копать в другом направлении?

Например чтобы после подключения к этим 10 серверам с ключом, у пользователя не было бы рутового доступа.

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.