如何提升Nagios服务器安

　　摘要：如何提升Nagios服务器安全？Nagios是一种软件，它通常运行于Liunx或Unix操作系统下。Nagios的功能非常强大，它可以服务和主机，但是他自身并不包括这部分功能的代码，所有的、检测功能都是有插件来完成的。本文讲述的是如何提升Nagios服务器安全。

　　如何提升Nagios服务器安全？

　　192.168.1.1Nagios是一种软件，能够帮助用户迅速了解主机和互联网上出现的问题，并且可以将其配置为在任何网络使用。在任何版本的Linux操作系统上安装Nagios服务器都常快速的过程，不过安全的安装则要花费一些功夫。本文将重点探讨如何提高Nagios的安全性问题，而不会如何安装Nagios的问题，因为已经太多类似文章。

　　你可能会疑惑为什么需要考虑Nagios服务器的安全问题?因为如果Nagios受到的话，黑客将获取大量信息。下文的示例都是在Ubuntu进行的，不过这些示例能够帮助任何下的用户提高Nagios服务器的安全性，因为基本概念是一致的。

　　如果你按照互联网上提供的快速安装指南安装Nagios，很可能只是安装了web界面，因为Nagios使用Apache显示出很多其他安全选项。

　　“Allowfrom”选项是用来明确只能向某些IP地址和/或网络提供访问权限的，例子中允许所有IP地址访问该web界面。其他安全选项是用于身份验证的，“AuthType”定义了使用哪种身份验证类型，只有两种类型可供选择Basic或者Digest，基本验证(Basic)会将用户密码和用户名作为纯文本提交，而Digest验证的密码则会作为MD5digest提交，很明显后者更加安全。

　　为了提高安全性我们需要进行如下修改：

　　这个配置中，只有192.168.4.0网络的电脑可以访问该web界面，并且我们现在使用Digest验证取代了不安全的基本验证方法。

　　现在我们需要添加允许访问web网络的用户以及密码，使用下列命令来为digest验证添加新用户：

　　最佳做法

　　本节将列举出一些安装Nagios服务器的最佳安全做法，具体如下：

　　·不要以root身份运行Nagios。需要有一个名为nagios的普通用户，如果Nagios作为root运行，那么当Nagios受到时，者就能够对用户系统了。.

　　·在CommandDefinitions中使用完整径。当定义命令时，请明确完整的径，而不是与正在执行的任何脚本或者二进制相关的径。

　　·远程代理安全。远程代理包括NRPE,、NSClient以及SNMP等，下文中我们将介绍NRPE远程代理的步骤。

　　本节我们将研究如何保障NRPE安全的问题。该远程代理用于在远程主机上执行检查程序(检查负载或者磁盘使用等)，我们不会希望任何程序或者用户能够在远程机器上执行命令，因此保障NRPE的安全性常重要的。

　　由于NRPE附带有对TCPwrappers的支持，我们可以定义哪些主机允许访问NRPE：

　　以上示例中，只有192.168.1.91可以在该主机上使用这个远程代理，你可以将你的Nagios客户端IP地址取代192.168.1.91，请注意应该同时用于你的Nagios服务器和客户端。

　　NRPE的另一部分也可能成为安全漏洞，即允许commandarguments。我们当然不希望看到者通过发送恶意arguments我们的系统，确实有时候需要允许Nagios发送commandarguments，但如果大部分时候不需要启用此功能，那么一定要禁用。

　　用户进行任何配置更改后都必须重新启动nrpe.cfg，想要了解更多关于NRPE安全的信息请阅读数据包源文件中的SECURITY文件。

　　通信渠道安全

　　在网络进行通信时，必然要涉及到通信安全问题，这也正是SSL的用武之地。

　　NRPE可以允许你启用SSL功能，但是数据包必须已经配置为–enable-ssloption(启用SSL选项)，如果NRPE配置为使用SSL功能，请注意客户端和服务器都必须同时启用。.

　　下一步我们还需要配置SSL以提高其安全性，这样才不至于发送简单的纯文本web界面密码：

　　现在Nagios服务器已经很安全了，下一步就是即使进行安全更新。Nagios服务器安全的提升就讲述到这里了。

　　【编辑推荐】