Có hợp lý không khi sử dụng Nagios để kiểm tra xem dịch vụ KHÔNG có sẵn không?

9

Giả sử tôi có một máy chủ với giao diện riêng và giao diện chung. Công cộng có thể có những thứ như máy chủ HTTP (S), riêng tư có thể có MySQL và SSH.

Rõ ràng Nagios là hữu ích để kiểm tra rằng các dịch vụ đang chạy trên giao diện tương ứng của họ. Nhưng có phải là một ý tưởng tốt để xây dựng các kiểm tra kiểm tra rõ ràng rằng các cổng MySQL và SSH không mở trên giao diện công cộng không? Ý tưởng là để bắt các cấu hình sai do vô ý đã mở ra các dịch vụ nên riêng tư và cảnh báo thích hợp.

Một phần trong tôi có ý tưởng rằng điều này sẽ không mở rộng quá mức - hãy tưởng tượng có một quy tắc DROP iptables, ví dụ, kiểm tra sẽ phải đợi cho đến khi hết thời gian kiểm tra trước khi nó có thể hoàn thành và tiếp tục. Nhưng thời gian chờ đó sẽ phải đủ cao để có thể phân biệt dịch vụ bị chặn với dịch vụ mở thực sự bị sa lầy.

Đây có phải là một ý tưởng thực tế? Nagios là công cụ phù hợp? Tôi thậm chí đã không nhìn vào tính khả thi của việc phủ nhận kết quả từ các plugin kiểm tra TCP, nhưng tôi chắc chắn rằng nó có thể thực hiện được ...

firewall  monitoring  nagios  service  private-ip 
bánh mì kẹp thịt
nguồn
2
Tôi từ lâu đã bị thuyết phục rằng DROPkhông phải là mục tiêu thích hợp cho mục đích như vậy, sử dụng -j REJECT --reject-with tcp-resetsẽ giải quyết vấn đề cụ thể đó. Đối với tôi câu hỏi của bạn có vẻ như chỉ là một lý do khác để sử dụng REJECTchứ không phải là DROP.
kasperd
4
kiểm tra bản đồ FTW.
dmourati

Câu trả lời:

11

Phải, tất nhiên. Công việc của một hệ thống giám sát là đảm bảo rằng các yêu cầu kinh doanh hiện đang được đáp ứng bởi cơ sở hạ tầng CNTT, bất kể những yêu cầu đó là gì.

Cảm giác ruột của tôi là không có giới hạn dễ dàng (tốt, 65535) đối với số lượng cổng bạn đang theo dõi để đảm bảo rằng chúng không đột nhiên mở và cách tốt nhất để đạt được kiểm soát này là kiểm soát nguồn chặt chẽ cộng với mạnh mẽ, giám sát hệ thống tệp tích cực (ví dụ: tripwire) trên máy chủ.

Nhưng nếu có một số cổng nhất định mà nó hoàn toàn quan trọng trong kinh doanh thì không bao giờ bị lộ, thì có, bằng mọi cách, hãy đặt một kiểm tra cụ thể cho điều đó. Bạn có thể muốn xem xét negateplugin NAGIOS , được phân phối với hầu hết các bản phân phối chính và được sử dụng để thực hiện chính xác những gì bạn đề xuất.

MadHatter
nguồn
3

Bạn có thể kết hợp bất kỳ kiểm tra nào với negateplugin để đảo ngược logic kiểm tra. Ví dụ, bạn có thể xác định lại CRIT, WARN, UNKNOWN và OK cho các trạng thái khác. Xem đầu ra --help để biết thêm thông tin .

Nếu bạn lo ngại về các chính sách DROP làm tăng thời gian kiểm tra, bạn có thể rút ngắn thời gian chờ. Đối với một kiểm tra như thế này, có lẽ bạn không cần phải kiểm tra cứ sau 5 phút. Chúng tôi có một số kiểm tra tương tự chạy hàng giờ.

Keith
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.