Nagios Hardening

Encontrei algumas dicas na documentação do Nagios que lida especificamente com a segurança:

1. Use uma caixa de monitoramento dedicada.
2. Não execute o Nagios como raiz.
3. Bloqueie o diretório do resultado da verificação.
4. Bloqueie o arquivo de comando externo.
5. Exigir autenticação nos CGIs.
6. Implemente Medidas de Segurança CGI Aprimoradas.
7. Use as definições dos comandos Full Paths In.
8. Ocultar informações confidenciais com macros $ USERn $.
9. Descarte personagens perigosos de macros.
10. Acesso seguro a agentes remotos.
11. Canais de comunicação segura.

Eu sei que este é um segmento mais antigo, mas uma coisa que fiz na instalação do Nagios além do que os outros postaram é implementar regras de IPtables em cada host de destino para permitir apenas tráfego Nagios / NRPE (porta 5666) do servidor Nagios real. Há uma diretiva em nrpe.conf que permite especificar "allowed_hosts" que podem se conectar ao host de destino. Mesmo com isso eu ainda gostaria de adicionar uma cadeia no IPtables para permitir apenas o tráfego Nagios / NRPE do servidor Nagios real.

Fora isso, o que os outros postaram realmente vai endurecer o seu servidor Nagios.

Além das recomendações oficiais do Nagios , você também deve sempre atualizar para a versão mais recente do Nagios Core. O Nagios fez muitas correções de segurança ultimamente, por favor, verifique o Nagios Core 4 Change Log para mais informações. Além do Nagios, você também deve atualizar componentes dependentes, como seus agentes (nrpe-agent ou NSClient ++) e os protocolos usados, como NSCA e NRPE. O NRPE, em particular, recebeu uma grande atualização recentemente. Confira o changelog aqui .

Nagios é implementado em partes; vamos olhar para aqueles individualmente.

Existe a implementação do planejador e do plugin do Nagios. Isso faz o trabalho real do Nagios determinar o estado de vários hosts / serviços. Isso pode ser feito de muitas maneiras diferentes. Um em particular, você pode querer investigar é SSH. Nagios pode SSH em hosts remotos para verificar, por exemplo, a utilização do disco. Normalmente, essa conta SSH é configurada com uma chave privada no host do Nagios e uma chave pública em todas as máquinas Linux de destino a serem monitoradas.

Existem outros mecanismos que o Nagios pode usar dependendo do plugin. Tais métodos como SNMP, conexão direta e NRPE (Nagios Remote Plugin Executor). Essa é apenas uma introdução aos plugins, uma área de investigação para segurança do Nagios.

A próxima área a considerar é a própria interface do usuário. A interface do usuário padrão é construída com scripts C CGI de compilação. Você tem algumas etapas de autenticação / autorização para configurar em cima dos CGIs padrão. Para saber mais sobre a segurança CGI, revise cgi.cfg no diretório de configuração do Nagios, geralmente /etc/nagios , e / ou leia a documentação do Nagios em Autenticação CGI .

Para responder às suas perguntas específicas:

1. ps -aux | grep -v grep | grep nagios

2. Veja acima as preocupações gerais de segurança com a interface de usuário do plug-in / web e analise a Documentação de segurança do Nagios .

3. Revise o que foi dito acima, considere como sua rede está organizada e quais portas / protocolos você precisará abrir para os vários plug-ins do Nagios. Considere proteger a interface do usuário com iptables ou outras restrições para acessar a interface do usuário.