Eu sou novo em ferramentas de monitoramento. Recentemente nosso servidor com phpMyAdmin foi atacado com botnet. Então eu quero fazer algum monitoramento no meu servidor para qualquer saúde e segurança. O que me preocupa é que o nagios também é outro aplicativo da web como o phpMyAdmin. Existe algum furo de segurança em que hackes podem se intrometer através dele? Em segundo lugar, se não houver problema, o que devo fazer para configurar o monitoramento para servidores mysql e web? Ou se houver outras opções, então?
A interface web que você pode proteger com autenticação addional na camada do servidor web (com um aplicativo administrativo, não público, dificilmente há uma razão para confiar somente na autenticação interna, mesmo com o phpmyadmin).
O que você precisa configurar com muito mais cuidado é a sua camada de plugins remotos (nrpe, ssh, nsca orientada para o cliente ...), já que há trusts não interativos envolvidos, com algumas configurações diretamente na Internet aberta.
IMHO nenhuma das ferramentas de administração de www, como phpmyadmin e nagios, deve ser acessível da Internet, se a empresa não solicitar explicitamente.
Mas se você deve proteger esses aplicativos com senhas adicionais com .htaccess.
Se você precisar fornecer phpmyadmin para um grande número de usuários, protegê-lo com .htaccess não é uma boa idéia (é complicado gerar senha para todos os usuários (clientes) e os usuários não gostam de uma dupla autenticação).
Você sempre pode compartilhá-lo no uniqe url não https://yoursite/phpmyadmin , tudo o que você precisa fazer é alterar o alias no arquivo phpmyadmin visrtualhost.
Você deve sempre compartilhar esses aplicativos em https!
O Nagios é apenas para o administrador, você pode restringir o acesso a ele apenas para ips que devem ter acesso ao .htaccess.
Você pode servir phpmyadmin e em nenhuma porta padrão. Se você compartilhar aplicativos em nenhuma porta padrão (diferente de 80 e 443), poderá restringir o acesso a ele com o iptables.
A boa ideia é proteger esses aplicativos da força bruta com o fail2ban.
Não há nenhum sistema idealmente seguro. Há sempre um risco, mas você deve fazer tudo para minimizá-lo.
Conhecidas geralmente não são um problema porque elas são conectadas. São aqueles que você não conhece e que são um problema. Mas então, perguntar se há algum buraco desconhecido não faz sentido, não é?
Você não precisa ter sua instalação nagios aberta ao público pelo caminho. Mantenha os serviços de administração em um servidor diferente com um IP diferente e você será um pouco mais seguro (os botnets tendem a se concentrar em sites publicamente visíveis).
Dependendo do que você deseja monitorar, o Nagios pode ou não ser a ferramenta certa para o trabalho. E há também outras empresas que você pode pagar para fazer o monitoramento para você. Então você não precisa se preocupar em monitorar o próprio sistema de monitoramento. Os caras da monitis estão até oferecendo Monitoramento do MySQL .
Não há falhas de segurança conhecidas no Nagios. Se houver brechas de segurança desconhecidas, você não poderá fazer muito a respeito.
Existem algumas medidas de segurança que você pode adotar:
/etc/nrpe.cfg em busca de allowed_hosts= . Isso limitará quem pode realmente perguntar ao NRPE o que está acontecendo. (ou execute comandos remotos) Eu presumo que você esteja executando o apache2, então para isso dê uma olhada no arquivo /etc/apache2/nagios.conf (ou no arquivo de configuração do apache2 equivalente se você tiver uma versão compilada). No bloco de correspondência de diretório, há um que diz:
Allow from all
Você pode alterar isso para:
Allow from IP/subnetmask
ou
Allow from IP