o que deve ser uma string de comunidade snmp

Navegue suas respostas
1

Eu instalei o SNMP na minha máquina servidora. Eu apenas segui um tutorial on-line para fazer isso. Eu não tinha ideia do que é. Poucos dias atrás de onde nós compramos nosso servidor eles enviaram um email como

Mensagem de abuso [AbuseID: 2B760B: 25]: AbuseBSI: [CERT-Bund # 2015020428001579] Offene SNMP-Dienste em AS24940 - 2016-09-17

Shadowserver provides CERT-Bund with the test results for IP addresses hosted in Germany for notifying the owners of the affected systems. Futher information on the tests run by Shadowserver is available at [2].

Please find below a list of affected systems hosted on your network. The timestamp (timezone UTC) indicates when the system was tested and responded to SNMP requests from the Internet.

We would like to ask you to check this issue and take appropriate steps to secure the SNMP services on the affected systems or notify your customers accordingly.

Minha pergunta é quais são as etapas para proteger o SNMP? Em um blog, havia uma pessoa que se referia a mudar a string de comunidade padrão. Então eu pesquisei sobre isso e editei este arquivo nano /etc/snmp/snmpd.conf e adicionei a string de comunidade como public hostIP(on which snmp installed) .

Mas não tenho certeza sobre o que fiz até agora. Se alguém tiver alguma experiência, por favor me guie com isso. Qualquer ajuda será apreciada.

    
por Junaid Farooq 28.09.2016 / 07:56

1 resposta

3

Esse aviso inesperado pode parecer ser um e-mail não solicitado, mas é legítimo e se origina do "Bundesamt für Sicherheit in der Informationstechnik" da Alemanha, o Departamento Federal de Segurança da Informação CERT-Bund .

A Equipe de Resposta a Emergências de Computadores para órgãos federais tem um programa de alerta ativo para organizações e empresas alemãs em busca de possíveis ameaças on-line. Se os seus sistemas forem hospedados por um provedor alemão (como o Hetzner), você também poderá receber esses avisos.

Nesse caso, um portscan detectou que o serviço SNMP estava ativo em um de seus sistemas. Como em vários protocolos, o SNMP pode ser facilmente usado para ataques de negação de serviço de reflexão e amplificação. Também é um protocolo / serviço que você não precisa expor à Internet como um todo.

Você tem várias opções diferentes:

  • Você não usa o SNMP e pode simplesmente desabilitar o serviço ( systemctl stop snmpd & systemctl diasable snmpd ) ou desinstalá-lo.

  • Você usa o snmp para monitoramento, mas o serviço de monitoramento é executado no mesmo host? Edite /etc/snmp/snmpd.conf e configure o snmpd para aceitar apenas solicitações enviadas para a interface de loopback local em vez do seu IP público, definindo agentAddress udp:127.0.0.1:161

  • Você usa snmp para monitoramento, mas o serviço de monitoramento é executado em um host diferente? Configure um firewall que permita que esse host específico se conecte à porta UDP 161 e desabilite todos os outros.

por 28.09.2016 / 10:54

Tags

Por que recebo “InvalidNameIdPolicyException: MSIS7070” ao autenticar via ADFS? localiza arquivos em subdiretórios usando find in centos