Apakah masuk akal untuk menggunakan Nagios untuk memeriksa bahwa suatu layanan TIDAK tersedia?

9

Misalkan saya memiliki server dengan antarmuka pribadi dan antarmuka publik. Publik mungkin memiliki hal-hal seperti server HTTP (S), swasta mungkin memiliki MySQL dan SSH.

Jelas nagios berguna untuk memeriksa apakah layanan berjalan pada antarmuka masing-masing. Tetapi apakah itu ide yang baik untuk membangun pemeriksaan yang secara eksplisit menguji bahwa port MySQL dan SSH tidak terbuka pada antarmuka publik? Idenya adalah untuk menangkap kesalahan konfigurasi yang tidak disengaja yang telah membuka layanan yang seharusnya bersifat pribadi, dan mengingatkan dengan tepat.

Sebagian dari saya memiliki gagasan bahwa skala ini tidak akan terlalu baik - bayangkan ada aturan DROP iptables, misalnya, cek harus menunggu hingga batas waktu pemeriksaan terlampaui sebelum dapat menyelesaikan dan melanjutkan. Tetapi batas waktu itu harus cukup tinggi untuk dapat membedakan layanan yang diblokir dari layanan terbuka yang benar-benar macet.

Apakah ini ide yang praktis? Apakah Nagios alat yang tepat? Saya bahkan belum melihat kelayakan meniadakan hasil dari plugins pemeriksaan TCP, tapi saya yakin itu bisa dilakukan ...

smitelli
sumber
2
Saya telah lama diyakinkan bahwa DROPitu bukan target yang tepat untuk tujuan seperti itu, menggunakan -j REJECT --reject-with tcp-resetakan memecahkan masalah khusus itu. Bagi saya pertanyaan Anda kedengarannya seperti alasan lain untuk digunakan REJECTdaripada DROP.
kasperd
4
check_nmap FTW.
dmourati

Jawaban:

11

Ya tentu saja. Tugas sistem pemantauan adalah memastikan bahwa persyaratan bisnis saat ini dipenuhi oleh infrastruktur TI, apa pun persyaratan itu.

Perasaan saya adalah bahwa tidak ada batasan mudah (yah, 65535) untuk jumlah port yang Anda pantau untuk memastikan mereka tidak tiba-tiba menjadi terbuka, dan bahwa cara terbaik untuk mencapai kontrol ini adalah kontrol sumber yang ketat plus yang kuat, pemantauan sistem file yang agresif (misalnya, tripwire) pada server.

Tetapi jika ada port tertentu yang benar - benar penting untuk bisnis tidak pernah diekspos, maka ya, tentu saja gunakan cek khusus untuk itu. Anda mungkin ingin melihat ke negateplugin NAGIOS , yang dikirimkan dengan sebagian besar distribusi utama, dan digunakan untuk melakukan persis apa yang Anda sarankan.

MadHatter
sumber
3

Anda dapat menggabungkan cek apa pun dengan negateplugin untuk membalikkan logika pemeriksaan. Anda dapat mendefinisikan ulang CRIT, PERINGATAN, TIDAK DIKETAHUI, dan OK untuk negara bagian lain, misalnya. Lihat --help output untuk info lebih lanjut .

Jika Anda khawatir tentang kebijakan DROP meningkatkan waktu pemeriksaan, Anda bisa mempersingkat waktu tunggu. Untuk pemeriksaan seperti ini, Anda mungkin juga tidak perlu memeriksa setiap 5 menit. Kami memiliki beberapa pemeriksaan serupa yang berjalan setiap jam.

Keith
sumber