Project

General

Profile

Evolution #1788

service snmpd

Added by cedric Lamouche over 10 years ago. Updated almost 10 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
05/19/2011
Due date:
% Done:

100%

Estimated time:
1.00 h
Spent time:
Distribution:
EOLE 2.3

Description

par défaut le démon snmpd écoute sur son adresse locale 127.0.0.1 , ce qui empeche une utilisation du snmp par les tunnels.
Il est necessaire de supprimer cette adresse locale pour avoir un fonctionnement à travers les tunnels vpn.

contenu une fois modifié
/etc/default/snmpd
  1. This file controls the activity of snmpd and snmptrapd
  1. MIB directories. /usr/share/snmp/mibs is the default, but
  2. including it here avoids some strange problems.
    export MIBDIRS=/usr/share/snmp/mibs
  1. snmpd control (yes means start daemon).
    SNMPDRUN=yes
  1. snmpd options (use syslog, close stdin/out/err).
    SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid'
  1. snmptrapd control (yes means start daemon). As of net-snmp version
  2. 5.0, master agentx support must be enabled in snmpd before snmptrapd
  3. can be run. See snmpd.conf(5) for how to do this.
    TRAPDRUN=no
  1. snmptrapd options (use syslog).
    TRAPDOPTS='-Lsd -p /var/run/snmptrapd.pid'

Related issues

Related to eole-snmpd - Anomalie #2590: Erreur de nommage sur le fichier 00_snmpd.fw Fermé 12/13/2011
Related to conf-scribe - Anomalie #2362: eole-annuaire : pouvoir restreindre l'accès en lecture de slapd Fermé 11/11/2011

Associated revisions

Revision 2c918bc7 (diff)
Added by Joël Cuissinat almost 10 years ago

Intégration des templates et dicos pour eole-snmpd (fixes #1788)

Revision b0d90269 (diff)
Added by Joël Cuissinat almost 10 years ago

Gestion des adresses autorisées et ajout des règles de pare-feu (ref #1788)
  • dicos/20_snmpd.xml : ajout de la variable snmp_allow_ip (famille Snmpd)
  • tmpl/snmpd.conf : utilisation de la variable %%snmp_allow_ip
  • tmpl/00_snmpd.fw : ajout des règles de pare-feu

Revision 18a9c244 (diff)
Added by Johan Cwiklinski over 4 years ago

Fix unit tests re-run; fixes #1788

Revision 07e1239b (diff)
Added by Johan Cwiklinski over 4 years ago

Fix SoftwareLicense tests; make them runnable twice; refs #1788

Revision 98d01ed1 (diff)
Added by Johan Cwiklinski over 4 years ago

Fix unit tests re-run; fixes #1788

History

#1 Updated by Emmanuel GARETTE over 10 years ago

Nous n'utilisons pas le démon snmpd sur Amon (2.2 ou 2.3). Il n'est d'ailleurs pas installé.

Pourriez-vous préciser mieux la demande ? Ou vérifier si ce paquet n'est pas une adaption local.

#2 Updated by Thierry Chich over 10 years ago

Nous utilisons le snmpd pour faire de la surveillance des amons via cacti. Cela nous permet de vérifeir lees débist utilisés, mais saussi certains paramètres systèmes, l'utilisation du proxy, etc.
Plusieurs choses empèchent son utilisation facile:

1) le snmpd n'est installé par défaut
2) il écoute sur le port 127.0.0.1 quand on fait l'installation ubuntu (comme précisé par cédric)
3) il faut ajouter l'autorisation dans le /etc/hosts.allow
4) il faut reconfigurer le /etc/snmp/snmpd.conf de telle manière à ca qu'on puisse avoir à autre chose que la mib2.system
5) il faut faire des règles pour que ça passe dans le tunnel

Au total, nous arrivons à tout gérer en plaçant des choses et d'autres en tant que fichiers personnalisés, mais ce n'est pas optimal.

#3 Updated by Emmanuel GARETTE over 10 years ago

  • Status changed from Nouveau to Pas un bug

3) il faut ajouter l'autorisation dans le /etc/hosts.allow

Si c'est sur EOLE 2.3, nous gérons le fichier avec eole-firewall. Il est nécessaire, dans ce cas, d'ajouter un fichier .fw.

Sinon il faut utiliser des templates+dicos et patch à EOLE pour personnaliser le serveur.

#4 Updated by Joël Cuissinat about 10 years ago

  • Status changed from Pas un bug to Accepté
  • Target version set to Mises à jour 2.3 - 02 RC
  • Estimated time set to 1.00 h

=> proposer une configuration pour 2.3 ;)

#5 Updated by Joël Cuissinat almost 10 years ago

  • Target version changed from Mises à jour 2.3 - 02 RC to Mises à jour 2.3 - 03 RC

#6 Updated by Thierry Chich almost 10 years ago

Voici une proposition relativement minimale, mais avec quand même le proxy qui permet
d'interroger la mib de squid.

/etc/snmpd.conf

com2sec  readonly default         public

group MyROGroup v1         readonly
group MyROGroup v2c        readonly
group MyROGroup usm        readonly

view all    included  .1                               80

access MyROGroup ""      any       noauth    exact  all    none   none
proxy -v 2c -c public  127.0.0.1:3401 .1.3.6.1.4.1.3495

/etc/default/snmp
 This file controls the activity of snmpd and snmptrapd

# MIB directories.  /usr/share/snmp/mibs is the default, but
# including it here avoids some strange problems.
export MIBDIRS=/usr/share/snmp/mibs

# snmpd control (yes means start daemon).
SNMPDRUN=yes

# snmpd options (use syslog, close stdin/out/err).
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid'

# snmptrapd control (yes means start daemon).  As of net-snmp version
# 5.0, master agentx support must be enabled in snmpd before snmptrapd
# can be run.  See snmpd.conf(5) for how to do this.
TRAPDRUN=no

# snmptrapd options (use syslog).
TRAPDOPTS='-Lsd -p /var/run/snmptrapd.pid'

# create symlink on Debian legacy location to official RFC path
SNMPDCOMPAT=yes

#7 Updated by Joël Cuissinat almost 10 years ago

  • Project changed from Amon to eole-snmpd

#8 Updated by Joël Cuissinat almost 10 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#9 Updated by Joël Cuissinat almost 10 years ago

  • Assigned To set to Joël Cuissinat
  • Distribution set to EOLE 2.3

#10 Updated by Nicolas ROBIN almost 10 years ago

Bonjour, je me permet une demande d'évolution sur cette proposion :

Serait-il possible d'utiliser nativement le /usr/share/eole/firewall/00_snmpd.fw qui est commenté dans le dictionnaire actuel?
Avec dans /usr/share/eole/firewall/00_snmpd.fw , par exemple :
if %%orl_snmp == 'oui'
allow_dest(interface='eth0', ip='
%orl_adresse_ip_console_snmp', port='161', tcpwrapper="snmpd")
%end if

Et dans le snmpd.conf, restreindre à la console snmp :

[...]
#sec.name source community
#com2sec localnet 195.83.89.0/24 public
#com2sec paranoid default public
%if %%orl_snmp == "oui"
com2sec readonly %%orl_adresse_ip_console_snmp public
%end if
#com2sec readwrite default private
[...]

Peut être donner la possibilité d'avoir plus d'une ip à renseigner?

#11 Updated by Joël Cuissinat almost 10 years ago

  • Status changed from Résolu to Fermé

=> eole-snmpd-2.3-eole4~1

Nb : pour toute nouvelle remarque sur ce paquet, merci d'ouvrir un nouveau signalement ;)

Also available in: Atom PDF