Evolution #1788
service snmpd
Description
par défaut le démon snmpd écoute sur son adresse locale 127.0.0.1 , ce qui empeche une utilisation du snmp par les tunnels.
Il est necessaire de supprimer cette adresse locale pour avoir un fonctionnement à travers les tunnels vpn.
/etc/default/snmpd
- This file controls the activity of snmpd and snmptrapd
- MIB directories. /usr/share/snmp/mibs is the default, but
- including it here avoids some strange problems.
export MIBDIRS=/usr/share/snmp/mibs
- snmpd control (yes means start daemon).
SNMPDRUN=yes
- snmpd options (use syslog, close stdin/out/err).
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid'
- snmptrapd control (yes means start daemon). As of net-snmp version
- 5.0, master agentx support must be enabled in snmpd before snmptrapd
- can be run. See snmpd.conf(5) for how to do this.
TRAPDRUN=no
- snmptrapd options (use syslog).
TRAPDOPTS='-Lsd -p /var/run/snmptrapd.pid'
Related issues
Associated revisions
Intégration des templates et dicos pour eole-snmpd (fixes #1788)
- dicos/20_snmpd.xml : ajout de la variable snmp_allow_ip (famille Snmpd)
- tmpl/snmpd.conf : utilisation de la variable %%snmp_allow_ip
- tmpl/00_snmpd.fw : ajout des règles de pare-feu
Fix unit tests re-run; fixes #1788
Fix SoftwareLicense tests; make them runnable twice; refs #1788
Fix unit tests re-run; fixes #1788
History
#1 Updated by Emmanuel GARETTE over 12 years ago
Nous n'utilisons pas le démon snmpd sur Amon (2.2 ou 2.3). Il n'est d'ailleurs pas installé.
Pourriez-vous préciser mieux la demande ? Ou vérifier si ce paquet n'est pas une adaption local.
#2 Updated by Thierry Chich over 12 years ago
Nous utilisons le snmpd pour faire de la surveillance des amons via cacti. Cela nous permet de vérifeir lees débist utilisés, mais saussi certains paramètres systèmes, l'utilisation du proxy, etc.
Plusieurs choses empèchent son utilisation facile:
1) le snmpd n'est installé par défaut
2) il écoute sur le port 127.0.0.1 quand on fait l'installation ubuntu (comme précisé par cédric)
3) il faut ajouter l'autorisation dans le /etc/hosts.allow
4) il faut reconfigurer le /etc/snmp/snmpd.conf de telle manière à ca qu'on puisse avoir à autre chose que la mib2.system
5) il faut faire des règles pour que ça passe dans le tunnel
Au total, nous arrivons à tout gérer en plaçant des choses et d'autres en tant que fichiers personnalisés, mais ce n'est pas optimal.
#3 Updated by Emmanuel GARETTE over 12 years ago
- Status changed from Nouveau to Pas un bug
3) il faut ajouter l'autorisation dans le /etc/hosts.allow
Si c'est sur EOLE 2.3, nous gérons le fichier avec eole-firewall. Il est nécessaire, dans ce cas, d'ajouter un fichier .fw.
Sinon il faut utiliser des templates+dicos et patch à EOLE pour personnaliser le serveur.
#4 Updated by Joël Cuissinat about 12 years ago
- Status changed from Pas un bug to Accepté
- Target version set to Mises à jour 2.3 - 02 RC
- Estimated time set to 1.00 h
=> proposer une configuration pour 2.3 ;)
#5 Updated by Joël Cuissinat almost 12 years ago
- Target version changed from Mises à jour 2.3 - 02 RC to Mises à jour 2.3 - 03 RC
#6 Updated by Thierry Chich almost 12 years ago
Voici une proposition relativement minimale, mais avec quand même le proxy qui permet
d'interroger la mib de squid.
/etc/snmpd.conf
com2sec readonly default public group MyROGroup v1 readonly group MyROGroup v2c readonly group MyROGroup usm readonly view all included .1 80 access MyROGroup "" any noauth exact all none none proxy -v 2c -c public 127.0.0.1:3401 .1.3.6.1.4.1.3495
/etc/default/snmp
This file controls the activity of snmpd and snmptrapd # MIB directories. /usr/share/snmp/mibs is the default, but # including it here avoids some strange problems. export MIBDIRS=/usr/share/snmp/mibs # snmpd control (yes means start daemon). SNMPDRUN=yes # snmpd options (use syslog, close stdin/out/err). SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid' # snmptrapd control (yes means start daemon). As of net-snmp version # 5.0, master agentx support must be enabled in snmpd before snmptrapd # can be run. See snmpd.conf(5) for how to do this. TRAPDRUN=no # snmptrapd options (use syslog). TRAPDOPTS='-Lsd -p /var/run/snmptrapd.pid' # create symlink on Debian legacy location to official RFC path SNMPDCOMPAT=yes
#7 Updated by Joël Cuissinat almost 12 years ago
- Project changed from Amon to eole-snmpd
#8 Updated by Joël Cuissinat almost 12 years ago
- Status changed from Accepté to Résolu
- % Done changed from 0 to 100
Appliqué par commit 2c918bc71a3df6d017ae8090e5a43d2608cb6731.
#9 Updated by Joël Cuissinat almost 12 years ago
- Assigned To set to Joël Cuissinat
- Distribution set to EOLE 2.3
#10 Updated by Nicolas ROBIN almost 12 years ago
Bonjour, je me permet une demande d'évolution sur cette proposion :
Serait-il possible d'utiliser nativement le /usr/share/eole/firewall/00_snmpd.fw qui est commenté dans le dictionnaire actuel?
Avec dans /usr/share/eole/firewall/00_snmpd.fw , par exemple :
if %%orl_snmp == 'oui'
allow_dest(interface='eth0', ip='%orl_adresse_ip_console_snmp', port='161', tcpwrapper="snmpd")
%end if
Et dans le snmpd.conf, restreindre à la console snmp :
[...]
#sec.name source community
#com2sec localnet 195.83.89.0/24 public
#com2sec paranoid default public
%if %%orl_snmp == "oui"
com2sec readonly %%orl_adresse_ip_console_snmp public
%end if
#com2sec readwrite default private
[...]
Peut être donner la possibilité d'avoir plus d'une ip à renseigner?
#11 Updated by Joël Cuissinat almost 12 years ago
- Status changed from Résolu to Fermé
=> eole-snmpd-2.3-eole4~1
Nb : pour toute nouvelle remarque sur ce paquet, merci d'ouvrir un nouveau signalement ;)