tihis file snmpd.conf
Cómo configurar SNMP.
Autor: Joel Barrios Dueñas
Correo electrónico: jbarrios arroba linuxparatodos punto net
Sitio de Red: http://www.linuxparatodos.net/
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1
© 1999-2006 Linux Para Todos. Algunos Derechos Reservados 2007 Factor
Evolución SA de CV. Usted es libre de copiar, distribuir y comunicar
públicamente la obra y hacer obras derivadas bajo las condiciones siguientes:
a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra
para fines comerciales. c) Si altera o transforma esta obra, o genera una obra
derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a
ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los
términos de la licencia de esta obra. Alguna de estas condiciones puede no
aplicarse si se obtiene el permiso del titular de los derechos de autor. Los
derechos derivados de usos legÃtimos u otras limitaciones no se ven afectados
por lo anterior. Licencia completa en castellano. La información contenida en
este documento y los derivados de éste se proporcionan tal cual son y los
autores no asumirán responsabilidad alguna si el usuario o lector hace
mal uso de éstos.
Introducción.
SNMP (Simple Network Management Protocol) es un protocolo ampliamente utilizado
en la administración de redes para supervisar la salud y el bienestar del
equipo de la red, equipo de computo y otros dispositivos. Net-SNMP, el software
utilizado en este documento, es un conjunto de aplicaciones utilizados para
implementar SNMP v1, SNMP v2c y SNMP v3 utilizando IPv4 y/o IPv6.
Software requerido.
* net-snmp-5.0.9
* net-snmp-utils-5.0.9
Snmpd es un servicio que regularmente se instala de modo predefinido en la
mayorÃa de las distribuciones, aunque no está habilitado en los servicios de
arranque del sistema. El paquete net-snmp-utils no suele instalarse de modo
predefinido, por tanto se puede ejecutar lo siguiente para realizar la
instalación del software necesario:
Sistemas que utilicen yum:
yum -y install net-snmp net-snmp-utils
Sistemas que utilicen up2date:
up2date -i net-snmp net-snmp-utils
Procedimientos
Fichero de configuración.
El fichero /etc/snmp/snmpd.conf que se instala por defecto es una verdadera
maraña de comentarios y opciones de todo tipo. Lo más recomendable será
cerrar un fichero nuevo y limpio de contenido.
cd /etc/snmp
mv snmpd.conf snmpd.conf-OLD
touch snmpd.conf
Listas de control de acceso.
Se deben crear las listas de control de acceso (ACL) correspondientes en el
fichero /etc/snmp/snmpd.conf y que servirán para definir quien tendrá acceso
hacia el servicio snmpd. A una de estas listas se le otorgará permiso de
acceso de lectura y escritura para lo que sea necesario y a la otra de solo
lectura. Por razones de seguridad solo la interfaz 127.0.0.1 será la de
lectura escritura. Se otorgará permiso de acceso de solo lectura a una red o
bien a una IP en la otra lista de control de acceso (ACL).
De modo tal se podrÃan agregar un par de lÃneas como las siguientes:
com2sec local 127.0.0.1/32 Cl4v3-d3-Acc3s0
com2sec miredlocal 192.168.1.0/24 Cl4v3-d3-Acc3s0
En lo anterior la primera lÃnea significa que habrá una lista de control de
acceso denominada «local» y que corresponderá solo a 127.0.0.1/32, asignando
Cl4v3-d3-Acc3s0 como clave de acceso. La segunda lÃnea hace lo mismo pero
definiendo a la red 192.168.1.0/24. Se puede definir lo que uno guste mientras
no sea la clave de root, esto porque dicha clave se transmite a través de la
red en forma de texto simple (es decir, sin cifrar).
Definición de grupos.
Se van a crear dos grupos: MyRWGroup y MyROGroup. El primero será un grupo al
que se asignarán más adelante permisos de lectura escritura y el segundo
será un grupo al que posteriormente se asignarán permisos de solo lectura.
Por cada grupo se asignan tres lÃneas que especifican el tipo de acceso que se
permitirá en un momento dado a un grupo en particular. Es decir, MyRWGroup se
asocia a local y MyROGroup a miredlocal.
#Se asigna local al grupo de lectura escritura
group MyRWGroup v1 local
group MyRWGroup v2c local
group MyRWGroup usm local
#Se asigna miredlocal al grupo de solo lectura
group MyROGroup v1 miredlocal
group MyROGroup v2c miredlocal
group MyROGroup usm miredlocal
Ramas permitidas.
Se especifican las ramas que se van a permitir ver a través del servicio. Lo
más común, para, por ejemplo, utilizarse con MRTG, es lo siguiente:
## name incl/excl subtree mask(optional)
view all included .1 80
Asignación de permisos a los grupos.
Se debe especificar que permisos tendrán los dos grupos, MyROGroup y
MyRWGroup. Son de especial interés las últimas columnas.
## group context sec.model sec.level prefix read write notif
access MyROGroup "" any noauth exact all none none
access MyRWGroup "" any noauth exact all all all
Parámetros de carácter informativo.
Se definen dos parámetros de carácter informativo para que cuando utilicen
aplicaciones cliente como MRTG se incluya algo de información acerca de que
sistema se está accediendo.
syslocation Servidor Linux en SU-SERVIDOR.algun-dominio.net
syscontact Administrador ([EMAIL PROTECTED])
Un ejemplo real.
El ejemplo que mostramos a continuación se utiliza en todas las PC que posee
el autor en casa y la oficina. Solo bastará reemplazar redlocal por lo que uno
considere apropiado y reemplazar 192.168.1.0/24 por la red o la IP desde donde
se requiera acceder con un cliente snmp, como MRTG.
# Listas de control de acceso (ACL)
## sec.name source community (alias clave de acceso)
com2sec local 127.0.0.1/32 Cl4v3-d3-Acc3s0
com2sec miredlocal 192.168.1.0/24 Cl4v3-d3-Acc3s0
#Se asigna ACL al grupo de lectura escritura
group MyRWGroup v1 local
group MyRWGroup v2c local
group MyRWGroup usm local
#Se asigna ACL al grupo de solo lectura
group MyROGroup v1 miredlocal
[quote="elmerfud"]is your snmp daemon bound only to the loop back interface or,
is it configured to only accept connections from the local host?
Those are my guesses.[/quo
-------------------- m2f --------------------
Read this topic online here:
http://forums.zenoss.com/viewtopic.php?p=25423#25423
-------------------- m2f --------------------
_______________________________________________
zenoss-users mailing list
[email protected]
http://lists.zenoss.org/mailman/listinfo/zenoss-users
