個人用ツール

Pandora:Documentation ja:Anexo Configurando SSHyFTP

提供: Pandora FMS Wiki JP

移動先: 案内, 検索

Pandora FMS ドキュメント一覧に戻る

Pandora FMS へのデータ取り込みのための SSH 設定

暗号化 SSH サーバ

Pandora FMS uses, among others, sftp/ssh2 (scp), to copy data files from the agents to the server. Due to this, you will need at least one data server with a SSH2 server that listen the «pandora» user. This could be an important risk for a network that needs to bee strictelly securized. Open SSH2 is very secure, but regarding Computer Security, there is nothing that is absolutely secure, so you should take measures in order to make it «more» secure.

Pandora FMS は、エージェントからサーバへデータをコピーするのに、sftp/ssh2 (scp) を利用することができます。そのためには、少なくとも一つの SSH2 を起動したデータサーバが必要です。厳しいセキュリティのネットワークでは、重要なリスクになるかもしれません。OpenSSH2 はとてもセキュアですが、物理的に切り離す以上のセキュリティにはなりません。よりセキュアにするためには、検討する必要があります。

To use SSH, it is recommended to use scponly, an small tool that forbidden that the remote start sessions use SSH for specific uses.This way it is possible to forbid access through SSH for «pandora» users and allow only sftp/s in this system.

SSH を利用するには、scponly を利用することをお勧めします。これは、特定のユーザでリモートからの SSH セッションを拒否するツールです。これにより、pandora ユーザでの SSH アクセスを拒否し、sftp/s のみを利用できるようにします。

Scponlyとは?

Scponly is an alternative 'shell' for system administrators that want to give access to remote users to read and write files without giving any remote privilege for execution. It could be also described as an intermediate system between the system and the SSH system applications.

Scponly は、リモートユーザがコマンド実行権限を付与せずに、ファイルの読み書きのみをできるようにするための代替えシェルです。これは、システムと SSH アプリケーションの中間に位置するものと考えることができます。

A typical use of Scponly is to create a semi-public account that is not similar to the concept of anonymous session start for FTP. This allows that an administrator could share files in the same way that a FTP would do it, but it should use all the protection that SSH gives. This is specially relevant if you consider that the FTP authentications cross public networks in a flat text format.

Scponly の標準的な利用には、anonymous ftp のように準公開アカウントを作成します。これにより、FTP のようにファイルを共有することができます。それでありながら、SSH のような保護が可能です。FTP の認証でネットワーク越しにプレーンテキストが流れるという点と異なります。

Using scponly to securize the «pandora» user is very easy:

scponly を使うと、pandora ユーザをセキュアにするのがとても簡単です。

Install scponly (for systems based on Debian):

scponly を次のようにインストールします。(Debian の場合)

 	apt-get install scponly 

Or use yum install scponly with suitable repositories, or install manually with rpm -i scponly.

もしくは、リポジトリから yum install scponly でインストールするか、手動で rpm -i scponly を実行してインストールします。

Replace the shell of «pandora» user for scponly:

pandora ユーザのシェルを scponly に置き換えます。

 	usermod -s /usr/bin/scponly pandora

It is done. With this, you could use the «pandora» user to copy files with scp, but you will not have access to the server with the «pandora» user.

以上で完了です。これにより pandora ユーザは scp でファイルをコピーできますが、サーバにログインできないようにすることができます。

More information at [1].

より詳細は、[2] を参照ください。

FTP サーバ (proftpd) のセキュリティ強化

From its version 1.3,Pandora FMS also support all the platforms of its agent, the FTP usage to transfer XML data files. For all of this, you will need, at least, a dataserver with a FTP server ready for the «pandora» user. This could be an important risk in a network that needs to be strictly securized.

バージョン 1.3 から Pandora FMS はすべてのプラットホームのエージェントで XML データファイルの転送に FTP の利用をサポートしています。これを利用するには、データサーバで pandora ユーザでアクセスできる FTP サーバを用意する必要があります。これは、セキュアなネットワークでは、リスクになる可能性があります。

These small recommendations to do a secure FTP, are for the demon proftpd, a FTP server sofware with GPL license highly configurable, that includes several options to limit the access.

セキュアな FTP サーバを用意するには、GPL の FTP サーバソフトウエアである proftpd の利用をお勧めします。アクセスを制限するためのいくつかのオプションがあります。

It is recommended to configure these parameters in proftpd.conf

以下のようなパラメータを proftpd.conf に設定することをお勧めします。

 Umask                 077  077
 MaxInstances	        30
 DefaultRoot /var/spool/pandora/data_in pandora

The DefaultRoot directive uses pandora as group, so you should create the «pandora» group that would include the «pandora» user.

DefaultRoot ディレクティブで、グループに pandora を利用しているので、pandora ユーザを所属させる pandora グループを作成する必要があります。

Other file that controls the access at user level is /etc/ftpusers.This file contains all users that have not permission to connect with this server.

ほかには、ユーザ単位のアクセスを制御する /etc/ftpusers というファイルがあります。このファイルには、サーバに接続できない全ユーザが書かれています。

   [root@myserver]# cat /etc/ftpusers

   root
   bin
   daemon
   adm
   lp
   sync
   shutdown
   halt
   mail
   news
   uucp
   operator
   games
   guest
   anonymous
   nobody

Try to start session with «pandora» user in the FTP and to access to other different directories from /var/spool/pandora/data_in(this should be the only visible directory for this user under the alias).

pandora ユーザで FTP 接続を行い、/var/spool/pandora/data_in とは違うディレクトリ (ユーザからはこのディレクトリのみが見えるはずです) にアクセスできるか試してみてください。

Vsftpd でのセキュリティ強化

Vsftpd has different parameters to securize a FTP account, but this could come into conflict with scponly. It is recommended to implement some changes to reinforce the security in the «pandora» account, to could use the FTP and SSH transfer systems in a simultaneous way:

Vsftpd は、FTP のセキュリティ強化をするための設定があります。しかし、これは、'scponly と競合します。同時に FTP および SSH を使えるようにするために、pandora アカウントでセキュリティを強化するにはいくつかの変更を行う必要があります。

  1. Change the home directory of «pandora» user by /var/spool/pandora/data_in
  2. pandora ユーザの ホーム ディレクトリを /var/spool/pandora/data_in に変更します。
  3. Keep scponly as shell by default.
  4. デフォルトのシェルを scponly のままにします。
  5. Copy or move the directory /home/pandora/.ssh to /var/spool/pandora/data_in.Do not forget to check the the directory /.ssh has the «pandora» use as owner and that it has the right permissions.
  6. /home/pandora/.ssh ディレクトリを、/var/spool/pandora/data_in にコピーもしくは移動します。/.ssh ディレクトリのオーナーが pandora ユーザで正しいパーミッションになっていることを確認してください。
  7. Modify the vsftpd configuration file: /etc/vsftpd.conf and add the following parameters:
  8. vsftpd の設定ファイル /etc/vsftpd.conf を修正し、以下の設定を加えます。
check_shell=NO
dirlist_enable=NO
download_enable=NO
deny_file=authorized_keys
deny_file=.ssh
chroot_local_user=YES

This configuration fix the home directory of «pandora» user as /var/spool/pandora/data_in, and does not allow to the «pandora» user to connect remotely to establish an interactive command session. It also allows FTP transfers with the same user, «pandora», to send &mdash files; but only allows to have access to the &mdash data entry directory; and does not allow neither to have access to other directories nor list the content of any file.

この修正で、pandora ユーザのホームディレクトリを /var/spool/pandora/data_in とし、pandora ユーザにリモートからシェルログインを許可しないようになります。また、同じ pandora ユーザで FTP 転送も許可します。しかし、データを受け取るディレクトリにのみアクセス可能で、他のファイルがあるディレクトリにはアクセスできません。