個人用ツール

Pandora:Documentation ja:Anexo Configurando SSHyFTP

提供: Pandora FMS Wiki JP

移動先: 案内, 検索

Pandora FMS ドキュメント一覧に戻る

Pandora FMS へのデータ取り込みのための SSH 設定

Sometimes it is not possible to use the standard transfer method in Pandora FMS (Tentacle) because one might be using a Unix system that does not have Perl (as in ESX systems for example) and that would mean using the old shellscript agent. When this happens, the options are to use FTP or SSH to transfer the file.

Pandora FMS で標準の転送方法(tentacle)を使用できない場合があります。これは、Perl が無い Unix システム(ESX システムなど)を使用している場合で、古いシェルスクリプトのエージェントを使用する場合です。 この場合は、FTP または SSH を使用してファイルを転送することができます。

Pandora FMS can use the SSH protocol to copy XML data packages, generated by the agents, to the server. To configure it, follow these steps:

Pandora FMS は、SSH プロトコルを使用して、エージェントによって生成された XML データパッケージをサーバにコピーできます。 設定するには、次の手順を実行します。

Step 1. Create a "pandora" user in the host where your Pandora FMS server is installed, which will receive the data through SSH. If you already have Pandora FMS server installed, then this user must have already been created. Set a strong password for this user with the command:

ステップ 1. Pandora FMS サーバがインストールされているホストに "pandora" ユーザを作成します。このユーザーは SSH を介してデータを受信します。 Pandora FMS サーバがすでにインストールされている場合は、このユーザはすでに作成済です。 次のコマンドを使用して、このユーザに強力なパスワードを設定します。

 passwd pandora

Step 2. Once within the server, create the /home/pandora/.ssh directory with permissions 750 and user pandora:root

ステップ 2. サーバ内で、パーミッション 750 およびユーザ pandora:root で/home/pandora/.ssh ディレクトリを作成します。

Step 3. In each system where you have an agent that must use SSH, create a pair of keys. To do so, execute the following command with the user that will be used to execute the Pandora FMS agent:

ステップ 3. SSH を使用する必要があるエージェントの各システムで、キーのペアを作成します。 これを行うには、Pandora FMS エージェントの実行に使用されるユーザで次のコマンドを実行します。

# ssh-keygen 

A few questions will be shown, you can answer by simply pressing Enter. A public/private key for this user will be created in the system. Now, copy it to the target system, the Pandora FMS server where data must be sent to.

いくつかの質問が表示されます。Enter キーを押すだけで回答できます。 このユーザの公開/秘密鍵がシステムに作成されます。 次に、データの送信先である Pandora FMS サーバであるターゲットシステムにコピーします。

Step 4. Copy the public key to the Pandora FMS server. There are two ways to copy the created public key:

ステップ 4. 公開鍵を Pandora FMS サーバにコピーします。 作成された公開鍵をコピーするには、2つの方法があります。

Manually, copying the content of the public key file from the system where the agent is, to the remote key file in Pandora FMS server, located at /home/pandora/.ssh/authorized_keys (that should have ownership pandora:root and permissions 600).

手動で、公開鍵ファイルのコンテンツを、エージェントが存在するシステムから、Pandora FMS サーバの /home/pandora/.ssh/authorized_keys (pandora:root でパーミッションが 600 である必要があります) にコピーします。

The public key file, generated in the system where the agent is, is /root/.ssh/id_rsa.pub. This file will contain something similar to this:

エージェントがあるシステムで生成される公開鍵ファイルは、/root/.ssh/id_rsa.pub です。 このファイルには次のようなものが含まれます。

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzqyZwhAge5LvRgC8uSm3tWaFV9O6fHQek7PjxmbBUxTWfvNbbswbFsF0esD3COavziQAUl3rP8DC28vtdWHFRHq+RS8fmJbU/VpFpN597hGeLPCbDzr2WlMvctZwia7pP4tX9tJI7oyCvDxZ7ubUUi/bvY7tfgi7b1hJHYyWPa8ik3kGhPbcffbEX/PaWbZ6TM8aOxwcHSi/4mtjCdowRwdOJ4dQPkZp+aok3Wubm5dlZCNLOZJzd9+9haGtqNoAY/hkgSe2BKs+IcrOAf6A16yiOZE/GXuk2zsaQv1iL28rOxvJuY7S4/JUvAxySI7V6ySJSljg5iDesuWoRSRdGw== root@dragoon

Automatically using the following command:

自動で行うには次のコマンドを実行します。

ssh-copy-id pandora@server_ip

It will ask the password of the "pandora" user server, and once this has been confirmed, it will show a message like this one:

"pandora" ユーザのパスワードを要求します。これが確認されると、次のようなメッセージが表示されます。

Now try logging into the machine, with "ssh 'pandora@server_ip'", and check in:
  .ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.

Do this test to verify that the automatic connection to the Pandora FMS server with the "pandora" user from the agent's machine with root user is possible. If that does not work, the agent will not be able to send data through SSH.

エージェントのマシンから root ユーザで、Pandora FMS サーバの "pandora" ユーザへ自動接続が可能であることを確認します。それが機能しないと、エージェントは SSH を介してデータを送信できません。

This method will be used by agents to copy data to the /var/spool/pandora/data_in Pandora FMS server directory.

この方法が、エージェントからデータを Pandora FMS サーバの /var/spool/pandora/data_in にコピーするのに使われます。

Make sure that the directory /var/spool/pandora/data_in directory already exists and that the user «pandora» has writing permissions, otherwise it will not work.

/var/spool/pandora/data_in ディレクトリがすでに存在し、ユーザ «pandora» に書き込み権限があることを確認してください。そうでない場合は機能しません。

Finally, modify the agent configuration to specify the copy method as ssh and not tentacle. This should be modified in the /etc/pandora/pandora_agent.conf file and in the transfer_mode configuration token.

最後に、エージェント設定を変更して、コピー方法を tentacle ではなく ssh に設定します。 これは /etc/pandora/pandora_agent.confファイルの transfer_mode 設定トークンで行います。

SSH サーバのセキュリティ強化

Pandora FMS uses sftp/ssh2 (scp), among others, to copy data files from agents to the server. Due to this, you will need at least one data server with a SSH2 server that listens to the «pandora» user. This could be an important risk for a network that needs to be strictly securized. Open SSH2 is highly safe, but regarding Computer Security, there is nothing that is absolutely safe, so take measures in order to make it "safer".

Pandora FMS は、特に sftp/ssh2(scp) を使用して、エージェントからサーバにデータファイルをコピーします。 このため、«pandora» ユーザを待ち受ける SSH2 サーバを備えた少なくとも 1つのデータサーバが必要です。 これは、厳密にセキュリティ保護する必要があるネットワークにとって重大なリスクになる可能性があります。 Open SSH2 は 非常に 安全ですが、コンピュータのセキュリティに関しては、絶対に安全なものはないため、"より安全" にするための対策を講じてください。

If is equally possible to ban access through SSH to certain users, as well as setting restrictions to access through FTP.

FTP を介したアクセスに制限を設定するのと同じように、SSH を介した特定のユーザのアクセスを禁止することも可能です。

To proceed, modify the "pandora" user. This user must have password. Its login shell will be changed to restrict access by SSH to the user, its directory home, to avoid access to other folders:

それを行うするには、"pandora" ユーザの設定を変更します。 このユーザにはパスワードが必要です。 他のフォルダーへのアクセスを回避するために、ログインシェルを変更しホームディレクトリを変更します。

usermod -s /sbin/nologin -d /var/spool/pandora/data_in_pandora

Info.png

In Debian systems, the shell route is /usr/sbin/nologin.


Info.png

Debian システムでは、シェルは /usr/sbin/nologin です。


With these user changes, it will not be possible to login through SSH.

ユーザ設定を変更すると、SSH でのログインができなくなります。

FTP にてサーバがデータを受け取る設定

Client configuration to send data through FTP allows to specify the user and password that will be sent. So it becomes quite easy to implement the copy through FTP instead of Tentacle.

FTP 経由でデータを送信するクライアント設定は、送信するユーザとパスワードの指定で可能です。tentacle の代わりに FTP を介してコピーを実装するのは非常に簡単です。

Besides configuring the Pandora FMS agents for sending data by means of FTP, set a FTP server in Pandora FMS server, fix a password for the user "pandora" (that will be the one to use in the Pandora FMS agents) and grant writing access to the "pandora" user to the /var/spool/pandora/data_in directory and to lower ones.

FTP を使用してデータを送信するように Pandora FMS エージェントを設定するほか、Pandora FMS サーバに FTP サーバを設定し、ユーザ "pandora" (Pandora FMS エージェントで使用する)のパスワードを修正し、"pandora" ユーザに /var/spool/pandora/data_in 以下hえの書き込みアクセスを許可します。

This implies configuring the FTP server to tailor it to these needs. Therefore, vsFTPd is used throughout this guide.

ニーズに合わせて FTP サーバを設定します。このガイドでは vsftpd を使用します。

Vsftpd でのセキュリティ強化

The cons about using FTP instead of Tentacle is that sending data through FTP is not as safe, since having an FTP running on Pandora FMS server makes it more vulnerable to FTP system design inherent failures. The following sections describe how to provide a server safety minimum.

Tentacle の代わりに FTP を使用することの短所は、FTP を介したデータ送信は安全ではないため、Pandora FMS サーバで FTP サーバを実行することが脆弱になります。 以下のセクションでは、サーバーの安全性を最小限にする方法について説明します。

Therefore, and similar to how the login through SSH for pandora user was disabled for safety reasons, a safe access method through FTP must be set.A simple and safe method is creating a PAM rule for vsftpd. Therefore create a /etc/pam.d/ftp file that contains the following:

安全上の理由で "pandora" ユーザの SSH 経由のログインを無効にするのと同様に、FTP 経由の安全なアクセス方法を設定する必要があります。簡単で安全な方法は、vsftpd の PAM ルールを作成することです。 次の内容の /etc/pam.d/ftp ファイルを作成します。

auth    required        pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# Standard pam includes
@include common-account
@include common-session
@include common-auth
auth    required    pam_succeed_if.so quiet user ingroup pandora
auth    required    pam_succeed_if.so quiet shell = /sbin/nologin

Info.png

In Debian systems, the shell path is /usr/sbin/nologin.


Info.png

Debian システムでは、シェルのパスは /usr/sbin/nologin です。


Look for the pam_service_name token in the vsftpd (/etc/vsftpd.conf) configuration file and type in the name of the created file:

vsftpd の設定ファイル(/etc/vsftpd.conf) で、pam_service_name トークンを探し、作成したファイル名を入力します。

pam_service_name=ftp

With this configuration, only users that belong to the pandora group and have nologin as associated shell will be able to access Pandora FMS though FTP. As a result, the group «pandora» including «pandora» user must be created, if it does not exist yet.

この設定により、pandora グループに属し、nologin のシェルを持つユーザのみが FTP 経由でPandora FMS にアクセスできます。 そのため、«pandora» ユーザを含むグループ «pandora» を作成する必要があります(存在しない場合)。

Just by adjusting a couple of things in the /etc/vsftpd.conf file, access to users that login through FTP to their direct root can be restricted. The parameters are the following:

/etc/vsftpd.conf ファイルにて、いくつかの設定を調整するだけで、FTP 経由でログインするユーザの root へのアクセスを制限できます。 パラメータは次のとおりです。

chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.nochroot_list

In case it needs to exclude some user and avoid restricting it to its Chroot, just include said user in the vsftpd.nochroot_list file (one user per line).

一部のユーザを除外し、Chroot に制限することを避ける必要がある場合は、vsftpd.nochroot_list ファイルにそのユーザを含めます(1行に1ユーザー)。

Other options for higher security are these:

セキュリティを強化するための他のオプションは次のとおりです。

dirlist_enable=NO
download_enable=NO
deny_file=authorized_keys
deny_file=.ssh
chroot_local_user=YES


Info.png

Remember restarting the vsftpd service after modifying the configuration file so that they become effective.


Info.png

設定を変更した際は、それを反映するために vsftpd サービスを再起動する必要があります。


With these settings, the user will be limited to its root directory (/var/spool/pandora/data_in for «pandora» user specifically). The user can carry out FTP transferences to send files but not list files.

これらの設定により、ユーザはそのルートディレクトリ («pandora» ユーザの場合は /var/spool/pandora/data_in に限定されます)。 ユーザは FTP 転送を実行してファイルを送信できますが、ファイルの一覧は見ることができません。

Try logging in with the user «pandora» in FTP, change directory and list files, if you cannot, the setup has been successful.

FTP でユーザ «pandora» を使用してログインし、ディレクトリの移動とファイル一覧の取得を試してみてください。できない場合は、正しくセットアップができています。

(OBSOLETE)

暗号化 SSH サーバ

Pandora FMS uses, among others, sftp/ssh2 (scp), to copy data files from the agents to the server. Due to this, you will need at least one data server with a SSH2 server that listen the «pandora» user. This could be an important risk for a network that needs to bee strictelly securized. Open SSH2 is very secure, but regarding Computer Security, there is nothing that is absolutely secure, so you should take measures in order to make it «more» secure.

Pandora FMS は、エージェントからサーバへデータをコピーするのに、sftp/ssh2 (scp) を利用することができます。そのためには、少なくとも一つの SSH2 を起動したデータサーバが必要です。厳しいセキュリティのネットワークでは、重要なリスクになるかもしれません。OpenSSH2 はとてもセキュアですが、物理的に切り離す以上のセキュリティにはなりません。よりセキュアにするためには、検討する必要があります。

To use SSH, it is recommended to use scponly, an small tool that forbidden that the remote start sessions use SSH for specific uses.This way it is possible to forbid access through SSH for «pandora» users and allow only sftp/s in this system.

SSH を利用するには、scponly を利用することをお勧めします。これは、特定のユーザでリモートからの SSH セッションを拒否するツールです。これにより、pandora ユーザでの SSH アクセスを拒否し、sftp/s のみを利用できるようにします。

Scponlyとは?

Scponly is an alternative 'shell' for system administrators that want to give access to remote users to read and write files without giving any remote privilege for execution. It could be also described as an intermediate system between the system and the SSH system applications.

Scponly は、リモートユーザがコマンド実行権限を付与せずに、ファイルの読み書きのみをできるようにするための代替えシェルです。これは、システムと SSH アプリケーションの中間に位置するものと考えることができます。

A typical use of Scponly is to create a semi-public account that is not similar to the concept of anonymous session start for FTP. This allows that an administrator could share files in the same way that a FTP would do it, but it should use all the protection that SSH gives. This is specially relevant if you consider that the FTP authentications cross public networks in a flat text format.

Scponly の標準的な利用には、anonymous ftp のように準公開アカウントを作成します。これにより、FTP のようにファイルを共有することができます。それでありながら、SSH のような保護が可能です。FTP の認証でネットワーク越しにプレーンテキストが流れるという点と異なります。

Using scponly to securize the «pandora» user is very easy:

scponly を使うと、pandora ユーザをセキュアにするのがとても簡単です。

Install scponly (for systems based on Debian):

scponly を次のようにインストールします。(Debian の場合)

 	apt-get install scponly 

Or use yum install scponly with suitable repositories, or install manually with rpm -i scponly.

もしくは、リポジトリから yum install scponly でインストールするか、手動で rpm -i scponly を実行してインストールします。

Replace the shell of «pandora» user for scponly:

pandora ユーザのシェルを scponly に置き換えます。

 	usermod -s /usr/bin/scponly pandora

It is done. With this, you could use the «pandora» user to copy files with scp, but you will not have access to the server with the «pandora» user.

以上で完了です。これにより pandora ユーザは scp でファイルをコピーできますが、サーバにログインできないようにすることができます。

More information at [1].

より詳細は、[2] を参照ください。

FTP サーバ (proftpd) のセキュリティ強化

From its version 1.3,Pandora FMS also support all the platforms of its agent, the FTP usage to transfer XML data files. For all of this, you will need, at least, a dataserver with a FTP server ready for the «pandora» user. This could be an important risk in a network that needs to be strictly securized.

バージョン 1.3 から Pandora FMS はすべてのプラットホームのエージェントで XML データファイルの転送に FTP の利用をサポートしています。これを利用するには、データサーバで pandora ユーザでアクセスできる FTP サーバを用意する必要があります。これは、セキュアなネットワークでは、リスクになる可能性があります。

These small recommendations to do a secure FTP, are for the demon proftpd, a FTP server sofware with GPL license highly configurable, that includes several options to limit the access.

セキュアな FTP サーバを用意するには、GPL の FTP サーバソフトウエアである proftpd の利用をお勧めします。アクセスを制限するためのいくつかのオプションがあります。

It is recommended to configure these parameters in proftpd.conf

以下のようなパラメータを proftpd.conf に設定することをお勧めします。

 Umask                 077  077
 MaxInstances	        30
 DefaultRoot /var/spool/pandora/data_in pandora

The DefaultRoot directive uses pandora as group, so you should create the «pandora» group that would include the «pandora» user.

DefaultRoot ディレクティブで、グループに pandora を利用しているので、pandora ユーザを所属させる pandora グループを作成する必要があります。

Other file that controls the access at user level is /etc/ftpusers.This file contains all users that have not permission to connect with this server.

ほかには、ユーザ単位のアクセスを制御する /etc/ftpusers というファイルがあります。このファイルには、サーバに接続できない全ユーザが書かれています。

   [root@myserver]# cat /etc/ftpusers

   root
   bin
   daemon
   adm
   lp
   sync
   shutdown
   halt
   mail
   news
   uucp
   operator
   games
   guest
   anonymous
   nobody

Try to start session with «pandora» user in the FTP and to access to other different directories from /var/spool/pandora/data_in(this should be the only visible directory for this user under the alias).

pandora ユーザで FTP 接続を行い、/var/spool/pandora/data_in とは違うディレクトリ (ユーザからはこのディレクトリのみが見えるはずです) にアクセスできるか試してみてください。