มีเหตุผลที่จะใช้ Nagios เพื่อตรวจสอบว่าบริการไม่พร้อมใช้งานหรือไม่?

9

สมมติว่าฉันมีเซิร์ฟเวอร์ที่มีส่วนต่อประสานส่วนตัวและส่วนต่อประสานสาธารณะ สาธารณะอาจมีสิ่งต่าง ๆ เช่นเซิร์ฟเวอร์ HTTP (S) ส่วนตัวอาจมี MySQL และ SSH

เห็นได้ชัดว่า Nagios มีประโยชน์ในการตรวจสอบว่าบริการกำลังทำงานอยู่บนอินเตอร์เฟสที่เกี่ยวข้อง แต่เป็นความคิดที่ดีหรือไม่ที่จะสร้างการตรวจสอบที่ทดสอบอย่างชัดเจนว่าพอร์ต MySQL และ SSH ไม่ได้เปิดอยู่ในส่วนต่อประสานสาธารณะ แนวคิดคือการตรวจจับการกำหนดค่าผิดพลาดโดยไม่ได้ตั้งใจซึ่งเปิดบริการที่ควรเป็นแบบส่วนตัวและแจ้งเตือนอย่างเหมาะสม

ส่วนหนึ่งของฉันมีความคิดที่ว่าสิ่งนี้จะไม่ขยายขนาดอย่างมาก - ลองจินตนาการว่ามีกฎ DROP iptables ตัวอย่างเช่นการตรวจสอบจะต้องรอจนกว่าการตรวจสอบการหมดเวลาเกินกว่าจะเสร็จสมบูรณ์และดำเนินต่อไป แต่การหมดเวลานั้นจะต้องสูงพอที่จะสามารถแยกความแตกต่างของบริการที่ถูกบล็อกจากบริการเปิดที่จมลง

นี่เป็นแนวคิดที่ใช้ได้จริงหรือไม่? Nagios เป็นเครื่องมือที่ใช่หรือไม่? ฉันยังไม่ได้ดูถึงความเป็นไปได้ของการคัดค้านผลจากปลั๊กอินตรวจสอบ TCP แต่ฉันแน่ใจว่ามันเป็นไปได้ ...

firewall  monitoring  nagios  service  private-ip 
smitelli
แหล่งที่มา
2
ฉันเชื่อมานานแล้วว่าDROPไม่ใช่เป้าหมายที่เหมาะสมสำหรับวัตถุประสงค์ดังกล่าวการใช้-j REJECT --reject-with tcp-resetจะช่วยแก้ปัญหานั้นโดยเฉพาะ ให้ฉันเสียงคำถามของคุณเช่นเดียวกับอีกเหตุผลหนึ่งในการใช้งานมากกว่าREJECT DROP
kasperd
4
check_nmap FTW
dmourati

คำตอบ:

11

ใช่แน่นอน หน้าที่ของระบบตรวจสอบคือการทำให้มั่นใจว่าความต้องการทางธุรกิจกำลังได้รับการตอบสนองจากโครงสร้างพื้นฐานด้านไอทีไม่ว่าจะเป็นข้อกำหนดใดก็ตาม

ความรู้สึกของฉันคือว่าไม่มีขีด จำกัด ง่าย ๆ (เช่น 65535) ถึงจำนวนพอร์ตที่คุณกำลังตรวจสอบเพื่อให้แน่ใจว่าพวกเขาไม่ได้เปิดทันทีและวิธีที่ดีที่สุดในการบรรลุการควบคุมนี้คือการควบคุมแหล่งที่แน่นหนาและแข็งแรง การตรวจสอบระบบไฟล์ขั้นสูง (เช่น tripwire) บนเซิร์ฟเวอร์

แต่ถ้ามีพอร์ตบางอย่างที่สำคัญอย่างยิ่งต่อธุรกิจจะไม่ถูกเปิดเผยใช่แล้วโดยทั้งหมดจะทำการตรวจสอบเฉพาะสำหรับสิ่งนั้น คุณอาจต้องการดูnegateปลั๊กอินของNAGIOS ซึ่งมาพร้อมกับการแจกแจงหลักส่วนใหญ่และใช้เพื่อทำสิ่งที่คุณแนะนำ

MadHatter
แหล่งที่มา
3

คุณสามารถรวมการตรวจสอบใด ๆ กับnegateปลั๊กอินเพื่อสลับตรรกะการตรวจสอบ คุณสามารถกำหนด CRIT, WARN, UNKNOWN และ OK ให้เป็นสถานะอื่นได้ ดูเอาท์พุท --help สำหรับข้อมูลเพิ่มเติม

หากคุณกังวลเกี่ยวกับนโยบาย DROP ที่เพิ่มเวลาตรวจสอบคุณสามารถลดระยะหมดเวลา สำหรับการตรวจสอบเช่นนี้คุณอาจไม่จำเป็นต้องตรวจสอบทุก 5 นาทีเช่นกัน เรามีการตรวจสอบที่คล้ายกันซึ่งทำงานทุกชั่วโมง

คี ธ
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.