1、Linux下安装 NET-SNMP使用监控宝监控系统状态1、准备环境1 yum -y install make gcc gcc-c+ gcc-g77 openssl openssl-devel file libtool libtool-libs perl-devel2、编译和安装首先我们需要下载 Net-的源代码,官方地址:选择一个版本,比如 5.7.2,下载的源代码包 net-snmp-5.7.2.tar.gz,也可以直接下载我提供的连接:1 wget -c http:/ tar xzvf net-snmp-5.7.2.tar.gz然后通过 configure来生成编译规则,Shell12c
2、d net-snmp-5.7.2./configure -prefix=/usr/local/snmp -with-mib-modules=ucd-snmp/diskio注意,以上的-with-mib-modules=ucd-snmp/diskio选项,可以让服务器支持磁盘I/O 监控。回车出现下面问题,可以直接回车而不用回答,系统会采用默认信息,其中日志文件默认安装在/var/log/snmpd.log.数据存贮目录默认存放在/var/net-snmp下。default version of-snmp-version(3): 3(在这里版本通常有三种形式:1,2c,3)System Cont
3、act Information (no.where)(配置该设备的联系信息): heaven(也可以是邮箱地址)System Location (Unknown)(该系统设备的地理位置):BEIJING P.R ChinaLocation to write logfile (日志文件位置): /var/log/snmpd.logLocation to Write persistent(数据存储目录): /var/net-snmp接下来,开始编译和安装:Shell1 make & make install到现在为止,我们已经有了可以运行的代理程序,它位于/usr/local/snmp/sbin/
4、snmpd,在启动它之前,我们还要进行一些必要的设置。3、设置安全的验证方式将 SNMP代理程序暴露给网络上的所有主机是很危险的,为了防止其它主机访问你的 SNMP代理程序,我们需要在SNMP 代理程序上加入身份验证机制。SNMP 支持不同的验证机制,这取决于不同的 SNMP协议版本,监控宝目前支持 v2c和 v3两个版本,其中 v2c版本的验证机制比较简单,它基于明文密码和授权IP 来进行身份验证,而 v3版本则通过用户名和密码的加密传输来实现身份验证,我们建议使用 v3,当然,只要按照以下的介绍进行配置,不论是 v2c版本还是v3 版本,都可以保证一定的安全性,你可以根据情况来选择。注意一
5、点,SNMP 协议版本和 SNMP代理程序版本是两回事,刚才说的 v2c和 v3是指 SNMP协议的版本,而 Net-SNMP是用来实现 SNMP协议的程序套件。v2c先来看如何配置 v2c版本的 SNMP代理,我们来创建snmpd的配置文件,默认情况下它是不存在的,我们来创建它,如下:Shell1 vi /usr/local/snmp/share/snmp/snmpd.conf然后我们需要创建一个只读帐号,也就是 read-only community,在snmpd.conf中添加以下内容:rocommunity jiankongbao 60.195.252.107rocommunity j
6、iankongbao 60.195.252.110注意:添加用户时,请确保 snmp服务没有运行,否则无法添加。注意,这里的“rocommunity”表示这是一个只读的访问权限,监控宝只可以从你的服务器上获取信息,而不能对服务器进行任何设置。紧接着的“jiankongbao”相当于密码,很多平台喜欢使用“public”这个默认字符串。这里的“jiankongbao”只是一个例子,你可以设置其它字符串作为密码。最右边的“60.195.252.107,60.195.252.110”代表指定的监控点 IP,这些 IP地址是监控宝专用的监控点,这意味着只有监控宝有权限来访问你的 SNMP代理程序。所以
7、,以上这段配置中,只有“jiankongbao”是需要你进行修改的,同时在监控宝上添加服务器的时候,需要提供这个字符串。v3当然,我们建议您使用 v3版本来进行身份验证。对于一些早期版本的 Linux分发版,其内置的 SNMP代理程序可能并不支持 v3,所以我们建议您按照前边介绍的方法,编译和安装最新的 Net-Snmp。v3支持另一种验证方式,需要创建一个 v3的帐号,我们同样修改以下配置文件(默认情况下它是不存在的,我们来创建它。):Shell1 vi /usr/local/snmp/share/snmp/snmpd.conf然后添加一个只读帐号,rouser jiankongbao au
8、th注意:添加用户时,请确保 snmp服务没有运行,否则无法添加。可以看到,在 v3中,“rouser”用于表示只读帐号类型,随后的“jiankongbao”是指定的用户名,后边的“auth”指明需要验证。接下来,需要先运行一下:Shell1 /usr/local/snmp/sbin/snmpd执行后会生成/var/net-snmp/snmpd.conf 配置文件,再使用命令结束这个进程:Shell1 killall -9 snmpd接着我们还要添加“jiankongbao”这个用户到配置文件中,这就是 v3中的特殊机制,我们打开配置文件:Shell1 vi /var/net-snmp/snm
9、pd.conf这个文件会在 snmpd启动的时候被自动调用,我们需要在它里边添加创建用户的指令,createUser jiankongbao MD5 mypassword这行配置的意思是创建一个名为“jiankongbao”的用户,密码为“mypassword”,并且用 MD5进行加密传输。这里要提醒的是:密码至少要有 8个字节这是 SNMP协议的规定,如果小于 8个字节,通信将无法进行。值得注意的是,一旦 snmpd启动后,出于安全考虑,以上这行配置会被 snmpd自动删除,当然,snmpd会将这些配置以密文的形式记录在其它文件中,重新启动 snmpd是不需要再次添加这些配置的,除非你希望创
10、建新的用户。以上配置中的用户名、密码和加密方式,在监控宝添加服务器的时候需要添加。4、启动 SNMP代理程序经过配置后,现在可以启动 snmpd,Shell1 /usr/local/snmp/sbin/snmpd如果要关闭,则可以直接kill 这个进程,Shell1 killall -9 snmpd5、将 snmpd加入开机启动进入源码目录,如/root/net-snmp-5.7.1 目录,将启动配置文件范例复制到/etc/init.d/目录:Shell1 cp /root/net-snmp-5.7.1/dist/snmpd-init.d /etc/init.d/snmpd修改/etc/ini
11、t.d/snmpd文件将其中的Shell1 prog=“/usr/local/sbin/snmpd“修改为Shell1 prog=“/usr/local/snmp/sbin/snmpd“将其中的Shell1 -x $prog -a -f /usr/local/share/snmp/snmpd.conf | exit 0修改为Shell1 -x $prog -a -f /var/net-snmp/snmpd.conf | exit 0Debian再执行:Shell1 update-rc.d -f snmpd defaultsCentOS执行:Shell1 chkconfig -level 345
12、 snmpd on服务控制:设置好上面的内容就可以用下列命令控制服务了。Shell12345678#启动:/etc/init.d/snmpd start#停止:/etc/init.d/snmpd stop#重新启动:/etc/init.d/snmpd restart#服务状态:/etc/init.d/snmpd status6、增强的安全机制有了以上的验证机制,你就可以放心的使用 SNMP代理了。但是,如果你的SNMP代理程序版本较低,可能会有一些别有用心的破坏者利用一些固有的漏洞进行破坏,比如发送较长的数据导致 SNMP代理程序内存泄漏或者拒绝服务等,为此,你还可以使用防火墙(iptable
13、s)来进行增强的安全过滤。在 Linux中,我们用 iptables来实现防火墙,一般情况下,除了流入指定端口的数据包以外,我们应该将其它流入的IP 数据包抛弃。你可能已经配置了一定的防火墙规则,那么只要增加针对 SNMP的规则即可。SNMP代理程序默认监控在 udp161端口,为你的 iptables增加以下规则:Shell12iptables -A INPUT -i eth0 -p udp -s 60.195.252.107 -dport 161 -j ACCEPTiptables -A INPUT -i eth0 -p udp -s 60.195.252.110 -dport 161 -j ACCEPT以上设置中假设服务器外网网卡是eth0,你可以根据实际情况来修改。这样一来,只有监控宝的专用监控器可以发送UDP 数据包到你的服务器的 161端口,与 SNMP代理程序进行通信。-End-
