Journal Nagios et sécurité....

Posté par  .
Étiquettes : aucune
0
23
mar.
2006
Bonjour,

J'utilise Nagios pour monitorer mon réseau avec nrpe sur chaque client. Cela marche plutôt bien... voir très bien même.

Par contre, je permet l'envoi d'arguments dans les requêtes NRPE (compilation d'NRPE avec --allow-command-args et --with-ssl)... Je lis souvent que ce n'est pas conseillé! Mais je trouve cela fort pratique : toute ma configuration se fait désormais au niveau de mes fichiers de conf de Nagios et non sur chaque client.

Qu'en pensez-vous?
Inconscience? Si je pouvais avoir un retour de vos expériences...
  • # Je suis pour

    Posté par  . Évalué à 1.

    A mon avis, on peut autoriser les arguments aux commandes NRPE quand on n'est pas dans un environnement hostile :

    - les machines monitorées sont internes à un réseau
    - si jamais il y a NRPE sur un firewall, le port concerné est bloqué du côté public
    - les seules choses qu'on peut faire, c'est monitorer le système

    Par contre, c'est à proscrire dès qu'il y a des gens à qui tu ne fais pas assez confiance dans le réseau.
    • [^] # Re: Je suis pour

      Posté par  . Évalué à 3.

      - les machines monitorées sont internes à un réseau

      Vrai si tu considères ton réseau internet entièrement étanche.
    • [^] # Re: Je suis pour

      Posté par  . Évalué à 1.

      Merci de pour ta réponse,
      Les machines à monitorer sont bien interne à un réseau et derrière un firewall. Mais bon, on ne peut jamais faire totalement confiance en son réseau...

      Dans la doc (traduite en fançais ici : http://perso.univ-rennes1.fr/pierre-antoine.angelini/GPL/NRP(...) ) je lis :

      NRPE 2.0 permet aux clients de fournir des arguments pour les commandes
      à éxecuter. Notez cependant que ceci comporte des risques en terme de sécurité.
      Vous ne devez donc l'employer que si vous savez ce que vous faites.


      Donc je suis en peu méfiant...

      Mais bon, tes propos sont rassurant, merci!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.