smi*_*lli 9 monitoring firewall nagios service private-ip
假设我有一个带有私有接口和公共接口的服务器。公共可能有 HTTP(S) 服务器之类的东西,私有可能有 MySQL 和 SSH。
显然 Nagios 可用于检查服务是否在其各自的接口上运行。但是,构建明确测试 MySQL 和 SSH 端口未在公共接口上打开的检查是个好主意吗?这个想法是捕捉无意的错误配置,这些错误配置已经打开了应该是私有的服务,并适当地发出警报。
我的一部分认为这不会很好地扩展 - 想象一下有一个 iptables DROP 规则,例如,检查必须等到超过检查超时才能完成并继续。但是该超时时间必须足够长,以便能够将被阻止的服务与真正陷入困境的开放服务区分开来。
这是一个实用的想法吗?Nagios 是正确的工具吗?我什至没有研究过否定 TCP 检查插件结果的可行性,但我确定这是可行的......
Mad*_*ter 11
是的当然。监控系统的工作是确保 IT 基础架构当前满足业务需求,无论这些需求是什么。
我的直觉是,您监视的端口数量没有简单的限制(好吧,65535)以确保它们不会突然打开,实现这种控制的最佳方法是严格的源代码控制加上强大的,服务器上的主动文件系统监控(例如,tripwire)。
但是,如果某些绝对对业务至关重要的端口永远不会公开,那么是的,一定要为此进行特定检查。您可能需要查看 NAGIOSnegate插件,该插件随大多数主要发行版一起提供,用于完全按照您的建议执行操作。