
Fischertechnik AVR Raspberry Pi Elektronik Netzwerk Sonstiges Impressum	snmp lokale Erreichbarkeit Über `agentaddress` kann festgelegt werden, wie der `snmpd` erreichbar ist. Ein sehr sicherer Standard nach der Installation ist: agentaddress udp:127.0.0.1:161 Üblich ist aber, dass der Agent über seine Interface-Adressen von außen erreichbar ist: agentaddress udp:161 Es können, mit Komma getrennt, auch mehrere Adressen angegeben werden: agentaddress udp:161,udp:1234 Master Agent In der Konfigurationesdatei /etc/snmp/snmpd.conf # master: Should the agent operate as a master agent or not. # Currently, the only supported master agent type for this token # is "agentx". # # arguments: (on\|yes\|agentx\|all\|off\|no) master agentx Diese Standardkonfiguration bietet die Verbindung über einen lokalen Unix-Socket `/var/agentx/master`. Mit der zusätzlichen Zeile agentXSocket tcp:localhost:705 wird stattdessen die Verbindung über TCP bereitgestellt. Wird dieses benötigt, weil sich auch externe Geräte mit ihrem Agenten registrieren können sollen, dann kann auch ein zweiter Listener mit angegeben werden. Achtung: Diese Verbindungen sind nicht abgesichert und können somit ein Sicherheitsrisiko darstellen. Der Standardport ist tcp/705; ggf. könnte eine Anpassung in besonderen Fällen sinnvoll sein; dient aber nach meiner Einschätzung eher zur Verwirrung, als zur Reduzierung von Risiken. agentXSocket tcp:localhost:705,tcp:192.168.0.3:705 Wird der Standard-Unix-Socket ebenfalls benötigt, lässt er sich auch mit angeben: agentXSocket /var/agentx/master,tcp:localhost:705,tcp:192.168.0.3:705 SNMPv3 Anlegen von v3-Usern in Konfigurationsdatei /var/lib/snmp/snmpd.conf # createUser username (MD5\|SHA\|SHA-512\|SHA-384\|SHA-256\|SHA-224) authpassphrase [DES\|AES] [privpassphrase] # e.g. # createuser authPrivUser SHA-512 myauthphrase AES myprivphrase # Erforderliche Einträge können mit: /usr/bin/net-snmp-create-v3-user erzeugt werden. Bevor das erfolgreich erfolgen kann, muss der snmp-Daemon gestoppt werden. service snmpd stop Nach dem Neustart des Daemons werden die `createUser`-Einträge dann in verschlüsselte `usmUser`-Einträge umgewandelt. snmp-Abfrage mit Version 3 snmpwalk -v3 -lauthpriv -u authPrivUser -a MD5 -A myauthphrase -x DES -X myprivphrase 127.0.0.1 .

Fischertechnik
AVR
Raspberry Pi
Elektronik
Netzwerk
Sonstiges

Impressum

snmp

lokale Erreichbarkeit

Über agentaddress kann festgelegt werden, wie der snmpd erreichbar ist. Ein sehr sicherer Standard nach der Installation ist:

agentaddress udp:127.0.0.1:161

Üblich ist aber, dass der Agent über seine Interface-Adressen von außen erreichbar ist:

agentaddress udp:161

Es können, mit Komma getrennt, auch mehrere Adressen angegeben werden:

agentaddress udp:161,udp:1234

Master Agent

In der Konfigurationesdatei /etc/snmp/snmpd.conf

# master: Should the agent operate as a master agent or not.
#   Currently, the only supported master agent type for this token
#   is "agentx".
#
#   arguments: (on|yes|agentx|all|off|no)

master  agentx

Diese Standardkonfiguration bietet die Verbindung über einen lokalen Unix-Socket /var/agentx/master. Mit der zusätzlichen Zeile

agentXSocket tcp:localhost:705

wird stattdessen die Verbindung über TCP bereitgestellt. Wird dieses benötigt, weil sich auch externe Geräte mit ihrem Agenten registrieren können sollen, dann kann auch ein zweiter Listener mit angegeben werden. Achtung: Diese Verbindungen sind nicht abgesichert und können somit ein Sicherheitsrisiko darstellen.
Der Standardport ist tcp/705; ggf. könnte eine Anpassung in besonderen Fällen sinnvoll sein; dient aber nach meiner Einschätzung eher zur Verwirrung, als zur Reduzierung von Risiken.

agentXSocket tcp:localhost:705,tcp:192.168.0.3:705

Wird der Standard-Unix-Socket ebenfalls benötigt, lässt er sich auch mit angeben:

agentXSocket /var/agentx/master,tcp:localhost:705,tcp:192.168.0.3:705

SNMPv3

Anlegen von v3-Usern in Konfigurationsdatei /var/lib/snmp/snmpd.conf

# createUser username (MD5|SHA|SHA-512|SHA-384|SHA-256|SHA-224) authpassphrase [DES|AES] [privpassphrase]
# e.g.
# createuser authPrivUser SHA-512 myauthphrase AES myprivphrase
#

Erforderliche Einträge können mit:

/usr/bin/net-snmp-create-v3-user

erzeugt werden. Bevor das erfolgreich erfolgen kann, muss der snmp-Daemon gestoppt werden.

service snmpd stop

Nach dem Neustart des Daemons werden die createUser-Einträge dann in verschlüsselte usmUser-Einträge umgewandelt.

snmp-Abfrage mit Version 3

snmpwalk -v3 -lauthpriv -u authPrivUser -a MD5 -A myauthphrase -x DES -X myprivphrase 127.0.0.1 .