Installer et configurer SNMP sur CentOS 8

I. Présentation

Récemment, j'ai eu besoin d'installer et configurer le SNMP sur un serveur sous CentOS 8, avec notamment l'utilisation des ACL pour restreindre l'accès à la communauté déclarée. L'occasion d'écrire quelques lignes sur le sujet pour les partager avec vous.

La procédure étant variable d'un système à l'autre et d'une version à l'autre, ici nous allons voir comment installer SNMP sous CentOS 8. L'un de nos précédents articles (lien ci-dessous), reste valable en fonction du système que vous utilisez mais notamment pour la configuration de base, ici je vais plutôt mettre l'accent sur les ACL.

📌 Installer SNMP sous Linux

II. Installer SNMP sous CentOS 8

Pour installer les paquets utiles au bon fonctionnement de SNMP, nous allons utiliser le gestionnaire de paquets "dnf" présent sous Fedora depuis la version 22. Commençons par mettre à jour la base de paquets :

dnf update

Lorsque c'est fait, nous allons installer NET-SNMP et les outils nécessaires sur la machine :

dnf install net-snmp net-snmp-libs net-snmp-utils

Pour que le service snmpd démarre automatiquement lorsque le système reboot, exécutez cette commande :

systemctl enable snmpd

Le retour suivant va s'afficher dans la console :

Created symlink /etc/systemd/system/multi-user.target.wants/snmpd.service → /usr/lib/systemd/system/snmpd.service.

Profitons-en pour prendre connaissance de la commande qui sert à redémarrer le service snmpd. Classique mais à connaître :

systemctl restart snmpd

De la même façon, nous pouvons afficher le statut du service snmpd avec cette commande :

systemctl status snmpd

L'installation est terminée et le service est démarré, passons à sa configuration.

III. Configurer SNMP sous CentOS 8

Le fichier de configuration du service snmpd est le fichier "/etc/snmp/snmpd.conf" donc avant de le modifier, je vous propose d'en faire une copie :

cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.bak

Avant de commencer à le modifier, vous pouvez vérifier que l'hôte local est bien accessible via SNMP (version 2c) :

snmpwalk -v2c -c public localhost system

Si vous n'obtenez pas d'erreur et que vous avez plusieurs lignes retournées dans la console, c'est tout bon ! Dernière chose avant d'attaquer la configuration via snmpd.conf, nous allons ouvrir les flux dans le pare-feu du système. Sans cette modification, l'accès SNMP est possible uniquement en local.

Créons une règle pour autoriser le port 161/UDP correspondant au SNMP :

firewall-cmd --add-port=161/udp --permanent
firewall-cmd --reload

Pour la configuration, on peut se contenter de créer une communauté et de la rendre accessible sans limitation. On peut aussi décider de créer une communauté et de limiter son accès à certains hôtes, c'est là où la configuration se complique un peu car nous devons utiliser les ACL.

La logique est la suivante :

A - Créer une vue (ou utiliser la vue systemview existante)

B - Déclarer les hôtes sources et la communauté associée

C - Créer un groupe d'hôtes sources (avec les noms utilisés précédemment)

D - Créer une règle d'accès pour autoriser un groupe à utiliser une vue

Pour parvenir à réaliser cette configuration, cela nécessite de modifier en profondeur le fichier de configuration snmpd.conf, plus particulièrement la section "Access Control".

Dans cet exemple, nous allons utiliser la vue prédéfinie systemview afin d'autoriser l'accès à cette vue à deux hôtes seulement : localhost et le serveur de supervision (déclaré en tant que "centreon") avec l'adresse IP 192.168.1.100. L'accès à cette vue sera possible via le SNMP en version 2C et la communauté itconnect, en lecture seule.

Reprenons les étapes dans l'ordre...

A. Créer une vue

Comme je le disais, nous allons reprendre la vue systemview déjà définie et cela correspond à ces lignes :

view systemview included .1.3.6.1.2.1.1
view systemview included .1.3.6.1.2.1.25.1.1

Pour ouvrir un peu plus l'accès à la MIB SNMP, vous pouvez modifier comme ceci :

view systemview included .1

B. Déclarer les hôtes et la communauté

Pour déclarer les hôtes et la communauté, la syntaxe est la suivante :

com2sec <nom-hote> <adresse IP> <nom-de-la-communauté>

Il est à noter que le nom d'hôte est libre, il ne doit pas nécessairement correspondre au nom de la machine. Pour déclarer l'hôte local et le serveur de supervision, cela donne :

com2sec local localhost itconnect
com2sec centreon 192.168.1.100/32 itconnect

 

C. Créer un groupe d'hôtes

Maintenant, nous allons créer un groupe nommé "group_ro" pour "Groupe Read-Only" puisqu'il s'agit d'un groupe en lecture seule cela sera parlant. La syntaxe est la suivante :

group <nom-groupe> <version-snmp> <hôte-à-ajouter>

Puisque nous avons deux hôtes à ajouter au même groupe, cela donne :

group group_ro v2c local
group group_ro v2c centreon

 

D. Créer une règle d'accès SNMP

Enfin, nous allons réutiliser les éléments précédents pour créer une règle d'accès afin que le groupe "group_ro" soit autorisé à utiliser la vue "systemview". Ce qui donne (syntaxe : context - sec.model - sec.level - prefix - read - write - notif) :

access group_ro "" any noauth exact systemview none none

Dans le fichier de configuration, il va falloir commenter ou supprimer certaines lignes, et ajouter nos propres déclarations. Voici ce que ça donne pour la section "Access Control" :

###############################################################################
# Access Control
###############################################################################
# [...]
# -----------------------------------------------------------------------------

# Make at least snmpwalk -v 1 localhost -c public system fast again.
# name incl/excl subtree mask(optional)
view systemview included .1.3.6.1.2.1.1
view systemview included .1.3.6.1.2.1.25.1.1

####
# Finally, grant the group read-only access to the systemview view.

# group context sec.model sec.level prefix read write notif
access notConfigGroup "" any noauth exact systemview none none

# Here is a commented out example configuration that allows less
# restrictive access.

# YOU SHOULD CHANGE THE "COMMUNITY" TOKEN BELOW TO A NEW KEYWORD ONLY
# KNOWN AT YOUR SITE. YOU *MUST* CHANGE THE NETWORK TOKEN BELOW TO
# SOMETHING REFLECTING YOUR LOCAL NETWORK ADDRESS SPACE.

## sec.name source community
#com2sec local localhost COMMUNITY
com2sec local localhost itconnect
com2sec centreon 192.168.1.100/32 itconnect

## group.name sec.model sec.name
#group MyRWGroup any local
#group MyROGroup any mynetwork
#
#group MyRWGroup any otherv3user
#...
group group_ro v2c local
group group_ro v2c centreon

## incl/excl subtree mask
#view all included .1 80

## -or just the mib2 tree-

#view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc

## context sec.model sec.level prefix read write notif
#access MyROGroup "" any noauth 0 all none none
#access MyRWGroup "" any noauth 0 all all all
access group_ro "" any noauth exact systemview none none

Avant de fermer le fichier de configuration, vous pouvez en profiter pour modifier les directives syslocation et syscontact en début de fichier. Ensuite, sauvegardez le fichier et redémarrez le service :

systemctl restart snmpd

Il ne reste plus qu'à tester que l'ACL fonctionne, à la fois depuis l'hôte local mais aussi depuis l'hôte distant que l'on a autorisé, en passant par l'outil snmpwalk.

IV. CentOS 8 - SNMP : CPU, RAM, LOAD, etc

Puisque je suis un mec sympa, je vais vous donner quelques pistes pour trouver les informations utiles sur votre système via SNMP. J'entends par là, obtenir des informations sur l'usage de la RAM, ou encore la charge système.

Pour obtenir des informations sur la mémoire, il faut interroger la MIB de cette façon :

snmpwalk -v2c -c itconnect 192.168.1.101 UCD-SNMP-MIB::memory

Ensuite, à vous de récupérer la valeur que vous trouvez pertinente dans votre cas. Par exemple, pour avoir la quantité de mémoire disponible sur l'hôte (sans la SWAP), cela donne :

snmpwalk -v2c -c itconnect 192.168.1.101 UCD-SNMP-MIB::memAvailReal.0

Avec un retour dans la console sous cette forme :

UCD-SNMP-MIB::memAvailReal.0 = INTEGER: 5988276 kB

Pour la mémoire SWAP disponible, utilisez :

snmpwalk -v2c -c itconnect 192.168.1.101 UCD-SNMP-MIB::memAvailSwap.0

Concernant la charge système avec les indicateurs à 1 minute, 5 minutes et 15 minutes, il faut interroger cette partie de la MIB :

snmpwalk -v2c -c itconnect 192.168.1.101 UCD-SNMP-MIB::laTable

Pour avoir l'une des valeurs de charge (1, 5 ou 15), il faudra spécifier de cette façon :

snmpwalk -v2c -c itconnect 192.168.1.101 UCD-SNMP-MIB::laNames.1
snmpwalk -v2c -c itconnect 192.168.1.101 UCD-SNMP-MIB::laNames.2
snmpwalk -v2c -c itconnect 192.168.1.101 UCD-SNMP-MIB::laNames.3

L'indice de charge associé sera retourné à chaque fois.

Enfin, concernant le disque dur, on peut interroger "UCD-DISKIO-MIB::diskIOTable" dans la MIB. J'en profite pour vous faire utiliser l'outil snmptable qui permet d'afficher une sortie en mode tableau lorsque cela est possible. La lecture devient simplifiée 😉

snmptable -c itconnect -v 2c 192.168.1.101 UCD-DISKIO-MIB::diskIOTable

Il y a d'autres informations accessibles :

  • CPU : UCD-SNMP-MIB::systemStats
  • Interfaces réseau : IF-MIB::ifTable
  • Trafic réseau : IF-MIB::ifOutOctets et IF-MIB::ifInOctets

Amusez-vous bien ! 👍

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2338 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.