我是新的监测工具。 最近我们的phpMyAdmin服务器被僵尸networking攻击。 所以我想在我的服务器上进行一些监控,以确保他们的健康和安全。 我担心的是,Nagios也是另一个Web应用程序,如phpMyAdmin是否有任何安全循环漏洞,黑客可以通过它进入? 其次,如果没有问题,我应该如何设置监控MySQL和Web服务器? 或者如果有其他的select呢?
您可以通过在Web服务器层添加身份validation来保护Web界面(使用pipe理的非公开应用程序,几乎没有理由依赖内置身份validation,与phpmyadmin一样)。
你需要更仔细地设置远程插件层(nrpe,ssh,客户端驱动的nsca …),因为有非互动的信任关系,一些设置直接通过开放的互联网。
恕我直言,任何pipe理www工具,如phpmyadmin和nagios应该可以从互联网上访问,如果业务没有明确要求。
但是,如果您必须使用.htaccess的其他密码来保护这些应用程序。
如果必须为大量用户提供phpmyadmin,那么使用.htaccess保护它并不是什么好主意(为所有用户(客户端)生成密码很麻烦,而且用户不喜欢双重authentication)。
您可以随时在uniqe url上共享,而不是https://yoursite/phpmyadmin所有您需要做的就是更改phpmyadmin visrtualhost文件中的别名。
您应该始终通过https分享这些应用程序!
Nagios仅适用于pipe理员,您只能对符合.htaccess的IPS进行限制。
你可以提供phpmyadmin和没有标准的端口。 如果你在没有任何标准端口上共享应用程序(除了80和443以外),你可以通过iptables来限制它。
好主意是用fail2ban保护这些应用程序免受暴力破坏。
没有任何理想的安全系统。 总是有风险,但你必须尽一切努力使其最小化。
已知的安全漏洞通常不是问题,因为它们被堵塞。 这是你不知道的是一个问题。 但是呢,问是否有什么不知名的漏洞是没有意义的,是吗?
顺便说一下,你不需要让你的nagios安装向公众开放。 将pipe理服务保留在具有不同IP的不同服务器上,您将会更安全一些(僵尸networking倾向于将注意力集中在公开显示的网站上)。
根据你想要监控的内容,Nagios可能是也可能不是这个工作的正确工具。 而且还有其他的公司可以支付给你的监控。 那么你不必担心监控系统本身。 monitis的人甚至提供MySQL监控 。
Nagios中没有任何已知的安全漏洞。 如果有未知的安全漏洞,那么你不能做太多的事情。
您可以采取一些安全措施:
/etc/nrpe.cfgfindallowed_hosts=来完成。 这将限制谁可以实际询问NRPE发生的事情。 (或执行远程命令) 我假设你正在运行apache2,所以要做到这一点看看文件/etc/apache2/nagios.conf(或者如果你有一个编译版本,你的等价的apache2configuration文件)。 在目录匹配块有一个像这样说:
Allow from all
您可以将其更改为:
Allow from IP/subnetmask
要么
Allow from IP