我在我的服务器上安装了SNMP。 我只是遵循一个在线教程来做到这一点。 我不知道它是什么。 从我们购买我们的服务器的几天后,他们发送了一封电子邮件
滥用提示信息[Abuse ID:2B760B:25]:AbuseBSI:[CERT-Bund#2015020428001579] Offene SNMP-Dienste in AS24940 – 2016-09-17
Shadowserver为CERT-Bund提供了在德国托pipe的IP地址的testing结果,以通知受影响系统的所有者。 有关由Shadowserver运行的testing的更多信息,请参见[2]。
请在下面findnetworking上托pipe的受影响系统的列表。 时间戳(UTC时区)指示系统何时经过testing并响应来自Internet的SNMP请求。
我们希望您检查此问题,并采取适当措施确保受影响系统上的SNMP服务安全,或者相应地通知您的客户。
我的问题是什么步骤来保护SNMP? 在博客上有一个人提到改变默认的社区string。 所以我search了这个,并编辑了这个文件nano /etc/snmp/snmpd.conf并添加了社区string作为public hostIP(on which snmp installed) 。
但是我不知道我到目前为止做了什么。 如果有人有一些相同的经验,请指导我。 任何帮助将不胜感激。
这个意外的警告可能似乎是一个不请自来的电子邮件,但是是合法的,来自德国联邦信息安全局CERT外滩办公室的信息技术联邦办公室( BundesamtfürSicherheit in der Informationstechnik) 。
联邦机构计算机应急响应小组计划积极提醒德国机构和企业潜在的在线威胁。 如果您的系统由德国供应商(例如Hetzner)托pipe,您也可能会收到此类警告。
在这种情况下,端口可以检测到您的某个系统上的SNMP服务处于活动状态。 与许多协议一样,SNMP可能会被轻易地用于reflection和放大拒绝服务攻击。 这也是一个协议/服务,你不需要暴露在互联网上。
你有许多不同的select:
你实际上不使用SNMP,只需要禁用服务( systemctl stop snmpd & systemctl diasable snmpd )或者卸载它。
您使用snmp进行监控,但监控服务在同一台主机上运行? 编辑/etc/snmp/snmpd.conf并将snmpdconfiguration为仅接受发送到本地回送接口而不是公用IP的agentAddress udp:127.0.0.1:161
您使用snmp进行监控,但监控服务在不同的主机上运行? 设置一个防火墙,允许特定主机连接到端口UDP 161,并禁止所有其他主机。