Académique Documents
Professionnel Documents
Culture Documents
Le serice snmp donne par exemple la charge de sa carte réseau quand on lui envoie un "trap snmp".
L'enregistrement de ses informations dans le temps permet de créer un graphe de charge qui sert à
analyser l'état de son réseau durant les heures, jours, ou mois.
L'intérêt de la version 3 est d'implémenter une authentification du client snmp, alors que la version 2
ne sait faire "que" de l'access-list.
Installation
Les paquets suivants sont nécessaires pour suivre cette documentation :
net-snmp
net-snmp-libs
net-snmp-utils
Configuration
La configuration de base peut être faite avec l'utilitaire snmpconf.
L'utilitaire se présente ensuite sous forme de menus que je vous laisse découvrir.
Sachez que les informations importantes à indiquer sont les communautés à créer ; on peut créer
une communauté en lecture ou en écriture.
Essayez d'éviter d'utiliser les très connus "public" et "private" qui sont les noms de communauté
standard. "public" est en lecture seule (RO), "private" en lecture-écrirure (RW).
Cependant, sachez que certains softs de management utilisant snmp sont vraiment cons, et
recherchent uniquement ces noms standards. Faites donc un test pour vérifier cela.
Ici XXX.XXX.XXX.XXX est l'adresse ip de la machine ayant le droit de faire du snmp sur ma machine
locale.
J'écris en fait :
Sur view, donne accès à tous, car pas de restriction
Sur power, donne accès à YYY.YYY.YYY.YYY qui ne fait pas partie de mon réseau.
Arrêt de snmpd : [ OK ]
Démarrage de snmpd : [ OK ]
....Le code est tronqué car j'ai demandé un dump complet de snmp et c'est un peu long.
Ce qui veut dire que si vous voulez pouvoir tester en local snmp, il vaut plutôt mieux prévoir ceci :
rocommunity view
rwcommunity power YYY.YYY.YYY.YYY
rwcommunity power 127.0.0.1
Dans l'exemple ci-dessus, je ne restreind que power ( RW ), mais je vous conseille de faire de même
sur view ( RO ) car snmp donne un tas d'informations utiles à des pirates et surtout, un dump snmp
comme ci-dessus charge pas mal la machine concernée. Si un plaisantin, lance un dump en boucle,
votre serveur aura tôt fait de se traîner lamentablement.
Je vous conseille donc aussi de bloquer snmp en entrée de votre réseau , sur le firewall. Pour ce
faire, bloquez le port udp 161.
Configuration SNMP v3
Voici un exemple de fichier snmpd.conf pour du snmp v3.
rwuser monitor
createUser monitor MD5 monpassword
#
# Mise en commentaire de snmp v2
#
#rwcommunity power 127.0.0.1
#rwcommunity power XXX.XXX.XXX.XXX
disk / 100000
disk /var 1000000
load 12 12 12
syslocation "Baie numero 1"
syscontact support@mondomaine.net
sysservices 76
La ligne "createUser monitor MD5 monpassword" doit être inscrite lors du premier lancement de snmp
en version 3 et supprimée par la suite afin que personne ne voie le mot de passe en cas de
découverte du fichier.
Pour ma part, je change le mot de passe par un mot de passe bidon et je commente la ligne. Cela
m'évite de rechercher partout la syntaxe quand je suis pressé.
Remplacez "monpassword" dans les exemples ci-dessus par le mot de passe sécurisé qui vous va
bien.
USAGE de SNMP
SNMP monitore par défaut les interfaces réseau de la machine.
On peut lui demander de vérifier plus à fond le système, comme dans l'exemple précedent avec des
paramètres comme ceux-ci :
disk / 100000
disk /var 1000000
load 12 12 12
Snmp vérifiera alors l'espace disque des partitions / et /var et activera un flag d'alerte quand ces
partitions atteindront 100Mo pour / et 1Go pour /var.
Ces valeurs sont à définir en fonction de votre usage du serveur. On peut par exemple lancer des
scripts personnalisés et récupérer les valeur, etc...
Une fois SNMP en place et bien configuré, vous pouvez utiliser des logiciels comme MRTG et RRD
TOOLS pour faire des statistiques de votre machine.
Un site très bien fait sur la configuration de snmp et de MRTG, le site de Christian CALECA