Wie Sie SNMP unter Linux konfigurieren

Um SNMP unter Linux zu konfigurieren, ist ein kurzer Exkurs über die verschiedenen Versionen des Protokolls erforderlich. Die ursprüngliche Version des SNMP-Protokolls war v1, die in den 1980er Jahren entwickelt wurde. Später wurde das Protokoll von v2 abgelöst, das vor allem mehr Sicherheit und Authentifizierungsmechanismen bot. v2 hat zwei Varianten, v2c und v2u. v2c bietet ein Community-basiertes Sicherheitsmodell für SNMP, während v2u mit einem benutzerbasierten SNMP-Sicherheitsmodell arbeitet, wie in RFC1910 spezifiziert. SNMPv3 erweitert diesen Ansatz, indem Administratoren Benutzer mit spezifischen Authentifizierungs- und Verschlüsselungseinstellungen erstellen und verwalten können

SNMP v2u hat sich nie wirklich durchgesetzt, aber ein Teil seiner Funktionen wurde für die Entwicklung von v3 verwendet. Da v2c viel verbreiter ist, beziehen wir uns immer darauf, wenn wir in diesem Artikel von v2 reden.

v3 ist die neueste Version des SNMP-Protokolls. Der größte Unterschied zu seinen Vorgängern ist die zusätzliche Verschlüsselungsunterstützung mit all seinen Vor- und Nachteilen.

Die Referenzimplementierung für SNMP-Monitoring unter Linux ist das Paket net-snmp. net-snmp stammt aus dem Jahr 1992 und ist für alle wichtigen Linux-Distributionen verfügbar. Es unterstützt alle Versionen des SNMP-Protokolls, wobei v3 die empfohlene Version ist. Es wird aktiv entwickelt und erhält seit vielen Jahren monatliche Commits.

Das Paket besteht in der Regel aus zwei separaten Komponenten: den Tools zur Nutzung des Protokolls und dem Daemon zur Installation auf einem Linux-Host sowie zur Konfiguration und Überwachung des Protokolls. Unter Ubuntu und anderen Debian-basierten Distributionen heißen die Tools snmp und der Daemon snmpd. Unter Red Hat befinden sich die Tools im Paket net-snmp-utils und der Daemon in net-snmp. Bei anderen Distributionen können beide Komponenten im selben Paket enthalten sein, im Allgemeinen einfach net-snmp.

Der Daemon ermöglicht das Monitoring des lokalen Hosts durch einen externen Host über SNMP, während die Tools den umgekehrten Weg gehen. Je nach Ihren Bedürfnissen für SNMP-Monitoring unter Linux kann es erforderlich sein, beide zu installieren.

Statt ausschließlich auf CLI-Tools zu setzen, können Sie Checkmk Trial nutzen, um Ihre Linux-Server umfassender zu überwachen und tiefere Einblicke zu erhalten, als dies allein mit SNMP möglich ist.

snmpd unter Linux ist der Daemon-Teil von net-snmp. Nach seiner Installation erstellt er einen SNMP-Host, der Anfragen von anderen Hosts annehmen und beantworten, Benachrichtigungen (TRAPs und INFORMs im SNMP-Jargon). Mit snmpd können Administratoren über SNMP Daten zur System-Performance und zum Systemstatus erfassen. SNMP-Traps sind asynchrone Benachrichtigungen, die der SNMP-Agent an eine Management-Station sendet, um Administratoren über bestimmte Ereignisse oder Zustände zu informieren. Das SNMP-Protokoll ermöglicht die grundlegende Konfiguration von Hosts und snmpd wird benötigt, um diese Fähigkeiten zu nutzen.

Da snmpd der Daemon ist, wird der Großteil der SNMP-Operationen mit einer Reihe von Tools im snmp-Paket (Ubuntu/Debian) oder net-snmp-utils-Paket (Red Hat) durchgeführt. Diese sind der Kern der SNMP-Implementierung und das, was IT-Teams routinemäßig zum Monitoring eines Netzwerks verwenden würden. Mit diesen Tools können Administratoren verschiedene im SNMP-Framework definierte MIB-Objekte abfragen, ändern und überwachen. Darüber hinaus lassen sich diese Tools nutzen, um per SNMP-Polling Informationen von Netzwerkgeräten zu erfassen.

Werfen wir einen Blick darauf, wie sie funktionieren und wofür sie gedacht sind.

snmptranslate führt eine Übersetzung der OID in den entsprechenden MIB-Namen durch:

 # snmptranslate .1.3.6.1.2.1.1.3.0
 SNMPv2-MIB::sysUpTime.0

Oder das Gegenteil, von einer MIB zur numerischen OID:

 # snmptranslate **-On** SNMPv2-MIB::sysUpTime.0
 .1.3.6.1.2.1.1.3.0

snmptranslate kann außerdem verwendet werden, um den gesamten OID-Baum zu durchsuchen. So können Administratoren die Struktur und Hierarchie der verfügbaren MIB-Objekte besser nachvollziehen.

snmpget ruft Daten von einem SNMP-Host ab. Es stellt dafür eine einfache Anfrage, die aus drei Elementen besteht:

1. Wo die Informationen abgerufen werden sollen,
2. die mit der Anfrage verbundenen administrativen Informationen und
3. welche Informationen benötigt werden.

Zum Beispiel ist die System-Uptime eine häufig über SNMP-OIDs abgefragte Metrik. Sie kann über die OID sysUpTime abgerufen werden:

# snmpget -v 2c -c demopublic test.net-snmp.org SNMPv2-MIB::sysUpTime.0 SNMPv2-MIB::sysUpTime.0 = Timeticks: (586731977) 67 days, 21:48:39.77

Die andere Hauptfunktion des SNMP-Protokolls zum Abrufen von Informationen ist GETNEXT, die durch das Tool snmpgetnext implementiert wird. Es ruft ähnliche Arten von Informationen ab wie snmpget, jedoch von der nächsten OID. Es ist nützlich, um eine Reihe von SNMP-Hosts zu durchlaufen und nach und nach Informationen von jedem Gerät zu erhalten. Die Syntax ist identisch mit​​​​​​​ snmpget:

# snmpgetnext -v 2c -c demopublic test.net-snmp.org sysUpTime
SNMPv2-MIB::sysUpTime.0 = Timeticks: (586978184) 67 days, 22:29:41.84

Anstatt snmpgetnext für jeden SNMP-Host zu starten, können Sie snmpwalk verwenden, um ein Netzwerk automatisch zu durchsuchen. Mit dem folgenden Befehl können Sie einen Walk durch den SNMP-Baum durchführen:

snmptable gibt den Inhalt einer SNMP-Tabelle wieder, wobei es immer nur eine Zeile anzeigt:

Die SET-Funktion des SNMP-Protokolls können Sie nutzen, um Informationen eines SNMP-Hosts zu ändern, seine Konfiguration zu aktualisieren oder sein Verhalten zu steuern. Sie ist in dem Tool snmpset implementiert. Um snmpset zu verwenden, muss der SNMP-Agent so konfiguriert sein, dass er dem anfragenden Client Lese- und Schreibzugriff erlaubt. SNMP-Agenten können auch so konfiguriert werden, dass sie nur Lesezugriff gewähren. Dadurch können Clients Informationen einsehen, aber keine Änderungen vornehmen — für mehr Sicherheit und eine saubere Verwaltung.

Eines von vielen möglichen Beispielen ist die Einstellung eines zufälligen Strings, der bei einer Abfrage zurückgegeben wird:

$ snmpset -v 1 -c demopublic test.net-snmp.org ucdDemoPublicString.0 s "hi there!"

$ snmpget -v 1 -c demopublic test.net-snmp.org ucdDemoPublicString.0
UCD-DEMO-MIB::ucdDemoPublicString.0 = "hi there!"

Die ab SNMP v2 verfügbare Operation GETBULK ist im Tool snmpbulkget implementiert. Sie können es verwenden, um ein ganzes Netzwerk von SNMP-Hosts abzufragen, anstatt nur einen einzigen.

$ snmpbulkget -v2c -Cn1 -Cr5 -Os -c public zeus system ifTable

Es ruft die Variable system.sysDescr.0 und die ersten 5 Objekte der​​​​​​​ ifTable ab.

Um mehrere Variablen mit einem einzigen Command abzurufen, können Sie mit dem Tool​​​​​​​ snmpbulkwalk alle Variablen unter einem System abfragen:

$ snmpbulkwalk -v2c -Os -c public zeus system

TRAPs werden im Allgemeinen von SNMP-Agenten gesendet, um einer Verwaltungsstation (in unserem Fall einem Linux-Server) anormale Bedingungen zu melden. Um TRAPs selbst zu erzeugen, steht das Tool snmptrap zur Verfügung. Für v2/v3 lautet die Syntax:

$ snmptrap -v 2c -c public host "" UCD-NOTIFICATION-TEST-MIB::demoNotif \
   SNMPv2-MIB::sysLocation.0 s "Just here"

Beim Senden von SNMP-Traps wird die angegebene SNMP-Community verwendet, um den Trap gegenüber der empfangenden Management-Station zu authentifizieren.

Ersetzen Sie 2c durch v3, wenn Sie mit einem SNMP v3-Agenten kommunizieren.

Um SNMP auf Ihrem Linux-System einzurichten, müssen Sie zunächst das Paket Net-SNMP installieren. Es enthält den zentralen SNMP-Daemon sowie die wichtigsten SNMP-Utilities. Für die Installation der SNMP-Pakete benötigen Sie sudo-Rechte, damit Sie die erforderlichen Berechtigungen zum Ändern von Systemdateien haben.

Auf Debian-basierten Distributionen wie Ubuntu können Sie den SNMP-Daemon und die SNMP-Tools mit folgendem Befehl installieren:

sudo apt-get install snmpd snmp

Wenn Sie eine Red-Hat-basierte Distribution wie CentOS verwenden, nutzen Sie stattdessen folgenden Befehl:

Nach der Installation stehen Ihnen alle erforderlichen Komponenten zur Verfügung, um SNMP zu konfigurieren, Ihren Linux-Host zu überwachen und auf SNMP-Anfragen zu reagieren. Sobald Sie diese Installations- und Konfigurationsschritte abgeschlossen haben, ist SNMP auf Ihrem Linux-System aktiviert. Das Paket net-snmp wird breit unterstützt und regelmäßig aktualisiert. Die SNMP-Pakete werden breit unterstützt und regelmäßig aktualisiert und sind damit eine zuverlässige Wahl, um SNMP auf Ihren Linux-Geräten zu nutzen.

Wir wissen bereits, welche Möglichkeiten net-snmp bietet, um SNMP für das Monitoring von Linux-Servern zu nutzen. Jetzt müssen wir uns ansehen, wie man SNMP unter Linux konfiguriert.

Die Konfigurationsdatei des SNMP-Daemons befindet sich für SNMPv1 und SNMPv2 in der Regel unter /etc/snmp/snmpd.conf. Wenn Sie, wie empfohlen, v3 verwenden, befindet sich die zusätzliche Konfiguration in ​​/var/lib/net-snmp/snmpd.conf. Diese Datei speichert keine Änderungen, während der Daemon läuft. Daher müssen Sie den Daemon stoppen, bevor Sie die Datei ändern.

Beide Dateien sind ausführlich kommentiert, um die Konfiguration von SNMP unter Linux zu erleichtern. Um den SNMP-Zugriff zu aktivieren, müssen Sie der Datei /etc/snmp/snmpd.conf spezifische Konfigurationszeilen hinzufügen. Damit definieren Sie Sicherheitseinstellungen, Community-Strings und Zugriffsrechte. Um beispielsweise den Systemstandort festzulegen und den Zugriff zu steuern, können Sie folgende Zeilen hinzufügen:

syslocation "Data Center Rack 3"   # system location
rocommunity public                 # read-only community string

Standardmäßig erlaubt SNMP nur Verbindungen vom lokalen Computer bzw. lokalen System. Um Verbindungen von Remote-Geräten zuzulassen, müssen Sie die entsprechende Zeile in der Konfigurationsdatei des Daemons anpassen und den externen Zugriff erlauben.

Sobald der SNMP-Daemon korrekt konfiguriert ist, kann der Dienst snmpd wie erwartet auf SNMP-Anfragen reagieren. Es gibt Befehle, die die SNMP-Konfiguration unter Linux vereinfachen und Netzwerk- sowie Systemadministratoren die Arbeit erleichtern.

Bevor Sie mit der SNMP-Konfiguration unter Linux beginnen, stellen Sie sicher, dass Ihre Firewall SNMP-Traffic zulässt. snmpd verwendet standardmäßig den UDP-Port 161. Mit iptables öffnen Sie diesen Port wie folgt:

$ iptables -A INPUT -s <ip addr> -p udp -m udp --dport 161 -j ACCEPT $ iptables -A OUTPUT -p udp -m udp --sport 161 -j ACCEPT

Für firewalld lautet der Befehl:

$ firewall-cmd --permanent --add-port=161/udp

Dies gilt, wenn snmpd auf einem Host läuft und Abfragen zugelassen werden sollen. Wenn Sie lediglich einen externen Host überwachen möchten, reicht es aus, sicherzustellen, dass dieser Host erreichbar ist.

Die ersten beiden Versionen des Protokolls bieten eine einfache Authentifizierung durch einen Community-String. Dabei handelt es sich um eine Art Passwort, das im Klartext oder als Hash über das Netz weitergegeben wird, und zwar auf unsichere Weise. Dieser String muss vor der Kommunikation zwischen SNMP-Hosts und -Geräten eingerichtet werden.

Die Direktive rocommunity oder rwcommunity in der Datei snmpd.conf deklariert diesen String:

community [source [OID]]

community ist der verwendete String, source ist eine IP-Adresse oder ein Subnetz, und die OID ist der SNMP-Baum, auf den der Zugriff erfolgen soll. Das ist im Grunde alles, was nötig ist, um über SNMP zwischen Hosts zu kommunizieren.

Es wird empfohlen, der Datei snmpd.conf einen Standort und Kontaktinformationen hinzuzufügen, um andere Nodes im Netzwerk darüber zu informieren, wo sich dieser SNMP-Host befindet und wer für ihn verantwortlich ist. Fügen Sie ein paar Zeilen nach community ein:

syslocation Somewhere (In the World)
syscontact Admin <admin@somewhere.com>

Starten Sie den snmpd-Daemon mit systemctl restart snmpd neu und der Linux-SNMP-Host ist bereit, auf SNMP-Anfragen zu antworten.

Die Konfiguration von snmpd unter Linux mit der neuesten Version des Protokolls ist etwas komplexer als bei den Vorgängerversionen. Zunächst einmal gibt es jetzt zwei Konfigurationsdateien: nicht nur /etc/snmp/snmpd.conf, sondern auch /var/lib/net-snmp/snmpd.conf. Glücklicherweise enthält das net-snmp-Paket mit net-snmp-create-v3-user einen Command-Helper, mit dem Sie konfigurieren können, unter wem der SNMP-Linux-Server laufen soll.

Stoppen Sie zunächst den Daemon und erstellen Sie anschließend den SNMP-Benutzer mit folgendem Befehl:

$ net-snmp-create-v3-user
Enter a SNMPv3 user name to create:
admin
Enter authentication pass-phrase:
yourpassphraseofchoice
Enter encryption pass-phrase:
  [press return to reuse the authentication pass-phrase]

  adding the following line to /var/lib/net-snmp/snmpd.conf:
     createUser admin MD5 "yourpassphraseofchoice" DES
  adding the following line to /etc/snmp/snmpd.conf:
     rwuser admin 

Die letzte rwuser-Richtlinie hat ein ähnliches Format wie die obige Community:

  user [noauth|auth|priv] [OID]

user ist ein Benutzername und OID ist der Baum, auf den Zugriff gewährt werden soll. Standardmäßig lässt der snmpd-Daemon in v3 nur authentifizierte Anfragen (auth) zu, während die Option noauth jede beliebige Anfrage zulässt und die Option priv die Verschlüsselung erzwingt. Die Strings lassen sich kombinieren. Unsere empfohlene Option für maximale Sicherheit ist authpriv, was spezifiziert, dass Anfragen authentifiziert und Antworten verschlüsselt werden müssen.

Um das nicht sehr hohe Standard-Sicherheitsniveau von snmpd zu verbessern, können einige Optionen zu net-snmp-create-v3-user hinzugefügt werden:

• -a SHA: verwendet den moderneren SHA-Hashing-Algorithmus anstelle von MD5.
• -x AES: verwendet die AES-Verschlüsselung anstelle des veralteten DES.

Beide Optionen sollten gesetzt werden, da sie die Kommunikations- und Authentifizierungsschritte auf sicherere Protokolle umstellen. Leider entspricht keines der beiden Protokolle den modernen Standards. SNMP ist daher für eine moderne Organisation, die Hosts und Geräte in einer sicheren, privaten und effizienten Umgebung überwachen möchte, keine gute Wahl.

Wenn Probleme mit Ihrer SNMP-Konfiguration auftreten, können Sie verschiedene Schritte durchführen, um typische Fehler zu diagnostizieren und zu beheben:

1. Prüfen Sie den Status des SNMP-Dienstes, um sicherzustellen, dass er korrekt läuft:

sudo systemctl status snmpd

2. Überprüfen Sie Ihre Konfigurationsdatei /etc/snmp/snmpd.conf auf Syntaxfehler oder fehlende Direktiven. Schon ein kleiner Tippfehler kann verhindern, dass der SNMP-Daemon startet oder auf Anfragen reagiert.

3. Testen Sie die SNMP-Konnektivität mit dem Befehl snmpwalk. Damit können Sie prüfen, ob Ihr SNMP-Dienst erreichbar ist und wie erwartet antwortet:

snmpwalk -v 2c -c mycommunitystring 127.0.0.1

Ersetzen Sie mycommunitystring durch Ihren tatsächlichen Community-String.

4. Prüfen Sie die System-Logs auf Fehlermeldungen im Zusammenhang mit dem SNMP-Dienst. Diese können hilfreiche Hinweise liefern, wenn der SNMP-Daemon nicht startet oder Probleme auftreten:

sudo journalctl -u snmpd

Wenn Sie den Status des SNMP-Dienstes, die Konfigurationsdatei, die Konnektivität und die Logs systematisch prüfen, lassen sich die meisten SNMP-Konfigurationsprobleme auf Ihrem Linux-Host schnell identifizieren und beheben.

Um eine sichere und effiziente SNMP-Konfiguration auf Ihren Linux-Servern zu gewährleisten, sollten Sie die folgenden Best Practices beachten:

1. Verwenden Sie immer einen starken, eindeutigen Community-String und beschränken Sie den SNMP-Zugriff auf vertrauenswürdige Hosts oder bestimmte IP-Adressen, um unbefugten Zugriff zu minimieren.

2. Falls organisatorisch sinnvoll, kann SNMP auf einem nicht standardmäßigen Port betrieben werden. Dies reduziert unter Umständen einfache automatisierte Scans, sollte aber nicht als primäre Sicherheitsmaßnahme verstanden werden. Setzen Sie stattdessen vor allem auf Zugriffsbeschränkungen, Firewall-Regeln und SNMPv3.

3. Verwenden Sie nach Möglichkeit SNMPv3. Diese Version bietet erweiterte Sicherheitsfunktionen wie Benutzerauthentifizierung und Verschlüsselung und schützt Ihre SNMP-Daten so vor Abfangen und Manipulation. Die größere Paketgröße und der zusätzliche Overhead können in sehr stark ausgelasteten oder großen Netzwerken jedoch zu Performance-Problemen führen.

4. Beschränken Sie den SNMP-Zugriff auf die tatsächlich benötigten Bereiche des OID-Baums. So reduzieren Sie die Menge der offengelegten Systeminformationen und minimieren die Angriffsfläche.

5. Halten Sie Ihr net-snmp-Paket oder die entsprechende Alternative Ihrer Linux-Distribution aktuell, um von den neuesten Sicherheits-Patches und Verbesserungen zu profitieren.

6. Überwachen Sie den SNMP-Traffic regelmäßig und prüfen Sie die Logs auf ungewöhnliche Aktivitäten oder unautorisierte SNMP-Anfragen. So können Sie potenzielle Sicherheitsbedrohungen schneller erkennen und darauf reagieren.

7. Nutzen Sie eine zentrale Monitoring-Lösung, um mehrere SNMP-fähige Geräte effizient zu verwalten und zu überwachen. So stellen Sie eine konsistente SNMP-Konfiguration und Kontrolle über Ihr Netzwerk hinweg sicher.

8. Prüfen und verstehen Sie die Standardkonfiguration von snmpd, insbesondere wenn Sie mit mehreren VRFs oder Netzwerkkontexten arbeiten. So stellen Sie sicher, dass SNMP sowohl in Standard- als auch in spezifischen VRF-Szenarien korrekt funktioniert.

Wenn Sie diese Best Practices befolgen, können Sie SNMP auf Ihren Linux-Hosts so konfigurieren, dass Funktionalität und Sicherheit ausgewogen sind. Dadurch ermöglichen Sie ein zuverlässiges Monitoring und schützen Ihre Systeme zugleich vor gängigen SNMP-bezogenen Schwachstellen.