Il y a un grand nombre de tutoriels et beaucoup de documentation sur l’installation de SNMP pour la version 1 et 2 du protocole.
Cependant les informations sur la version 3 sont très rares et ne sont souvent pas adaptées à la distribution Debian. En terme de sécurité, il est pourtant vivement recommandé d’utiliser la dernière version du protocole SNMP et profiter du chiffrement et d’un meilleur contrôle d’accès. C’est pourquoi, je vous propose un rapide tutoriel pour bien démarrer.

Installation

aptitude install snmp snmpd libsnmp-dev

Il est nécessaire de stopper le démon snmpd pour procéder aux modifications
/etc/init.d/snmpd stop

Création des utilisateurs

On a besoin de deux utilisateurs avec des rôles et des droits d’accès différents :

• un administrateur que nous appellerons “admin”
  Il aura le droit de lire et de modifier l’intégralité de la MIB
• un utilisateur “system”
  Avec un droit en lecture uniquement sur des parties spécifiques de MIB sur lesquelles on récupère des informations pour les statistiques.

L’ajout des utilisateurs ce fait à l’aide de la commande net-snmp-config.

Syntaxe :
net-snmp-config –create-snmpv3-user [-ro] [-A authpass] [-X privpass]
[-a MD5|SHA] [-x DES|AES] [username]

Deux mots de passes sont requis pour l’authentification et le chiffrement. Ce qui donne pour nos utilisateurs :
net-snmp-config --create-snmpv3-user -a SHA -A authpass1 -x DES -X chiffrepass1 admin
net-snmp-config --create-snmpv3-user -a SHA -A authpass2 -x DES -X chiffrepass2 system

Remplacez bien entendu authpass1, authpass2, chiffrepass1 et chiffrepass2 par vos propres mots de passe.

On démarre le service snmpd
/etc/init.d/snmpd start

Verification

On doit voir apparaitre dans le fichier /var/lib/snmp/snmpd.conf deux lignes qui commencent par usmUser pour les utilisateur créés.
Par exemple :
usmUser 1 3 0x800rezd80d2b487119d794947 0x61dsfsf00 0x61646d696e00 NULL .1.3.6.1.6.3.10.1.1.3 0xe8c96515050a3dfgddgdb05546d0404cb8846 .1.3.6.1.6.3.10.1.2.2 0x72cc4831fa873f9d6935cvxvfe78a1bd5e 0x00
usmUser 1 3 0x80001f8fdgrz0d2b487119d79494fsfs74656d00 0x73797374656d00 NULL .1.3.6.1.6.3.10.1.1.3 0xb9cf1ccd93cda175e59e4c8gfdgd106bb8806395 .1.3.6.1.6.3.10.1.2.2 0x6dd31d526ab5718e6bcxvx7f07152069 ""

Configuration

Le fichier à modifier est /etc/snmp/snmpd.conf
On créé une copie de sauvegarde du fichier : cp -a /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.sav

Nouveau contenu du fichier de configuration :

# Restriction du service à l'adresse du serveur
agentaddress xx.xx.xx.xx

# Création des groupes pour chaque user pour le contrôle d'accès
group rwgroup usm admin
group rogroup usm system

# Création des vues sur la MIB pour restreindre les accès des groupes
# incl/excl subtree mask
view all included .1
view system included .iso.org.dod.internet.mgmt.mib-2.system

# Autorisation pour chaque groupe sur les différentes vues
# context sec.model sec.level match read write notif
access rwgroup "" usm priv exact all all none
access rogroup "" usm priv exact system none none

# Personalisation des informations du serveur
syslocation locatlisation_du_serveur (configure /etc/snmp/snmpd.conf)
syscontact hostmaster (configure /etc/snmp/snmpd.conf)

Vous pouvez télécharger un exemple du nouveau fichier de configuration Ici
Remplacez xx.xx.xx.xx par l’adresse IP du serveur.
Pour prendre en compte les nouvelles modifications on relance le démon snmpd
/etc/init.d/snmpd restart

Tests

On verifie que le service est bien chargé : ps fax | grep snmpd
Les commandes suivantes doivent donner l’uptime du système (depuis l’installation du service snmpd) :

snmpget -v 3 -u admin -l authPriv -a SHA -A authpass1 -x DES -X chiffrepass1 localhost sysUpTime.0
snmpget -v 3 -u system -l authPriv -a SHA -A authpass2 -x DES -X chiffrepass2 localhost sysUpTime.0

Ce qui doit afficher :
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (431580) 1:11:55.80

Pour aller plus loin

La MIB fournie contient des données sur un certain nombre de paramètres du système. A vous de la personnaliser pour ajouter de nouveaux scripts de surveillance spécifiques à votre domaine. Il est maintenant temps d’installer un logiciel de monitoring qui va utiliser les informations fournies par SNMP pour réaliser des graphes ou lancer des alertes en cas de problème. Un prochain tutoriel portera sur la configuration de Cacti.

Quelques liens utiles

• Tutoriel sur le site de Net-SNMP
  La référence, attention cependant aux versions des documents proposés !

• Utilisation et Chargement de la MIB
  Un document sur l’ajout d’informations dans la MIB

Ce matin, je me suis aperçu que le blog spiroid n’était plus en ligne. En cherchant la cause sur le serveur et en analysant les logs d’erreur d’apache j’ai trouvé la ligne suivante :

[crit] (28) No space left on device: mod_rewrite: could not create rewrite_log_lock Configuration Failed

Je me suis cependant assuré qu’il restait de la place sur le disque dur à l’aide de la commande ‘df‘. Après une rapide recherche sur internet, j’ai trouvé que je n’étais pas le seul avoir ce problème.

Rapport de bug

Le bug a été signalé sur le système de bugtracking de debian : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=450831

Les informations importantes :
Version d’apache concernée: 2.2.6-1
Debian : Lenny
Package : apache2-mpm-prefork

Cause

L’origine du problème pourrait venir de l’utilisation des sémaphores par le module rewrite (url rewriting).
On peut supposer qu’il s’agit d’un problème d’allocation mémoire.

Solution

Pas de patchs ni de correctifs ont été proposés pour le moment.

Solution temporaire

Pour débloquer la situation et libérer les ressources, entrez la commande suivante :
ipcs -s | grep www-data | awk ' { print $2 } ' | xargs ipcrm sem

Le problème est bloquant et risque de survenir après la rotation des logs configurée en général pour se produire chaque jour ou chaque semaine en temps normal. On peut ajouter temporairement la commande ci dessus dans les scripts de configuration de logrotate pour l’executer après chaque redémarrage d’apache lors des rotations de log (Non testé !)

A suivre …

EDIT : Corrigé depuis la version 2.2.8
EDIT : La correction du bug est prévue officiellement pour la version 2.2.9-3

Le premier post de ce blog porte sur une fonctionnalité peu connue mais indispensable pour une administrateur système Debian : les alternatives.

Toutes les distributions Linux fournissent un ensemble de programmes qui offrent des fonctionnalités identiques ou semblables. Ainsi, on trouve sur la plupart des systèmes plusieurs éditeurs de texte : vi, emacs, nvi, ed ou encore nano. Chaque utilisateur a sa préférence, et peut utiliser l’éditeur de son choix en appelant la commande correspondante.

Les choses se compliquent en revanche lorsqu’un programme doit proposer le bon éditeur alors que l’utilisateur n’a pas défini explicitement lequel il voulait utiliser. Debian propose une solution avec le système d’”Alternatives”.

En réalité, lorsqu’un programme nécessite que l’utilisateur modifie un fichier, il appelle un “éditeur générique”. Cet éditeur générique /usr/bin/editor est en fait un lien symbolique vers une entrée dans le répertoire des alternatives : /etc/alternatives/editor. /etc/alternatives/editor renvoie à son tour vers un des éditeurs présents sur la machine et choisi par l’administrateur système. Par exemble : /usr/bin/vim.

L’outil pour gérer les alternatives est update-alternatives
Quelques exemples d’utilisation :

• Configurer Vim comme éditeur système par défaut :
  update-alternatives --set editor /usr/bin/vim.basic

• Choisir un éditeur dans la liste des éditeurs installés sur le système :
  update-alternatives --config editor

• Less en tant que pager par défaut :
  update-alternatives --set pager /usr/bin/less

Grâce à une bonne gestion des alternatives, l’administrateur système Debian contrôle son environnement et va mettre en place
une stratégie d’utilisation des programmes par défaut et faciliter son travail quotidien.

Plus d’informations sur le sujet :

• http://www.debian-administration.org/articles/91 : très bonne ressource en anglais écrit par Steve Kemp, un des membres du projet Debian.
• http://doc.domainepublic.net/linux/faq_debian-user/debfr-faq014.html : une faq en français qui va un peu plus loin.

Et surtout n’oubliez pas : man update-alternatives reste votre meilleure source d’informations