Was sind die Sicherheitsrisiken, wenn Nagios öffentlich sichtbar gemacht wird?

7

Was sind die Gefahren einer öffentlichen Organisation wie eines Colleges oder einer Universität, die Überwachungsdienste wie Nagios in einem öffentlich zugänglichen schreibgeschützten Format veröffentlicht?

jldugger
quelle

Antworten:

4

Ich denke, das größte Risiko für die Bereitstellung einer öffentlichen Schnittstelle für Nagios besteht darin, dass die Nagios-CGIs nicht hart geschrieben wurden (zumindest haben sie nie behauptet, dies zu sein). Eine rohe Nagios-Schnittstelle verliert interne Informationen wie ein Sieb.

Das Teilen der Informationen ist an sich nicht unsicher (solange Sie den Wert der Informationen berücksichtigen, die Sie preisgeben), und Sie sind sich bewusst, dass Ihre Sicherheit durch Dunkelheit verringert wird.

Die beste Lösung könnte darin bestehen, NagVis ( http://www.nagvis.org/ ) zu verwenden, um eine benutzerfreundliche Seite zu erstellen, auf der Benutzer Statusaktualisierungen auf eine Weise sehen können, die für sie aussagekräftiger ist als die Rohdienstliste von Nagios.

Wenn Sie nur die Ausgabe anzeigen möchten, lesen Sie unbedingt die Seite mit den Sicherheitsaspekten von Nagios ( http://nagios.sourceforge.net/docs/3_0/security.html ).

Matt Simmons
quelle
+1. Schöne Aspekte des CGI, und Dunkelheit ist sowieso absolut null wert. Angreifer sind normalerweise automatisiert. Wen interessieren also die Informationen auf dieser Seite? =)
Commander Keen
1

Als ich auf dem College war, haben sie Big Brother als öffentlichen Nur-Lese-Dienst angeboten, also ist das nicht ungewöhnlich. Wenn Sie die Topologie des Netzwerks kennen, kann dies zu Risiken führen, wenn nicht alle Computer sicher sind und wenn Sie auch Versionsnummern angeben. Diese Informationen sind hilfreich, um mögliche Schwachstellen zu ermitteln.

Sie können und sollten die Informationen, die der Öffentlichkeit zur Verfügung stehen, einschränken. Wir haben jedoch festgestellt, dass es für unsere Support-Mitarbeiter bei der Kommunikation mit dem Rest des Colleges von Nutzen ist, zu wissen, welche Dienste nicht verfügbar sind und wann sie wieder verfügbar sind.


quelle
0

Ich denke, es könnte sowohl aus Sicherheits- als auch aus Benutzersicht einfacher sein, wenn ein Skript eine statische HTML-Seite mit dem Status der Dienste / Server generiert, die für Benutzer wichtig sind. Dies wäre für die meisten Menschen viel einfacher zu verstehen - ich denke, viele werden weiche und harte Zustände usw. verwirrend finden. Auch auf diese Weise wird keine der Nagios-Schnittstellen freigelegt.

Kyle Brandt
quelle