公共组织(比如学院或大学)以公开的只读格式发布 Nagios 等监控服务有哪些危险?
答案1
我认为向 Nagios 提供公共接口的最大风险是 Nagios CGI 不是以坚固的方式编写的(至少他们从未声称如此)。原始的 Nagios 接口会像筛子一样泄露内部信息。
共享信息本身并没有什么不安全之处(只要您考虑到所泄露信息的价值),并且您意识到模糊性会降低您的安全性。
最好的解决方案可能是使用 NagVis (http://www.nagvis.org/) 创建一个用户友好的页面,人们可以以比 Nagios 的原始服务列表更有意义的方式查看状态更新。
如果您决定仅显示输出,请务必阅读 Nagios 安全注意事项页面 (http://nagios.sourceforge.net/docs/3_0/security.html)
答案2
我上大学的时候,他们曾经将“老大哥”作为公共只读服务提供,所以这并不罕见。如果机器不是全部安全,了解网络拓扑可能会带来风险,如果您还报告版本号,那么这条信息对于确定可能的漏洞很有用。
你可以而且应该限制向公众提供的信息,但我们发现了解哪些服务发生故障以及何时恢复,对于我们的支持人员与学院其他部门进行沟通非常有价值。
答案3
我认为从安全角度和用户角度来看,让脚本生成一个静态 HTML 页面,其中包含对用户重要的服务/服务器的状态,可能会更容易。这对大多数人来说会更容易理解——我认为很多人会发现软状态和硬状态等令人困惑。而且这样就不会暴露任何 Nagios 界面。