我已经在服务器上安装了 SNMP。我只是按照在线教程操作。我不知道它是什么。几天前,我们购买服务器的地方发了一封电子邮件
滥用消息 [AbuseID:2B760B:25]: AbuseBSI: [CERT-Bund#2015020428001579] AS24940 中提供的 SNMP 服务 - 2016-09-17
Shadowserver 向 CERT-Bund 提供托管在德国的 IP 地址的测试结果,以便通知受影响系统的所有者。有关 Shadowserver 运行的测试的更多信息,请参阅 [2]。
请参阅以下您网络上托管的受影响系统列表。时间戳(时区 UTC)表示系统何时接受测试并响应来自互联网的 SNMP 请求。
我们希望您检查此问题并采取适当措施来保护受影响系统上的 SNMP 服务或相应地通知您的客户。
我的问题是,保护 SNMP 安全的步骤是什么?在博客上,有人提到更改默认社区字符串。所以我在 Google 上搜索了此内容,并编辑了此文件nano /etc/snmp/snmpd.conf,并将社区字符串添加为public hostIP(on which snmp installed)。
但我不确定到目前为止我做了什么。如果有人有同样的经历,请指导我。任何帮助都将不胜感激。
答案1
这封意外的警告可能看起来像是一封未经请求的电子邮件,但实际上是合法的,来自德国德国联邦信息技术安全局联邦信息安全办公室欧盟 CERT。
联邦机构的计算机应急响应小组有一个计划,积极向德国组织和企业发出潜在在线威胁警报。如果您的系统由德国提供商(如 Hetzner)托管,您也可能会收到此类警告。
在这种情况下,端口扫描检测到您的某个系统上的 SNMP 服务处于活动状态。与许多协议一样,SNMP 很容易被滥用来实施反射和放大拒绝服务攻击。它还是一种您不需要向整个互联网公开的协议/服务。
您有多种不同的选择:
您实际上并不使用 SNMP,可以简单地禁用该服务(
systemctl stop snmpd&systemctl diasable snmpd)或卸载它。您使用 snmp 进行监控,但监控服务在同一台主机上运行?编辑
/etc/snmp/snmpd.conf并配置 snmpd,使其仅接受发送到本地环回接口而不是您的公共 IP 的请求,方法是设置agentAddress udp:127.0.0.1:161您使用 snmp 进行监控,但监控服务在另一台主机上运行?设置防火墙,允许该特定主机连接到端口 UDP 161,并禁止所有其他主机。