你好,我是 check_mk 的新手,对 linux 服务器配置不是很在行,所以感谢您的耐心。
我通过 gdebi(systemd 而不是 xinetd - 到目前为止使用的是默认配置)在 debian 下安装了 check_mk,并且已经部署了几个代理。这在大多数机器上运行良好。但在出于安全原因停用 ipv6 的机器上,它不起作用。(https://security.stackexchange.com/questions/181949/how-would-disabling-ipv6-make-a-server-any-more-secure似乎不是最糟糕的想法)
检查后netstat -npa | grep 6556
我发现它tcp6
在听。
tcp6 0 0 :::6556 :::* LISTEN 1/init
当我检查时telnet localhost 6556
,我得到了代理输出(与运行时相同check_mk_agent
)。
check_mk 仪表板告诉我它可以 ping 该服务器。所以它就在那里。
如果不激活 IPv6,我解决该问题的可能性有多大?
谢谢 :)
答案1
在 Linux 上,v6 套接字默认为双栈,但这是特定于平台的行为。当然,应用程序仍然可以进行AF_INET
套接字,如果内核中没有 v6,则必须这样做。请注意,如果没有 v6,某些应用程序可能无法再在其默认配置下工作。
但是在由于安全原因而停用 ipv6 的机器上,它不起作用。
不要在主机上完全禁用 IPv6。你已经破坏了一些东西,假装它不存在是不安全的。避免增加技术债务。
相反,请在主机上启用 IPv6 并管理您的网络。仅列举一些基础知识,RA 防护和其他第一跳安全、防火墙规则以及管理 DNS 中的 A 或 AAAA 记录。IPv6 实施不是必需的,但实际上保护网络需要了解这两者。
答案2
我现在可以切换到 ipv4。
我按照手动安装这里:
https://docs.checkmk.com/latest/de/agent_linux.html(2.5) - 这对我来说并不明显,因为gdebi
安装没有任何错误。
然后我配置将xinetd
ceckmk 套接字更改为在配置文件中监听 ipv4 /etc/xinetd.d/check-mk-agent
。