Pandora: Documentation ja: Anexo Configurando SSHyFTP

From Pandora FMS Wiki
Jump to: navigation, search

Pandora FMS ドキュメント一覧に戻る

1 Pandora FMS へのデータ取り込みのための SSH 設定

1.1 暗号化 SSH サーバ

Pandora FMS は、エージェントからサーバへデータをコピーするのに、sftp/ssh2 (scp) を利用することができます。そのためには、少なくとも一つの SSH2 を起動したデータサーバが必要です。厳しいセキュリティのネットワークでは、重要なリスクになるかもしれません。OpenSSH2 はとてもセキュアですが、物理的に切り離す以上のセキュリティにはなりません。よりセキュアにするためには、検討する必要があります。

SSH を利用するには、scponly を利用することをお勧めします。これは、特定のユーザでリモートからの SSH セッションを拒否するツールです。これにより、pandora ユーザでの SSH アクセスを拒否し、sftp/s のみを利用できるようにします。

1.1.1 Scponlyとは?

Scponly は、リモートユーザがコマンド実行権限を付与せずに、ファイルの読み書きのみをできるようにするための代替えシェルです。これは、システムと SSH アプリケーションの中間に位置するものと考えることができます。

Scponly の標準的な利用には、anonymous ftp のように準公開アカウントを作成します。これにより、FTP のようにファイルを共有することができます。それでありながら、SSH のような保護が可能です。FTP の認証でネットワーク越しにプレーンテキストが流れるという点と異なります。

scponly を使うと、pandora ユーザをセキュアにするのがとても簡単です。

scponly を次のようにインストールします。(Debian の場合)

 	apt-get install scponly 

もしくは、リポジトリから yum install scponly でインストールするか、手動で rpm -i scponly を実行してインストールします。

pandora ユーザのシェルを scponly に置き換えます。

 	usermod -s /usr/bin/scponly pandora

以上で完了です。これにより pandora ユーザは scp でファイルをコピーできますが、サーバにログインできないようにすることができます。

より詳細は、[1] を参照ください。

1.2 FTP サーバ (proftpd) のセキュリティ強化

Proftpd.png

バージョン 1.3 から Pandora FMS はすべてのプラットホームのエージェントで XML データファイルの転送に FTP の利用をサポートしています。これを利用するには、データサーバで pandora ユーザでアクセスできる FTP サーバを用意する必要があります。これは、セキュアなネットワークでは、リスクになる可能性があります。

セキュアな FTP サーバを用意するには、GPL の FTP サーバソフトウエアである proftpd の利用をお勧めします。アクセスを制限するためのいくつかのオプションがあります。

以下のようなパラメータを proftpd.conf に設定することをお勧めします。

 Umask                 077  077
 MaxInstances	        30
 DefaultRoot /var/spool/pandora/data_in pandora

DefaultRoot ディレクティブで、グループに pandora を利用しているので、pandora ユーザを所属させる pandora グループを作成する必要があります。

ほかには、ユーザ単位のアクセスを制御する /etc/ftpusers というファイルがあります。このファイルには、サーバに接続できない全ユーザが書かれています。

   [[email protected]]# cat /etc/ftpusers

   root
   bin
   daemon
   adm
   lp
   sync
   shutdown
   halt
   mail
   news
   uucp
   operator
   games
   guest
   anonymous
   nobody

pandora ユーザで FTP 接続を行い、/var/spool/pandora/data_in とは違うディレクトリ (ユーザからはこのディレクトリのみが見えるはずです) にアクセスできるか試してみてください。

1.3 Vsftpd でのセキュリティ強化

Vsftpd は、FTP のセキュリティ強化をするための設定があります。しかし、これは、'scponly と競合します。同時に FTP および SSH を使えるようにするために、pandora アカウントでセキュリティを強化するにはいくつかの変更を行う必要があります。

  1. pandora ユーザの ホーム ディレクトリを /var/spool/pandora/data_in に変更します。
  2. デフォルトのシェルを scponly のままにします。
  3. /home/pandora/.ssh ディレクトリを、/var/spool/pandora/data_in にコピーもしくは移動します。/.ssh ディレクトリのオーナーが pandora ユーザで正しいパーミッションになっていることを確認してください。
  4. vsftpd の設定ファイル /etc/vsftpd.conf を修正し、以下の設定を加えます。
check_shell=NO
dirlist_enable=NO
download_enable=NO
deny_file=authorized_keys
deny_file=.ssh
chroot_local_user=YES

この修正で、pandora ユーザのホームディレクトリを /var/spool/pandora/data_in とし、pandora ユーザにリモートからシェルログインを許可しないようになります。また、同じ pandora ユーザで FTP 転送も許可します。しかし、データを受け取るディレクトリにのみアクセス可能で、他のファイルがあるディレクトリにはアクセスできません。