Accueillez à la partie de Nagios et d'Ubuntu 9.04 ! Aujourd'hui je démontrerai point par point comment fixer votre serveur de Nagios avec le SSL !

Dans la partie, j'ai démontré la première étape à fixer Nagios et Apache utilisant l'authentification de sommaire.  Par défaut, Nagios et Apache n'ont pas la sécurité suffisante à lancer sans risque dans un environnement de production.  Spécifiquement, il transmet tout le trafic de données en texte clair à travers le réseau.  Partie démontrée comment à à un minimum strict, chiffrez l'information de l'ouverture et de mot de passe de l'utilisateur qui vous est transmis chaque fois charge une nouvelle page dans Nagios.  Cependant, les données aux pages sont encore introduites le texte clair, excepté les qualifications.

Et c'est où ce guide entre, pour ceux de nous qui comme tout les trafic à chiffrer.  Pas simplement l'ouverture et le mot de passe de l'utilisateur.  Ceci est simplement réalisé en ouvrant notre propre certificat de SSL et en exigeant de Nagios d'employer le SSL à chaque tour.

De nouveau, je voudrais réitérer ceci rend Nagios et Apache beaucoup plus bloqués.  Mais je recommande toujours de continuer sur les dernières nouvelles de sécurité simplement parce que le SSL n'est pas 100% bloqué, mais il le rend certainement beaucoup plus difficile à fendre !  En outre, il peut y avoir beaucoup de considérer en ajoutant un certificat de SSL.  Cependant la portée de ce guide est de te montrer comment produire simplement de votre propre certificat qui n'est pas prévu pour l'usage de phase de production.  Cependant est grand pour le serveur l'essai intérieurement utilisé.

Si vous souhaitez gagner un CERT de SSL de pièce de théâtre, vous avez une large variété d'endroits pour les acheter.  Une recherche rapide sur Google montre Register.com, Thawte.com, Geotrust.com, Trustico.com, ssl247.com, clickssl.com et beaucoup de beaucoup plus.  Je n'ai jamais acheté un avant, ainsi je ne peux pas vraiment te dire ce qui pourrait être meilleur que l'autre.  Vous devrez simplement faire votre propre recherche si vous souhaitez aller cet itinéraire.

Heureusement il est réellement tout à fait facile mettre en application SSL sur apache, il prend juste un peu de savent.  Ce guide suppose que vous êtes passé par la partie et avez déjà Nagios installé et courant correctement.  Ceci n'exige pas l'authentification de sommaire soit configuré.  Laisse ainsi commencer !

  1. Vérifiez pour voir si vous avez le SSL permis pour Apache
    2. $ LS - lah /etc/apache2/mods-enabled/

    Rendement prévu

    22:12 de la racine 4.0K 2009-08-08 de racine du drwxr-xr-x 2.
22:12 de la racine 4.0K 2009-08-08 de racine du drwxr-xr-x 7.
racine de racine du lrwxrwxrwx 1   28 2009-08-08 22:12 alias.conf - > ../mods-available/alias.conf
racine de racine du lrwxrwxrwx 1   28 2009-08-08 22:12 alias.load - > ../mods-available/alias.load
racine de racine du lrwxrwxrwx 1   33 2009-08-08 22:12 auth_basic.load - > ../mods-available/auth_basic.load
racine de racine du lrwxrwxrwx 1   33 2009-08-08 22:12 authn_file.load - > ../mods-available/authn_file.load
racine de racine du lrwxrwxrwx 1   36 2009-08-08 22:12 authz_default.load - > ../mods-available/authz_default.load
racine de racine du lrwxrwxrwx 1   38 2009-08-08 22:12 authz_groupfile.load - > ../mods-available/authz_groupfile.load
racine de racine du lrwxrwxrwx 1   33 2009-08-08 22:12 authz_host.load - > ../mods-available/authz_host.load
racine de racine du lrwxrwxrwx 1   33 2009-08-08 22:12 authz_user.load - > ../mods-available/authz_user.load
racine de racine du lrwxrwxrwx 1   32 2009-08-08 22:12 autoindex.conf - > ../mods-available/autoindex.conf
racine de racine du lrwxrwxrwx 1   32 2009-08-08 22:12 autoindex.load - > ../mods-available/autoindex.load
racine de racine du lrwxrwxrwx 1   27 2009-08-08 22:12 cgid.conf - > ../mods-available/cgid.conf
racine de racine du lrwxrwxrwx 1   27 2009-08-08 22:12 cgid.load - > ../mods-available/cgid.load
racine de racine du lrwxrwxrwx 1   30 2009-08-08 22:12 deflate.conf - > ../mods-available/deflate.conf
racine de racine du lrwxrwxrwx 1   30 2009-08-08 22:12 deflate.load - > ../mods-available/deflate.load
racine de racine du lrwxrwxrwx 1   26 2009-08-08 22:12 dir.conf - > ../mods-available/dir.conf
racine de racine du lrwxrwxrwx 1   26 2009-08-08 22:12 dir.load - > ../mods-available/dir.load
racine de racine du lrwxrwxrwx 1   26 2009-08-08 22:12 env.load - > ../mods-available/env.load
racine de racine du lrwxrwxrwx 1   27 2009-08-08 22:12 mime.conf - > ../mods-available/mime.conf
racine de racine du lrwxrwxrwx 1   27 2009-08-08 22:12 mime.load - > ../mods-available/mime.load
racine de racine du lrwxrwxrwx 1   34 2009-08-08 22:12 negotiation.conf - > ../mods-available/negotiation.conf
racine de racine du lrwxrwxrwx 1   34 2009-08-08 22:12 negotiation.load - > ../mods-available/negotiation.load
racine de racine du lrwxrwxrwx 1   31 2009-08-08 22:12 setenvif.conf - > ../mods-available/setenvif.conf
racine de racine du lrwxrwxrwx 1   31 2009-08-08 22:12 setenvif.load - > ../mods-available/setenvif.load
racine de racine du lrwxrwxrwx 1   29 2009-08-08 22:12 status.conf - > ../mods-available/status.conf
racine de racine du lrwxrwxrwx 1   29 2009-08-08 22:12 status.load - > ../mods-available/status.load
  2. Par défaut il n'est pas habituellement permis, ainsi nous maintenant installerons et permettrons le SSL
    3. SSL du sudo a2enmod de $

    Rendement prévu

    Permettre le SSL de module.
Voir le /usr/share/doc/apache2.2-common/README.Debian.gz sur la façon dont configurer le SSL et créer les certificats individu-signés.
Course « relancement de /etc/init.d/apache2 » pour activer la nouvelle configuration !
  3. Juste comme elle mentionne, relancement Apache pour permettre le nouveau module unconfigured de SSL.
    4. relancement de /etc/init.d/apache2 de sudo de $
* Recommencement du web server apache2                                  [CORRECT]
  4. Dirigez au répertoire de la configuration d'Apache
    5. $ de Cd /etc/apache2/
  5. Créez le dossier de server.key
    6. genrsa d'openssl de sudo de $ - des3 - dehors server.key 1024

    Rendement prévu

    Produire de la clef privée de la RSA, long module de 1024 bits
.......... ++++++
............. ++++++
e est 65537 (0x10001)
Écrivez l'expression de passage pour server.key :
Vérification - écrivez l'expression de passage pour server.key :
  6. Écrivez n'importe quelle expression de passage que vous aimez.  Soyez juste sûr de ne pas l'oublier ! Après nous créons notre certificat.  Complétez les messages de sollicitation au meilleur de votre connaissance.  Ils sont très francs. (FYI - Le nom commun devrait être écrit en tant que votre Fully Qualified Domain Name si vous avez un.  Autrement vous devrez ajouter une exception à votre navigateur plus tard, mais êtes bien si vous n'avez pas un pour un serveur d'essai.  Si vous avez un domaine qualifié, et l'emplacement à fixer est https://www.domain.com, vous devriez entrer dans www.domain.com pour le nom commun. )
    7. $ de sudo de req d'openssl - nouveau - clef server.key - dehors server.csr

    Rendement prévu

    Écrivez l'expression de passage pour server.key :
 Vous êtes sur le point d'être invité à écrire l'information qui sera incorporée
 dans votre demande de certificat.
 Ce que vous êtes sur le point d'entrer dans est ce qui s'appelle un nom distingué ou un DN.
 Il y a tout à fait quelques champs mais vous pouvez laisser un certain blanc
 Pour quelques champs il y aura une valeur par défaut,
 Si vous entrez « .  », le champ sera laissé blanc.
 -----
 Nom de pays (2 marquent avec des lettres le code) [AU] :
 Nom d'état ou de province (nom et prénoms) [Quelque-État] :
 Nom de localité (par exemple, ville) [] :
 Nom d'organisation (par exemple, compagnie) [Pty Ltd de Widgits d'Internet] :
 Nom d'unité d'organisation (par exemple, section) [] :
 Nom commun (par exemple, VOTRE nom) [] :
 Email address [] :
 
Veuillez écrire les attributs suivants de « frais supplémentaires »
 pour être envoyé avec votre demande de certificat
 Un mot de passe de défi [] :
 Un nom de compagnie facultatif [] :
  7. Après que tout ait été répondu, nous créerons notre certificat individu-signé. Une fois incité écrivez l'expression de passage que vous avez employée plus tôt.
    8. $ d'openssl x509 - req de sudo - signkey server.key - dehors server.crt des jours 365 - dans server.csr -

    Rendement prévu

    Ok de signature
subject=/C=/ST=/L=LA/O=/emailAddress=
Obtention de la clef privée
Écrivez l'expression de passage pour server.key :
  8. Installez le certificat
    9. cp server.crt /etc/ssl/certs/ de sudo de $
  9. Installez la clef
    10. cp server.key /etc/ssl/private/ de sudo de $
  10. Dirigez au dossier emplacement-disponible
    11. $ de Cd /etc/apache2/sites-available
  11. Ouvrez le dossier transférer-SSL ainsi nous pouvons ajouter la nouvelles clef et information de certificat
    12. transférer-SSL de nano de sudo de $
  12. Comme vous pouvez déjà voir que ce dossier est joli beaucoup complet, juste non configuré pour le SSL. Par défaut SSLEngine devrait déjà être placé à dessus.  SSLOptions devrait déjà être dedans là, mais doit juste uncommented. Et les deux derniers devraient juste devoir avoir leur chemin modifié selon à où nous avons déplacé ces dossiers.  Est ci-dessous un exemple.
    13. SSLEngine dessus
SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
SSLCertificateFile /etc/ssl/certs/server.crt
SSLCertificateKeyFile /etc/ssl/private/server.key
  13. La manière la plus facile de les trouver est de rechercher (la recherche nanoe est Ctrl+W).  Je pourrais te donner la ligne nombres, mais les choses peuvent changer avec le temps et ces la ligne nombres ne sont certainement pas statique.  Après avoir apporté vos modifications, sauf et sortez (Ctrl+O à économiser, Ctrl+X à sortir) maintenant avec nos modifications apportées, nous doit permettre l'emplacement transférer-SSL.
    14. transférer-SSL du sudo a2ensite de $

    Rendement prévu

    Permettre transférer-SSL d'emplacement.
Course « recharge de /etc/init.d/apache2 » pour activer la nouvelle configuration !
  14. Recharge Apache pour permettre nos changements
    15. recharge de /etc/init.d/apache2 de sudo de $
  15. Cela devrait accomplir la configuration de SSL pour Apache, maintenant toute que nous devons faire doit dire la configuration de Nagios Apache d'exiger le SSL.  Dirigez à l'annuaire d'Apache conf.d.
    16. $ de Cd /etc/apache2/conf.d/
  16. Ouvrez nagios3.conf
    17. nano nagios3.conf de sudo de $
  17. Ajoutez le <DirectoryMatch> intermédiaire de `de SSLRequireSSL de `et le </DirectoryMatch>.  Est ci-dessous un exemple.
    18. <DirectoryMatch (/usr/share/nagios3/htdocs|/usr/lib/cgi-bin/nagios3) >
 Options FollowSymLinks
 DirectoryIndex index.html
 AllowOverride AuthConfig
 L'ordre laissent, nient
 Permettez de tous
 SSLRequireSSL
 Accès d'AuthName « Nagios »
 AuthType de base
 AuthUserFile /etc/nagios3/htpasswd.users
 # nagios 1.x :
 /etc/nagios/htpasswd.users #AuthUserFile
 exigez le valide-utilisateur
</DirectoryMatch>
  18. Sauf et sortez hors du nano, relancement Apache
    19. relancement de /etc/init.d/apache2 de sudo de $
  19. Cette fois comme Apache se remet en marche, vous notera qu'elle te demandera une expression de passage pour votre CERT de SSL.  Entrez- dansla une fois incité à finir le relancement.
    20. * Recommencement du web server apache2
Apache/2.2.11 mod_ssl/2.2.11 (dialogue d'expression de passage)
Certains de vos dossiers principaux privés sont chiffrés pour des raisons de sécurité.
Afin de les lire vous devez fournir les expressions de passage.
 
Serveur 127.0.1.1 : 443 (la RSA)
Écrivez l'expression de passage :
 
OK : Passez le dialogue d'expression réussi.                         [CORRECT]

Cela le fait !  Laisse l'essai il dehors, indique votre navigateur « http://YOURSERVERIP/nagios3/ « .  Vous devriez recevoir un message interdit d'Apache.  Parfait !  Notification nous n'avons pas employé des https dans l'adresse.  Allez tellement maintenant en avant et indiquez votre navigateur « https://YOURSERVERIP/nagios3/ ».  Elle devrait en ce moment se plaindre au sujet du nom de serveur ne s'assortissant pas.  C'est CORRECT, vous doit juste ajouter une exception à votre navigateur.  Ceci a été démontré avec un individu fait CERT sur un serveur privé.

Après avoir ajouté l'exception, il devrait vous inciter pour votre ouverture et mot de passe. Entrez dans vos qualifications et vous êtes dedans !

a2pn4y96cu

Étiquettes :