Обезопасить закрытый ключ на сервере мониторинга NAGIOS

ты в гос учреждении? у тебя ФСТЭК? что ты себе голову забиваешь, пока з\п больше 5 нулей не будет, даже не парься о таком.

Ну вот, но на самом то деле вопрос очень важный, как это не париться? У меня предположим 10-клиентов, которых я мониторю. Сервер Nagios, как сказал VPS (х.з что на уме у хостера, либо каким-либо образом угнали закрытый ключ), что дальше? Доступ ко всем 10-ти серверам у кого-то в руках? Что ждать? Думаю ничего хорошего.

vps похрен на тебя, у них есть рыбку покрупнее и посолиднее, я бы на твоём меньше больше боялся за свой комп домашний и квартиру, в преддверии дарения 20 млн гражданства рф. шанс, что у тебя отнимут квартиру и имущество выше, чем что кто-то залезет на твой vps.

шанс, что у тебя отнимут квартиру и имущество выше, чем что кто-то залезет на твой vps.

Решение вопроса из первого поста есть какое-то?

измени стандартные порты, запрети коннект руту, запрети чтение файла всем кроме рута и нагиоса.

Stop using Nagios!

а вот если запаролить закрытый ключ, то можно каким-то образом настроить Nagios, чтобы он через ssh-agent кешированный пароль подставлял туда? И скорее всего даже если возможно то после каждой перезагрузки сервера, где стоит сервер-Nagios придется руками заходить под пользователем nagios и добавлять инфу о закрытом ключе?

http://www.techrepublic.com/blog/linux-and-open-source/remotely-monitor-serve...

это пробовал?

это пробовал?

Так именно так у меня и работает сейчас - это и есть описание SSH-транспорта через ключи и далее через плагин check_by_ssh мониторинг удаленных серверов. А закрытый ключ не зашифрован паролем, как и в этой статье: This creates the key without a passphrase

просто эталонный образчик эникея

спасибо, буду знать, я первую ссылку с гугла кинул, прочитав начало.

О, прикольно, теперь буду этим тыкать любителей поднять нагиос.

всё, успокоился?душа довольна?

ты других своему эникейскому подходу не учил бы

А у тебя и не будет никогда зарплаты в пять нулей, именно потому что ты не паришься о подобном. Прирожденный эникей.

http://sourceforge.net/p/nagios/mailman/message/14936003/

а вот если запаролить закрытый ключ, то можно каким-то образом настроить Nagios, чтобы он через ssh-agent кешированный пароль подставлял туда? И скорее всего даже если возможно то после каждой перезагрузки сервера, где стоит сервер-Nagios придется руками заходить под пользователем nagios и добавлять инфу о закрытом ключе?

Сделал через ssh-agent, мда, через терминал нормально ходит без запроса пароля шифрования закрытого сертификата, Nagios (check_by_ssh) - нифига.

Потом увидел твой пост:

http://sourceforge.net/p/nagios/mailman/message/14936003/

там как раз проблема с ssh-agent+nagios, но костыли, которые там предлагают как альтернативу чего-то не стал делать - это уже из ряда вон костыль какой-то.

весь нагиос костыль, проекту хренова туча лет, а конфиги до сих пор голову ломай.

Типичный хейтер, все обосрал без объяснений, показал какие-то разрозненные тулзы, которые если объединить, то получится мониторинг (его, аФтора) мечты. кг/ам как говорилось.

На сервере держать запароленный приватный ключ не имеет смысла. Если злоумышленник получит доступ к серверу, то ключ он сможет и из памяти nagios вытянуть

http://www.trapkit.de/research/sslkeyfinder/keyfinder_v1.0_20060205.pdf

Выбрал бы snmp все могло пойти по другому.

Никогда не использовал Nagios, но может копать в другом направлении?

Например чтобы после подключения к этим 10 серверам с ключом, у пользователя не было бы рутового доступа.