jldugger Asked: 2009-05-29 10:27:57 +0800 CST2009-05-29 10:27:57 +0800 CST 2009-05-29 10:27:57 +0800 CST 让 Nagios 公开可见的安全风险是什么? 772 像学院或大学这样的公共组织以公开可用的只读格式发布像 Nagios 这样的监控服务有什么危险? security nagios 3 个回答 Voted Best Answer Matt Simmons 2009-05-29T10:48:47+08:002009-05-29T10:48:47+08:00 我认为向 Nagios 提供公共接口的最大风险是 Nagios CGI 没有以硬化的方式编写(至少他们从未声称是这样)。原始的 Nagios 界面会像筛子一样泄露内部信息。 共享信息本身并没有什么不安全的地方(只要您考虑到您所提供的信息的价值),并且您意识到通过默默无闻会降低您的安全性。 最好的解决方案可能是使用 NagVis ( http://www.nagvis.org/ ) 创建一个用户友好的页面,人们可以在其中以比 Nagios 的原始服务列表更有意义的方式查看状态更新。 如果您决定只显示输出,请务必阅读 Nagios 安全注意事项页面 ( http://nagios.sourceforge.net/docs/3_0/security.html ) user4253 2009-05-29T10:36:24+08:002009-05-29T10:36:24+08:00 在我上大学的时候,他们曾经将老大哥提供为公共只读服务,因此并非闻所未闻。如果机器并非都是安全的,并且如果您还报告版本号,那么了解网络拓扑可能会带来风险,那么该信息对于确定可能的漏洞很有用。 您可以而且应该限制向公众提供的信息,但我们发现了解哪些服务已关闭以及它们何时恢复对于我们的支持人员与学院其他成员的沟通很有价值。 Kyle Brandt 2009-05-29T10:42:30+08:002009-05-29T10:42:30+08:00 我认为从安全的角度和用户的角度来看,让脚本生成一个静态 HTML 页面可能更容易,其中包含对用户很重要的服务/服务器的状态。对于大多数人来说,这会更容易理解——我认为很多人会发现软状态和硬状态等令人困惑。这样也不会暴露任何 Nagios 界面。
我认为向 Nagios 提供公共接口的最大风险是 Nagios CGI 没有以硬化的方式编写(至少他们从未声称是这样)。原始的 Nagios 界面会像筛子一样泄露内部信息。
共享信息本身并没有什么不安全的地方(只要您考虑到您所提供的信息的价值),并且您意识到通过默默无闻会降低您的安全性。
最好的解决方案可能是使用 NagVis ( http://www.nagvis.org/ ) 创建一个用户友好的页面,人们可以在其中以比 Nagios 的原始服务列表更有意义的方式查看状态更新。
如果您决定只显示输出,请务必阅读 Nagios 安全注意事项页面 ( http://nagios.sourceforge.net/docs/3_0/security.html )
在我上大学的时候,他们曾经将老大哥提供为公共只读服务,因此并非闻所未闻。如果机器并非都是安全的,并且如果您还报告版本号,那么了解网络拓扑可能会带来风险,那么该信息对于确定可能的漏洞很有用。
您可以而且应该限制向公众提供的信息,但我们发现了解哪些服务已关闭以及它们何时恢复对于我们的支持人员与学院其他成员的沟通很有价值。
我认为从安全的角度和用户的角度来看,让脚本生成一个静态 HTML 页面可能更容易,其中包含对用户很重要的服务/服务器的状态。对于大多数人来说,这会更容易理解——我认为很多人会发现软状态和硬状态等令人困惑。这样也不会暴露任何 Nagios 界面。