Bonjour,
j'aimerais augmenter la sécurité entre mon serveur Centreon2 RC3 et mes serveurs Nagios satellites.

Pour établir la connexion entre les serveurs, je fais un échange de clé SSH comme sur cette procédure :

http://en.doc.centreon.com/DistributedArchitecture/fr

Par défaut le port ssh est le port 22, j'aimerais que la connexion ssh ce réalise avec le port 9874 par exemple.

Est ce possible ?

Quelqu'un a déjà essayer ?

Comment dois-je configurer Centreon2 et mes satellites Nagios pour réaliser les connexions ?

Merci d'avance de vos réponses.

Bonjour,

Ce n'est actuellement pas possible a moins de rajouter le rajouter à la main dans le code de CentCore.
Avec un peu de chance l'option sera implémentée dans la version 2.1 ou 2.2.

Bonjour,

Ce n'est actuellement pas possible a moins de rajouter le rajouter à la main dans le code de CentCore.
Avec un peu de chance l'option sera implémentée dans la version 2.1 ou 2.2.

C'est pas possible avec Centreon 2, d'accord.
Mais est ce possible avec le satellite Nagios 3 ?
Changer le port ssh du satellite en 9874

Tu peux changer le port d'écoute du satellite, mais du coup centreon (centcore) ne pourra plus le contacter!

Est ce qu'il y a un développeur qui pourrait me dire où est situé la fonction qui permet le ssh entre le satellite et le serveur Centreon.

J'aimerais modifier la socket pour changer le port de connexion ssh, mais je ne sais pas dans quelles sources trouvé cela ? La connexion s'établit avec
NDOutils ou Centreon 2 ?

Ou puis-je trouver les sources de Centreon 2 ?

A quoi correspond le port 5668 ? Il sert à quoi ?

Salut Tom,

donc, tout ce qui concerne le ssh vers c'est satelite, c'est dans centcore. Après je ne sais pas trop où tu l'as installé sur ta machine :)

cat /etc/centreon/instCentCore.conf devrai résoudre ce problème.

Attention, si tu décides de faire des changements de ce coté, l'ensemble des satellite devront avoir le meme port d'écoute pour ton SSHD.

Pour ton port en 5668, et bien il est au dessus des 1024, donc tu peux mettre ce que tu veux dessus :)

Je poste un request pour les prochaines version de centcore. <--- c'est déjà fait .... mais j'ai rajouter des choses ^^

centreon2:/etc/centreon# more instCentCore.conf
INSTALL_DIR_CENTREON=/opt/centreon
CENTREON_ETC=/etc/centreon
CENTREON_RUNDIR=/var/run/centreon
CENTREON_LOG=/opt/centreon/log
CENTREON_VARLIB=/var/lib/centreon
CENTREON_GENDIR=/opt/centreon
CENTCORE_BINDIR=/opt/centreon/bin


BIN_SSH=/usr/bin/ssh


BIN_SCP=/usr/bin/scp
NAGIOS_GROUP=nagios
NAGIOS_USER=nagios
RRD_PERL=/usr/lib/perl5
INIT_D=/etc/init.d

BIN_SSH=/usr/bin/ssh
Je remplace çà par :
BIN_SSH=/usr/bin/ssh -p 9874


Et coté serveur Nagios ? Y a t il des modification à apporter ?

J'ai essayer, voici mon erreur :
ssh: connect to host 192.168.0.90 port 22: Connection refused
Use of uninitialized value in string ne at /opt/centreon/bin/centcore line 379, <FILE> line 3.

Salut Tom,

donc, tout ce qui concerne le ssh vers c'est satelite, c'est dans centcore. Après je ne sais pas trop où tu l'as installé sur ta machine :)

cat /etc/centreon/instCentCore.conf devrai résoudre ce problème.

Attention, si tu décides de faire des changements de ce coté, l'ensemble des satellite devront avoir le meme port d'écoute pour ton SSHD.

Pour ton port en 5668, et bien il est au dessus des 1024, donc tu peux mettre ce que tu veux dessus :)

Je poste un request pour les prochaines version de centcore. <--- c'est déjà fait .... mais j'ai rajouter des choses ^^

Merci ;)

Demain, j'aimerais finir mon projet Nagios lol.
J'aurrais bosser 3 mois et demi dessus.

La problématique :
J'ai un serveur SME Satellite qui est disponible avec un adresse IP publique et une redirection de port ( par exemple 9874 ).
J'ai mon serveur dédié Centreon 2, installer sur une VE OpenVZ Debian, hébergé sous OVH qui doit pouvoir le monitorer sur le port 9874 de mon satellite distant.

En gros, du monitoring avec une connexion SSH qui passe par internet, donc il faut que çà soit mega sécurisé.

Je compte sur mon bon développeur de Centreon 2 pour m'aider ;)

Merci ;)

Demain, j'aimerais finir mon projet Nagios lol.
J'aurrais bosser 3 mois et demi dessus.

La problématique :
J'ai un serveur SME Satellite qui est disponible avec un adresse IP publique et une redirection de port ( par exemple 9874 ).
J'ai mon serveur dédié Centreon 2, installer sur une VE OpenVZ Debian, hébergé sous OVH qui doit pouvoir le monitorer sur le port 9874 de mon satellite distant.

En gros, du monitoring avec une connexion SSH qui passe par internet, donc il faut que çà soit mega sécurisé.
La sécurité par l'obscurité est un leurre.
Plutôt que changer le numéro du port (surtout après l'avoir publié) n'est pas une protection en soi.
Tu ferais mieux de filtrer les adresses IP autorisées ou de limiter le nombre de connexions infuctueuses par secondes. N'accepter que les connexions par clés SSH, etc..
En outre, la synchronisation doit certainement effectuer une commande précise, inutile de donner accès au shell tout entier.

La sécurité par l'obscurité est un leurre.
Plutôt que changer le numéro du port (surtout après l'avoir publié) n'est pas une protection en soi.
Tu ferais mieux de filtrer les adresses IP autorisées ou de limiter le nombre de connexions infuctueuses par secondes. N'accepter que les connexions par clés SSH, etc..
En outre, la synchronisation doit certainement effectuer une commande précise, inutile de donner accès au shell tout entier.

Je n'ai pas le choix mon serveur satellite N'UTILISE PAS le port 22, et je ne ferais pas autrement... Une contrainte de l'entreprise donc je dois la respecter.

Essaye d'entourer ta commande "/usr/bin/ssh -p xyz" entre guillements (avec les espaces, ça doit pas tout marcher)

Essaye d'entourer ta commande "/usr/bin/ssh -p xyz" entre guillements (avec les espaces, ça doit pas tout marcher)

Ca fonctionne partiellement :D:D:D
Mes fichiers de configuration sont exportés vers le satellite Nagios, par contre, l'instance de mon satellite n'est pas créée sur ma base de donnée NDO...

Pourquoi ? Que faire ?

Concrètement mes données sont envoyées vers mon satellite, mais je n'ai rien en retour :

Sur mon interface Centreon, je ne vois pas mes hôtes monitorés,

dans la base NDO, l'instance "satelliteentreprise" n'est pas créée ...

Il s'agit probablement de ndomod qui ne peut pas remonter ses données à ndo2db

Ton satellite peut contacter le serveur central sur le port 5668? (ou le port configuré dans ndomod.cfg)

Il s'agit probablement de ndomod qui ne peut pas remonter ses données à ndo2db

Ton satellite peut contacter le serveur central sur le port 5668? (ou le port configuré dans ndomod.cfg)

Justement, c'est cela le problème ! Quels sont les informations qui passent par ce port 5668 ? Y a t il des données sensibles ? Est ce séurisé ?
Ouvrir le port 9874 ne suffit pas ? Il faut ouvrir le port 5668 aussi ?

Il faut que ndomod puisse communiquer ses données au ndo2db. Donc non le port 9874 ne suffit pas. Attention par contre, les deux ports ne sont pas ouverts dans le même sens : le 9874 c'est nagios>satellite, le 5668 l'inverse.

Question sécurité, je n'en sais rien, mais je dirais que ça circule tout en clair.

Il faut que le serveur central filtre les IP qu'il autorise à se connecter à son port 5668, si tu es en environnement sensible.

Ba j'ai pas envie que ma trame TCP/5668 circule en clair sur internet !
Je te rappel l'architecture :

1 serveur dédié sur OVH ( donc sécurité max )

1 satellite Nagios sur une entreprise distante.

Au milieu, c'est internet, il suffit qu'un pirate SNIFF les trames 5668/TCP et hop la ! Vive les failles de sécurité :-|

Donc, comment sécurisé tout cela ?
VPN obligatoire ?

Le 5668 ne peut vraiment pas etre tunnelé en SSH ?

VPN, je vois pas pourquoi tu ferais autrement.

VPN, je vois pas pourquoi tu ferais autrement.

Personnelement je ne trouve pas çà normal !

Normalement, l'échange de clé SSH devrait suffir pour établir la connexion, je
trouve çà ridicule que l'on soit obligé d'ouvrir un port non sécurisé à côté.

N'est ce pas ?

Dans ce cas, pourquoi toutes les données ne circulent pas par ssh ?

Mais parce que ndo ne fait qu'ouvrir une connexion TCP pour que ses deux composants communiquent, c'est pas comme si ça s'ajoutait en un claquement de doigts la communication chiffrée.

Au milieu, c'est internet, il suffit qu'un pirate SNIFF les trames 5668/TCP et hop la ! Vive les failles de sécurité :-|

Cela me fera toujours marrer, on croirait entendre les gars qui se disent expert sécurité et font des audits dans les entreprises avec leurs idées préconçues et aucune notion de réseau.

Il va sniffer où ton pirate ?
Avec son tcpdump dans le NRA de ton quartier et sa pince-monseigneur ? :D