Agent register not via 80/443

Hallo Monitorer,
Ich hab da mal eine Fragestellung:

Agentenregistrierung am Server erfolgt gem. Handbuch via 80/443. Das Update eines Agenten wohl auch, wobei ich noch nicht gefunden habe, wie exakt der Mechanismus funktioniert :wink:
Das bedingt dann ja logischerweise, dass alle Hosts Richtung Server auf 80/443 eine Verbindung aufbauen dĂŒrfen.
Nun ist das gegen unser Sicherheitsempfinden, den Monitoringserver als high-value-target von allen möglichen Seiten erreichbar zu machen, sprich inbound nur was nötig.
Elegant wĂ€re es nun, wenn man die Registrierung eines Hosts und auch das Update “irgendwie anders” machen könnte, Registrierung offline und ein Update kommt per PUSH vom Monitoringserver via Agentport.

So, her mit euren Ideen!

Push ist ja gerade auch nicht gewĂŒnscht, da mĂŒsste der Monitoring-Server ja beliebigen Code auf dem Host ausfĂŒhren.

Wenn die Bedenken so groß sind, lĂ€sst sich ein Proxy mit Authentifizierung vor den Monitoring-Server stellen und nur die Agent-Updater kennen dann das Passwort.

2 Likes

Nun, sofern das weiterhin mit Signierung und TransportverschlĂŒsselung passiert könnte man da ja mit leben

Ich gebe dir Recht, die Idee mit dem Proxy ist auch nicht ganz schlecht :innocent: :wink:

Hallo,
habt ihr eine zentrale Paket und Installationsverwaltung?
Wenn ja könntet ihr ja darĂŒber arbeiten aber weil vielen verschiedenen Agents ist die bakery eigentlich das Mittel der Wahl.
Gruß
Ralf

Das ist die Lösung, die wir im Moment nutzen, allerdings Windows only. FĂŒr die linuxoiden OS alles manuell.
Daher mein Bestreben, zumindest checkmk via Bakery zu nutzen. Hab jetzt ewig auf “Deployment in distributed Monitoring-Umgebungen” gewartet.

Mache gerade einen Test, die ganze Sache sicher via mod_security und mod_evasive zu gestalten.

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact @fayepal if you think this should be re-opened.