Hallo Monitorer,
Ich hab da mal eine Fragestellung:
Agentenregistrierung am Server erfolgt gem. Handbuch via 80/443. Das Update eines Agenten wohl auch, wobei ich noch nicht gefunden habe, wie exakt der Mechanismus funktioniert
Das bedingt dann ja logischerweise, dass alle Hosts Richtung Server auf 80/443 eine Verbindung aufbauen dürfen.
Nun ist das gegen unser Sicherheitsempfinden, den Monitoringserver als high-value-target von allen möglichen Seiten erreichbar zu machen, sprich inbound nur was nötig.
Elegant wäre es nun, wenn man die Registrierung eines Hosts und auch das Update “irgendwie anders” machen könnte, Registrierung offline und ein Update kommt per PUSH vom Monitoringserver via Agentport.
Push ist ja gerade auch nicht gewünscht, da müsste der Monitoring-Server ja beliebigen Code auf dem Host ausführen.
Wenn die Bedenken so groß sind, lässt sich ein Proxy mit Authentifizierung vor den Monitoring-Server stellen und nur die Agent-Updater kennen dann das Passwort.
Nun, sofern das weiterhin mit Signierung und Transportverschlüsselung passiert könnte man da ja mit leben…
Ich gebe dir Recht, die Idee mit dem Proxy ist auch nicht ganz schlecht
Hallo,
habt ihr eine zentrale Paket und Installationsverwaltung?
Wenn ja könntet ihr ja darüber arbeiten aber weil vielen verschiedenen Agents ist die bakery eigentlich das Mittel der Wahl.
Gruß
Ralf
Das ist die Lösung, die wir im Moment nutzen, allerdings Windows only. Für die linuxoiden OS alles manuell.
Daher mein Bestreben, zumindest checkmk via Bakery zu nutzen. Hab jetzt ewig auf “Deployment in distributed Monitoring-Umgebungen” gewartet.
Mache gerade einen Test, die ganze Sache sicher via mod_security und mod_evasive zu gestalten.
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact @fayepal if you think this should be re-opened.
