Page History

Panel

title	Sommaire

Table of Contents

style	none

Contexte

Le check Security by SSH va vérifier lit les fichiers de configuration de votre serveur SSH et vous les afficher dans un tableau. Si vous le souhaitez vous pouvez, en modifiant une donnée, comparer la configuration précédemment récupérée à la configuration suggérée dans les données de l'hôte.

Les données du check sont modulables et vous pouvez aussi choisir d'activer ou non l'alerte en changeant les données dans la configuration de votre hôte, la donnée pour activer ou non l'alerte est SSH_WARN, les autres sont énumérées dans un tableau ci-dessous.

Le check renverra OK si vous avez désactivé le warning ou que tous les paramètres de votre serveur sont conformes à ceux choisis dans la configuration. [PAR DEFAUT]
Le check renverra CRITICAL si vous avez activé le warning et que un ou plusieurs paramètres ne sont pas en accord avec ceux choisis dans la configuration.

les affiche sous forme de tableau.

Ce qui vous permet de consulter accès simplement la configuration de votre serveur SSH, sans devoir vous connecter dessus ( dans ce cas le check sera toujours en OK ).
En plus, si vous le souhaitez, vous pouvez détecter si la configuration correspond à vos standards de sécurité en fournissant les valeurs des paramètres comme référence.
- Par exemple, le standard sur le nombre maximum de clients connectés simultanément au serveur pourra être de 2, et le check sera en CRITIQUE, si un de vos serveurs est paramétré à 4.

Panel
Image Added

Paramétrage

Le check utilise la ligne de commande suivante :

Code Block

language	textbash
theme	Emacs

$USERPLUGINSDIR$/linux$LINUXBYSSH_SHINKEN_PLUGINSDIR$/check_linux_health_by_ssh/_rust --check check_ssh_security_rust
    -H "$HOSTADDRESS$"
    -u "$_HOSTSSH_USER$"
    -p "$_HOSTSSH_PORT$"
    -i "$_HOSTSSH_KEY$"
    -P "$_HOSTSSH_KEY_PASSPHRASE$"
    -w "$_HOSTSSH_SECURITY_WARN$"
    -v "$_HOSTSSH_PROTOCOL$","$_HOSTSSH_ROOT_LOGIN$","$_HOSTSSH_EMPTY_PASS$","$_HOSTSSH_PASS_AUTH$","$_HOSTSSH_USER_ENV$","$_HOSTSSH_MAX_AUTH$","$_HOSTSSH_ALIVE_INTERVAL$","$_HOSTSSH_ALIVE_MAX$"
    -T "$_HOSTSHINKEN_TMP_DIRNAME$"

Données utilisées provenant du modèle

Données communes pour les checks des modèles

Authentification

Excerpt Include

	Modèle linux-by-SSH
	Modèle linux-by-SSH
nopanel	true

Section
Fichiers temporaires

Section

Nom

Modifiable sur

Unité

Défaut

Valeur par défaut à l'installation de Shinken

Description

No Format
SHINKEN_TMP_DIRNAME

l'Hôte

( Onglet Données )

--

shinken

shinken

Nom de dossier temporaire où seront stockés les fichiers temporaires générés par les sondes.

Ne peut contenir uniquement des caractères alphanumériques.

Le dossier est généré dans /tmp.

Données spécifiques pour ce check

2602nonononoprotocol2False

Donnée

Modifiable sur

Valeur par défaut

Description

Nom dans la configuration sshdDescription

No Format

Valeur par défaut

SSH_ALIVE_MAX

l'Hôte

( Onglet Données )

2

clientalivecountmax

Nombre maximum de clients connectés simultanément au serveur

clientalivecountmax

No Format
SSH_ALIVE_INTERVAL

l'Hôte

( Onglet Données )

60

clientaliveinterval

Secondes avant que le client soit déconnecté pour inactivité

clientaliveinterval

No Format
SSH_MAX_AUTH

l'Hôte

( Onglet Données )

2

maxauthtries

Maximum de tentatives de connexion autorisées

maxauthtries

No Format
SSH_PASS_AUTH

l'Hôte

( Onglet Données )

no

passwordauthentication

Autorisation ou non d'accès au serveur par mot de passe

passwordauthentication

No Format
SSH_EMPTY_PASS

l'Hôte

( Onglet Données )

no

permitemptypasswords

Autorisation ou non d'accéder au serveur par des comptes sans mot de passe

permitemptypasswords

No Format
SSH_ROOT_LOGIN

l'Hôte

( Onglet Données )

no

permitrootlogin

Autorisation ou non d'accéder au serveur par le compte root

permitrootlogin

No Format
SSH_USER_ENV

l'Hôte

( Onglet Données )

no

permituserenvironment

Autorisation ou non au client connecté de modifier l'environnement

permituserenvironment

No Format
SSH_PROTOCOL

l'Hôte

( Onglet Données )

2

Version du protocole SSH utilisée

protocol

No Format
SSH_SECURITY_WARN

l'Hôte

( Onglet Données )

False

Active/désactive les alertes dues au check

Info

title	Remarque

Dans l'optique de proposer une sécurité stricte, nos valeurs par défaut ont été choisies pour une installation basique d'un serveur linux, nous vous conseillons fortement de les modifier pour les adapter à la sécurité que vous souhaitez fixer sur votre/vos serveur(s).

Comme expliqué précédemment, ces données sont utilisées uniquement si la donnée SSH_SECURITY_WARN est à True.

Données utilisées provenant du check

Pas de données spécifiques pour ce check

Résultat

Dans ce premier résultat le paramètre SSH_SECURITY_WARN est définit défini à False, le check passe donc en OK, car il a réussi à trouver le fichier de configuration :

Image Removed

Dans ce résultat nous avons passer SSH_WARN à True et le check change d'état pour nous avertir que notre configuration n'est pas idéale pour la sécurité de la machine :

Image Removed

Interprétation des données

Statut :
Le statut peut prendre 3 valeurs différentes ( OK / CRITICAL / UNKNOWN ).

Résultat :
Le résultat contient un message donnant des informations sur le statut du check ainsi qu'une liste des paramètres à modifier si le statut passe en critical.

Résultat Long :
Le résultat long contient un tableau listant les paramètres sensibles de votre configuration SSH. Si le statut passe en critical une troisième colonne apparaît pour lister les valeurs recommandées.

Panel
Image Added

Interprétation des données

Statut

Il peut prendre quatre valeurs OK / CRITIQUE / INCONNU .
- Le statut va dépendre du retour de sonde et de la configuration spécifique du check pour la donnée suivante :
  - SSH_SECURITY_WARN
- Voici un tableau récapitulatif du statut attendu suivant le retour de sonde :

Info

Le texte de la colonne "Affichage des seuils" montre les paramètres utilisés et leur valeur définie sur l'équipement supervisé.

Panel
Image Added

Situation

Statut

Exemple

SSH_SECURITY_WARN est définit à "True".

CRITIQUE

Panel
Image Added

Métriques

Aucune métrique n'est renvoyée pour ce check

Les Erreurs

Erreurs spécifiques à ce check

Excerpt

Section
MONITORED HOST - BAD STATE – Can't read sshd configuration: Permission denied.

Section

L'utilisateur de supervision n'a pas accès aux fichiers de configuration sshd.

Panel
Image Added

Résolution

Les commandes suivantes permettront au groupe de l'utilisateur choisi pour votre supervision Shinken d'avoir un accès ( en lecture seule ) aux fichiers de configuration sshd.

Sans cet accès, la sonde ne fonctionnera pas et vous renverra le statut INCONNU.

Info

title	Remarque

Cette série de commandes ne peut être effectuée qu'en ayant les droits root.

Donc en étant connecté au compte root ou en ayant fait la commande "su" au préalable.

Certains checks requièrent un accès spécifique à des fichiers.

Pour ce faire, nous vous mettons à disposition une série de commandes.
- Ces commandes permettront au groupe de l'utilisateur choisi pour votre supervision Shinken d'avoir un accès ( en lecture seule ) au fichier /etc/ssh/sshd_config, fichier comportant votre configuration SSH ainsi qu'au dossier /tmp ( en lecture, écriture et execution ).
Sans cet accès, la sonde ne fonctionnera pas et vous renverra le statut INCONNU.

Commandes à exécuter :

Code Block

language	bash
title	Utilisation

sed -i -e "s/create 0600/create 0640/g" /etc/logrotate.conf
chmod 640 /etc/ssh/sshd_config
chown root:user-service-shinken /etc/ssh/sshd_config

1. La commande sed -i -e "s/create 0600/create 0640/g" /etc/logrotate.conf modifie les droits par défaut dans le fichier de configuration de logrotate.

Cela garantit que, lors de la rotation des fichiers logs ( par défaut, chaque mois ), les permissions de lecture sur /etc/ssh/sshd_config pour le groupe ne seront pas rétablies à des niveaux plus restrictifs.

2. La commande chmod 640 /etc/ssh/sshd_config applique immédiatement les droits nécessaires.

Le fichier de configuration SSH devient lisible par le groupe.

3. La commande chown root:user-service-shinken /etc/ssh/sshd_config modifie le groupe du fichier.

Le propriétaire reste root, mais le groupe est désormais user-service-shinken. Cela permet à l'utilisateur de supervision d'accéder au fichier en lecture seule.

Section
MONITORED HOST - BAD STATE – Failed to load temporary ssh key. MONITORED HOST - BAD STATE – Permission denied when creation [...]

Section

Le check n'a pas la permission d'écrire dans le dossier temporaire.

Panel
Image Added

Panel
Image Added

Resolution

Info

title	Remarque

Cette série de commandes ne peut être effectuée qu'en ayant les droits root.

Donc en étant connecté au compte root ou en ayant fait la commande "su" au préalable.

Code Block

language	bash
title	Utilisation

shinken_tmp_dirname="shinken"
mkdir --parents /tmp/$shinken_tmp_dirname
chown root:user-service-shinken /tmp/$shinken_tmp_dirname
chmod g+rwx /tmp/$shinken_tmp_dirname

1. La commande mkdir --parents /tmp/$shinken_tmp_dirname crée un récursivement un répertoire.

Le répertoire créé est /tmp/shinken.
Si un autre dossier de stockage des fichiers temporaire doit être utilisé, modifiez la première ligne : shinken_tmp_dirname="NouveauDossier" ainsi que la variable SHINKEN_TMP_DIRNAME attaché au modèle d'hôte.

2. La commande chown root:user-service-shinken /tmp/shinken modifie le groupe du dossier /tmp/shinken.

Cela garantit que des droits peuvent être appliqués au groupe shinken sur ce dossier.

3. La commande chmod g+rwx /tmp/shinken applique immédiatement les droits nécessaires au dossier /tmp/shinken pour le groupe user-service-shinken.

Les droits de lecture, d'écriture et d'exécution sont ajoutés au dossier. Cela permet aux sondes de créer et lire des fichiers dans le dossier /tmp/shinken.

Excerpt Include

	Erreurs du pack linux-by-SSH
	Erreurs du pack linux-by-SSH
nopanel	true

Métriques

Aucune métrique n'est renvoyée pour ce check

Page tree

Versions Compared

Old Version 1

New Version Current

Key

Contexte

Paramétrage

Données utilisées provenant du modèle

Données communes pour les checks des modèles

Authentification

Fichiers temporaires

Données spécifiques pour ce check

Données utilisées provenant du check

Résultat

Interprétation des données

Interprétation des données

Statut

Métriques

Les Erreurs

Erreurs spécifiques à ce check

MONITORED HOST - BAD STATE – Can't read sshd configuration: Permission denied.

MONITORED HOST - BAD STATE – Failed to load temporary ssh key.
MONITORED HOST - BAD STATE – Permission denied when creation [...]

Métriques

Page tree

Page History

Versions Compared

Old Version 1

New Version Current

Key

Contexte

Paramétrage

Données utilisées provenant du modèle

Données communes pour les checks des modèles

Authentification

Fichiers temporaires

Données spécifiques pour ce check

Données utilisées provenant du check

Résultat

Interprétation des données

Interprétation des données

Statut

Métriques

Les Erreurs

Erreurs spécifiques à ce check

MONITORED HOST - BAD STATE – Can't read sshd configuration: Permission denied.

MONITORED HOST - BAD STATE – Failed to load temporary ssh key.MONITORED HOST - BAD STATE – Permission denied when creation [...]

Métriques

MONITORED HOST - BAD STATE – Failed to load temporary ssh key.
MONITORED HOST - BAD STATE – Permission denied when creation [...]