Tentacle のセキュリティオプション設定

ドキュメント

Tentacle のセキュリティオプション設定

このガイドでは、安全な暗号化通信を確保するためのエージェントと Tentacle サーバそれぞれの設定方法を段階的に説明します。

まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。

次に、それに応じた設定ファイルを永続的に設定します。

Tentacle サーバ

/etc/tentacle/tentacle_server.conf.

Unix/Linux ソフトウエアエージェント

/etc/pandora/pandora_agent.conf

MS Windows® ソフトウエアエージェント

%ProgramFiles%\pandora_agent\pandora_agent.conf

サテライトサーバ

/ect/pandora/satellite_server.conf

Tentacle プロキシサーバ

/etc/tentacle/tentacle_server.conf.

設定変更後は、それぞれのサービスを再起動することを忘れないようにしてください。Unix/Linux の場合は、/etc/init.d/tentacle_serverd にある TENTACLE_EXT_OPTS オプションを使うこともできます。(その他オプションは、こちら で確認できます。)

通信の暗号化

クライアントと Tentacle サーバ間の通信を暗号化するには、SSL 証明書とキーが必要です。 このガイドでは、設定可能なすべての構成オプションを示します。証明書は有効な CA による署名が可能ですし、自己署名もできます。

誤解を避けるために、ここでは証明書と各関連する鍵を次のように定義します。

  • ca_cert: 証明書の署名に使用された CA の証明書。
  • tentacle_key: Tentacle サーバ用に生成された鍵。
  • tentacle_cert: Tentacle サーバ用に生成された証明書。
  • tentacle_client_key: Tentacle クライアント用に生成された鍵。
  • tentacle_client_cert: Tentacle クライアント用に生成された証明書。

常に パラメータでは証明書が配置されている絶対パスを示します。例えば、'/etc/ssl/tentaclecert.pem'

Tentacle 暗号化オプションを使用するには、perl(IO::Socket::SSL) パッケージがシステムにインストールされていることを確認してください。

Tentacle サーバが任意のクライアント接続を受け付ける設定

この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。

手動でサーバを起動する際に、-e および -k パラメータを指定します。

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際には、-c パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -c -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -c
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -c

Tentacle サーバが特定の CA の署名をされたクライアントの検証をし接続を受け付ける設定

この構成では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。

サーバを手動で起動する際に、-e および -k パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

クライアントを手動で起動する際は、-e および -f パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -f ca_cert

特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定

この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e および -k パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key

Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定

この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。

サーバを手動で起動する際に、-e-k-f パラメータを指定します。

 # su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

クライアントを手動で起動する際は、-e-k-f パラメータを指定します。

 # echo test > file.txt
 # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt

手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。

  • Tentacle サーバでは、/etc/tentacle/tentacle_server.conf ファイルを編集します。
 ssl_cert tentacle_cert
 ssl_ca ca_cert
 ssl_key tentacle_key
  • Pandora FMS エージェントでは、(OS によって) /etc/pandora/pandora_agent.conf または C:\Program Files\pandora_agent\pandora_agent.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
  • Pandora FMS サテライトサーバでは、/ect/pandora/satellite_server.conf ファイルを編集します。
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert

Tentacle 暗号化設定

Tentacle サーバとソフトウェアエージェントの両方が、証明書とパスワードを介して、直接または Tentacle プロキシを介して安全な通信を使用できます。

常に、証明書の絶対パスをパラメーターに指定します。例えば、 /etc/ssl/tentaclecert.pem です。

Tentacle 暗号化オプションを使用するには、パッケージ perl(IO::Socket::SSL)システムにインストールされていることを確認してください。

前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワード、Tentacle プロキシサーバ、オプション設定をするための TENTACLE_EXT_OPTS を追加します。前のでの、証明書の名前と両方のキーを確認してください。 簡略化された構文は学習目的でのみ使用します。

パスワードベースの認証によるシンプルな通信

パスワード用のサーバの追加パラメータ:

  1. x password

パスワード用のクライアントの追加パラメータ(TENTACLE_EXT_OPTS):

  1. x password

クライアント証明無しの暗号化通信

サーバの追加パラメータ:

  1. e tentacle_cert -k tentacle_key

クライアント証明ありの暗号化通信

サーバの追加パラメータ:

  1. e tentacle_cert -k tentacle_key -f ca_cert

クライアントの追加パラメータ(TENTACLE_EXT_OPTS):

  1. e tentacle_client_cert -k tentacle_client_key

クライアント証明および追加のパスワード認証での暗号化通信

サーバの追加パラメータ:

  1. x password -e tentacle_cert -k tentacle_key -f ca_cert

クライアントの追加パラメータ(TENTACLE_EXT_OPTS):

  1. x password -e tentacle_client_cert -k tentacle_client_key

Tentacle プロキシを使った暗号化設定例

Tentacle プロキシサーバを利用して、安全な通信のためにソフトウェアエージェントと Tentacle サーバの両方を設定する方法を段階的に説明します。 前の章で両方の証明書の名前と鍵を確認してください。パラメータに関しては、こちらを確認してください。

手動テスト:

1. tentacle_server を手動起動します:

  sudo -u user tentacle_server \
            -x password \
            -e tentacle_cert \
            -k tentacle_key \
            -f ca_cert -s /tmp -v

2. プロキシを手動起動します:

sudo -u user tentacle_server -b ip_server -g 41124

3. tentacle_client を手動で起動します:

  sudo -u user tentacle_client \
             -a ip_proxy/ip_server \
             -x password \
             -e tentaclecert.pem \
             -k tentaclekey.pem \
             -v file

ファイルが正常に送信されたことを確認したら、tentacle_server とクライアントの永続的な設定に進みます。

暗号化オプション付きで tentacle_server を設定するには、通常 /etc/init.d/tentacle_serverd にあるサービス tentacle_serverd の起動スクリプトを編集します。 中間点は、プロキシとして機能するように設定する必要があります。Tentacle 暗号化通信を使用するようにソフトウェアエージェントを設定するには、通常は /etc/pandora/pandora_agent.conf にある設定ファイル pandora_agent.conf を編集します。

永続的な設定

1. SSL つきでサーバを開始します。起動スクリプト /etc/init.d/tentacle_serverd を編集します。TENTACLE_EXT_OPTS の行を探し、以下を追加します。

  1. x password -e tentacle_cert -k tentacle_key -f ca_cert

行全体は次のようになります。

TENTACLE_EXT_OPTS ="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -x password -e tentacle_cert -k tentacle_key -f ca_cer"

2. プロキシを開始します。1. ど同様に、プロキシとして動作させるマシンで起動スクリプト /etc/init.d/tentacle_serverd を編集します。同様に TENTACLE_EXT_OPTS の行を探し、以下を追加します。

  1. b ip_server -g 41121

行全体は次のようになります。

TENTACLE_EXT_OPTS ="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -b 192.168.70.208 -g 41121"

3. 対応するオプションをつけてソフトウエアエージェントを開始します。pandora_agent.conf を編集し、server_opts という行を探し、以下を追加します。

  1. x password -e tentacle_client_cert -k tentacle_client_key

server_ip で指定するアドレスは、監視サーバではなくプロキシサーバの IP にすることに注意してください。server_ops の行全体は次のようになります。

server_opts -x password -e tentacle_client_cert -k tentacle_client_key

パスワードなどの一部のオプションを使用したくない場合は、対応するパラメーターを使用しないでください。

Tentacle データ圧縮

バージョン NG 725 以上

Tentacle では、コマンドラインのオプション -z を使用してデータ圧縮を有効にすると、CPU 負荷は上がりますが、転送されるデータのサイズを削減できます。

Pandora FMS エージェント

/etc/pandora/pandora_agent.conf を編集し、server_opts-z を追加します。

server_opts -z

サテライトサーバ

/etc/pandora/satellite_server.conf を編集し、server_opts-z を追加します。

server_opts -z

Tentacle ドキュメント一覧に戻る