目次
Tentacle のセキュリティオプション設定
ドキュメント
各ドキュメントへのリンク:
Tentacle のセキュリティオプション設定
このガイドでは、安全な暗号化通信を確保するためのエージェントソフトウエアと Tentacle サーバそれぞれの設定方法を段階的に説明します。
まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。
次に、それに応じた設定ファイルを永続的に設定します。
Tentacle サーバ
/etc/tentacle/tentacle_server.conf.
Unix/Linux ソフトウエアエージェント
/etc/pandora/pandora_agent.conf
MS Windows® ソフトウエアエージェント
%ProgramFiles%\pandora_agent\pandora_agent.conf
サテライトサーバ
/ect/pandora/satellite_server.conf
Tentacle プロキシサーバ
/etc/tentacle/tentacle_server.conf.
設定変更後は、それぞれのサービスを再起動することを忘れないようにしてください。Unix/Linux の場合は、/etc/init.d/tentacle_serverd にある TENTACLE_EXT_OPTS オプションを使うこともできます。(その他オプションは、こちら で確認できます。)
通信の暗号化
Tentacleサーバーとソフトウェアエージェントの両方が、証明書とパスワードを使用した安全な通信を使用できます。両方の間で直接通信するか、Tentacle プロキシサーバを介して通信します。
常に証明書がある場所は絶対パスで指定する必要があります。例: /etc/ssl/tentaclecert.pem
Tentacle の暗号化オプションを利用するには、システムに perl(IO::Socket::SSL) パッケージがインストールされていることを確認してください。
前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための TENTACLE_EXT_OPTS パラメータについて説明します。また、前述の、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。
パスワード認証での単純な転送:
パスワード認証のためのサーバのパラメータ:
-x password
パスワード認証のためのクライアントのパラメータ( TENTACLE_EXT_OPTS ):
-x password
クライアント証明無しでの暗号化転送:
サーバのパラメータ:
-e tentacle_cert -k tentacle_key
クライアント証明有りでの暗号化転送:
サーバのパラメータ:
-e tentacle_cert -k tentacle_key -f ca_cert
クライアントのパラメータ ( TENTACLE_EXT_OPTS ):
-e tentacle_client_cert -k tentacle_client_key
クライアント証明書およびパスワード認証での暗号化転送:
サーバのパラメータ:
-x password -e tentacle_cert -k tentacle_key -f ca_cert
クライアントのパラメータ ( TENTACLE_EXT_OPTS ):
-x password -e tentacle_client_cert -k tentacle_client_key
証明書を用いて Tentacle サーバが任意のクライアントからの暗号化接続を受け付ける設定
この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。
手動で サーバ を起動する際に、-e および -k パラメータを指定します。
$ su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp
クライアント を手動で起動する際には、-c パラメータを指定します。
$ echo test> file.txt $ tentacle_client -v -c -a 192.168.70.125 file.txt
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
- Tentacle サーバ の場合:
ssl_cert tentacle_cert ssl_key tentacle_key
- ソフトウエアエージェント の場合:
server_opts -c
- サテライトサーバ の場合:
server_opts -c
Tentacle サーバが特定の CA の署名がされたクライアントの検証をして接続を受け付ける設定
この設定では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。
サーバを手動で起動する際に、-e および -k パラメータを指定します。
# su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp
クライアントを手動で起動する際は、-e および -f パラメータを指定します。
# echo test> file.txt # tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
- Tentacle サーバ の場合:
ssl_cert tentacle_cert ssl_key tentacle_key
- Pandora FMS ソフトウエアエージェント の場合:
server_opts -e tentacle_client_cert -f ca_cert
- Pandora FMS サテライトサーバ の場合:
server_opts -e tentacle_client_cert -f ca_cert
特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定
この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。
サーバを手動で起動する際に、-e、-k、-f パラメータを指定します。
# su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp
ライアントを手動で起動する際は、-e および -k パラメータを指定します。(改行のため \ を使っています)
# echo test> file.txt
# tentacle_client -v \
-e tentacle_client_cert \
-k tentacle_client_key \
-a 192.168.70.125 file.txt
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
- Tentacle サーバ の場合:
ssl_cert tentacle_cert ssl_ca ca_cert ssl_key tentacle_key
- Pandora FMS ソフトウエアエージェント の場合:
server_opts -e tentacle_client_cert -k tentacle_client_key
- Pandora FMS サテライトサーバ の場合:
server_opts -e tentacle_client_cert -k tentacle_client_key
Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定
この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。
サーバを手動で起動する際に、-e、-k、-f パラメータを指定します。
# su - pandora -s /bin/bash # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp
クライアントを手動で起動する際は、-e、-k、-f パラメータを指定します。
# echo test> file.txt # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt
手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
- Tentacle サーバ の場合:
ssl_cert tentacle_cert ssl_ca ca_cert ssl_key tentacle_key
- Pandora FMS ソフトウエアエージェント の場合:
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
- Pandora FMS サテライトサーバ の場合:
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
Tentacle 暗号化設定
Tentacle サーバとソフトウェアエージェントの両方が、証明書とパスワードを介して、直接または Tentacle プロキシを介して安全な通信を使用できます。
常に、証明書の絶対パスをパラメーターに指定します。例えば、 /etc/ssl/tentaclecert.pem です。
Tentacle 暗号化オプションを使用するには、システムにパッケージ perl(IO::Socket::SSL) がインストールされていることを確認してください。
前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための TENTACLE_EXT_OPTS パラメータについて説明します。また、前述の、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。
パスワード認証での単純な転送:
パスワード認証のためのサーバのパラメータ:
-x password
パスワード認証のためのクライアントのパラメータ( TENTACLE_EXT_OPTS ):
-x password
クライアント証明無しでの暗号化転送:
サーバのパラメータ:
-e tentacle_cert -k tentacle_key
クライアント証明有りでの暗号化転送:
サーバのパラメータ:
-e tentacle_cert -k tentacle_key -f ca_cert
クライアントのパラメータ( TENTACLE_EXT_OPTS ):
-e tentacle_client_cert -k tentacle_client_key
クライアント証明書およびパスワード認証での暗号化転送:
サーバのパラメータ:
-x password -e tentacle_cert -k tentacle_key -f ca_cert
クライアントのパラメータ( TENTACLE_EXT_OPTS ):
-x password -e tentacle_client_cert -k tentacle_client_key
Tentacle プロキシを使った暗号化設定例
Tentacle プロキシサーバを利用した暗号化通信のためのソフトウェアエージェントと Tentacle サーバ両方の設定方法を段階的に説明します。 前の章で述べた証明書の名前と鍵を確認してください。パラメータに関しても確認してください。
手動テスト:
1. tentacle_server を手動起動します:
sudo -u user tentacle_server \
-x password \
-e tentacle_cert \
-k tentacle_key \
-f ca_cert -s /tmp -v
2. プロキシを手動起動します:
sudo -u user tentacle_server -b ip_server -g 41124
3. tentacle_client を手動で起動します:
sudo -u user tentacle_client \
-a ip_proxy/ip_server \
-x password \
-e tentaclecert.pem \
-k tentaclekey.pem \
-v file
ファイルが正常に送信されたことを確認したら、tentacle_server とクライアントの永続的な設定に進みます。
暗号化オプション付きで tentacle_server を設定するには、通常 /etc/init.d/tentacle_serverd にあるサービス tentacle_serverd の起動スクリプトを編集します。 中間点は、プロキシとして機能するように設定する必要があります。Tentacle 暗号化通信を使用するようにソフトウェアエージェントを設定するには、通常は /etc/pandora/pandora_agent.conf にある設定ファイル pandora_agent.conf を編集します。
永続的な設定
1. SSL つきでサーバを開始します。起動スクリプト /etc/init.d/tentacle_serverd を編集します。TENTACLE_EXT_OPTS の行を探し、以下を追加します。
Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください: /etc/init.d/tentacle_serverd start
2. プロキシを開始します。1. ど同様に、プロキシとして動作させるマシンで起動スクリプト /etc/init.d/tentacle_serverd を編集します。同様に TENTACLE_EXT_OPTS の行を探し、以下を追加します。
Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください: /etc/init.d/tentacle_serverd start
3. 対応するオプションをつけてソフトウエアエージェントを開始します。pandora_agent.conf を編集し、server_opts という行を探し、以下を追加します。
-x password -e tentacle_client_cert -k tentacle_client_key
server_ip で指定するアドレスは、監視サーバではなくプロキシサーバの IP にすることに注意してください。server_ops の行全体は次のようになります。
server_opts -x password -e tentacle_client_cert -k tentacle_client_key
パスワードなどの一部のオプションを使用したくない場合は、対応するパラメーターを使用しないでください。
Tentacle データ圧縮
バージョン NG 725 以上
Tentacle では、コマンドラインのオプション -z を使用してデータ圧縮を有効にすると、CPU 負荷は上がりますが、転送されるデータのサイズを削減できます。
Pandora FMS エージェント
/etc/pandora/pandora_agent.conf を編集し、server_opts に -z を追加します。
server_opts -z
サテライトサーバ
/etc/pandora/satellite_server.conf を編集し、server_opts に -z を追加します。
server_opts -z