差分

このページの2つのバージョン間の差分を表示します。

--- ja:quickguides:secure_communication_with_tentacle [2021/06/10 20:07]
jimmy.olano [ドキュメント] Error de migración.
+++ ja:quickguides:secure_communication_with_tentacle [2023/05/16 08:31] (現在)
@@ 行 1: / 行 1: @@
 ====== Tentacle のセキュリティオプション設定 ======
+[[:ja:quickguides:start|クイックガイド一覧に戻る]]
 ===== ドキュメント =====
-  * [[:pandora:documentation_ja:tentacle:userguide|Tentacle GNU/Linux ユーザガイド]]
+各ドキュメントへのリンク:
-  * [[:pandora:documentation_ja:tentacle:windowsguide|Tentacle Windows ガイド]]
-  * [[:pandora:documentation_ja:tentacle:protocol|Tentacle プロトコル定義]]
+  * [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_ユーザガイド|Tentacle ユーザガイド]]]
-  * [[:pandora:documentation_ja:tentacle:opensslcertificates|OpenSSL 証明書クイックガイド]]
+  * [[:ja:documentation:08_technical_reference:09_tentacle#windows_版_perl_のインストール|Tentacle Windows ガイド]]
-  * **tentacle での暗号化通信**  (このガイド)
+  * [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_プロトコル定義|Tentacle プロトコル定義]]
-  * [[:pandora:documentation_ja:tentacle:crosscompoling|Linux での Windows クライアントのクロスコンパイル]]
+  * [[:ja:documentation:08_technical_reference:09_tentacle#openssl_証明書クイックガイド|OpenSSL 証明書クイックガイド]]
+  * [[:ja:documentation:08_technical_reference:09_tentacle#セキュリティオプション付での_tentacle_設定ガイド|tentacle での暗号化通信]]
 ===== Tentacle のセキュリティオプション設定 =====
-このガイドでは、安全な暗号化通信を確保するためのエージェントと Tentacle サーバそれぞれの設定方法を段階的に説明します。
+このガイドでは、安全な暗号化通信を確保するための**エージェントソフトウエア**と **Tentacle サーバ**それぞれの設定方法を段階的に説明します。
 まずは、デバイスから手動テストを実行して、設定、パラメータ、証明書が正しいことを確認することをお勧めします。
-==== 通信の暗号化 ====
+次に、それに応じた設定ファイルを永続的に設定します。
-クライアントと Tentacle サーバ間の通信を暗号化するには、SSL 証明書とキーが必要です。 このガイドでは、設定可能なすべての構成オプションを示します。証明書は有効な CA による署名が可能ですし、自己署名もできます。
-設定の仕方が良くわからない場合は、**OpenSSL 証明書クイックガイド** を参照してください。
+**Tentacle サーバ**
-前述のガイドでは指定されていませんが、一部のオペレーティングシステム(Ubuntu や Windows など)では、PEM ではなく DER 形式の証明書が必要になる場合があります。その場合は、生成された PEM から上記の形式の証明書を取得できます。
+ ''/etc/tentacle/tentacle_server.conf''.
-  openssl x509 -outform der -in tentaclecert.pem -out tentaclecert.der
+**Unix/Linux ソフトウエアエージェント**
-誤解を避けるために、ここでは証明書と各関連する鍵を次のように定義します。
+ ''/etc/pandora/pandora_agent.conf''
-  * **ca_cert**: 証明書の署名に使用された CA の証明書。
+**MS Windows® ソフトウエアエージェント**
-  * **tentacle_key**: Tentacle サーバ用に生成された鍵。
-  * **tentacle_cert**: Tentacle サーバ用に生成された証明書。
-  * **tentacle_client_key**: Tentacle クライアント用に生成された鍵。
-  * **tentacle_client_cert**: Tentacle クライアント用に生成された証明書。
-<WRAP center round important 60%>
+''%ProgramFiles%\pandora_agent\pandora_agent.conf''
-**常に** パラメータでは証明書が配置されている絶対パスを示します。例えば、**'/etc/ssl/tentaclecert.pem'**
-</WRAP>
-<WRAP center round important 60%>
+**サテライトサーバ**
-Tentacle 暗号化オプションを使用するには、**perl(IO::Socket::SSL)** パッケージがシステムにインストールされていることを確認してください。
+''/ect/pandora/satellite_server.conf''
+**Tentacle プロキシサーバ**
+ ''/etc/tentacle/tentacle_server.conf''.
+設定変更後は、それぞれのサービスを再起動することを忘れないようにしてください。Unix/Linux の場合は、''/etc/init.d/tentacle_serverd'' にある ''TENTACLE_EXT_OPTS'' オプションを使うこともできます。(その他オプションは、[[ja:documentation:02_installation:04_configuration#04_configuration#tentacle_の設定|こちら]] で確認できます。)
+==== 通信の暗号化 ====
+Tentacleサーバーとソフトウェアエージェントの両方が、証明書とパスワードを使用した安全な通信を使用できます。両方の間で直接通信するか、Tentacle プロキシサーバを介して通信します。
+<WRAP center round info 60%>**常に**証明書がある場所は絶対パスで指定する必要があります。例: ''/etc/ssl/tentaclecert.pem''
+</WRAP>\\
+<WRAP center round important 60%>Tentacle の暗号化オプションを利用するには、システムに ''perl(IO::Socket::SSL)'' パッケージがインストールされていることを確認してください。
 </WRAP>
-==== Tentacle サーバが任意のクライアント接続を受け付ける設定 ====
+前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための ''TENTACLE_EXT_OPTS'' パラメータについて説明します。また、**前述の**、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。
+**パスワード認証での単純な転送:**
+パスワード認証のためのサーバのパラメータ:
+<file>
+ -x password
+</file>
+パスワード認証のためのクライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ):
+<file>
+ -x password
+</file>
+**クライアント証明無しでの暗号化転送:**
+サーバのパラメータ:
+<file>
+ -e tentacle_cert -k tentacle_key
+</file>
+**クライアント証明有りでの暗号化転送:**
+サーバのパラメータ:
+<file>
+ -e tentacle_cert -k tentacle_key -f ca_cert
+</file>
+クライアントのパラメータ ( ''TENTACLE_EXT_OPTS'' ):
+<file>
+ -e tentacle_client_cert -k tentacle_client_key
+</file>
+**クライアント証明書およびパスワード認証での暗号化転送:**
+サーバのパラメータ:
+<file>
+ -x password -e tentacle_cert -k tentacle_key -f ca_cert
+</file>
+クライアントのパラメータ ( ''TENTACLE_EXT_OPTS'' ):
+<file>
+ -x password -e tentacle_client_cert -k tentacle_client_key
+</file>
+==== 証明書を用いて Tentacle サーバが任意のクライアントからの暗号化接続を受け付ける設定 ====
 この設定では、Tentacle サーバの設定で暗号化に使用する証明書とキーを入力するだけです。
-手動でサーバを起動する際に、**-e** および **-k** パラメータを指定します。
+手動で **サーバ** を起動する際に、''-e'' および ''-k'' パラメータを指定します。
-<code>
+<file>
-# su - pandora -s /bin/bash
+$ su - pandora -s /bin/bash
 # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp
-</code>
-クライアントを手動で起動する際には、**-c** パラメータを指定します。
+</file>
-<code>
+**クライアント** を手動で起動する際には、''-c'' パラメータを指定します。
- # echo test > file.txt
- # tentacle_client -v -c -a 192.168.70.125 file.txt
+<file>
-</code>
+$ echo test> file.txt
+$ tentacle_client -v -c -a 192.168.70.125 file.txt
+</file>
 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
-  * Tentacle サーバでは、**/etc/tentacle/tentacle_server.conf** ファイルを編集します。
+  * **Tentacle サーバ** の場合:
-<code>
+<file>
- ssl_cert tentacle_cert
+ssl_cert tentacle_cert
- ssl_key tentacle_key
+ssl_key tentacle_key
-</code>
-  * Pandora FMS エージェントでは、(OS によって) **/etc/pandora/pandora_agent.conf** または **C:\Program Files\pandora_agent\pandora_agent.conf** ファイルを編集します。
+</file>
-  server_opts -c
+  * **ソフトウエアエージェント** の場合:
-  * Pandora FMS サテライトサーバでは、**/ect/pandora/satellite_server.conf** ファイルを編集します。
+<file>
+server_opts -c
-  server_opts -c
+</file>
-==== Tentacle サーバが特定の CA の署名をされたクライアントの検証をし接続を受け付ける設定 ====
+  * **サテライトサーバ** の場合:
-この構成では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。
-サーバを手動で起動する際に、**-e** および **-k** パラメータを指定します。
+<file>
+server_opts -c
+</file>
+==== Tentacle サーバが特定の CA の署名がされたクライアントの検証をして接続を受け付ける設定 ====
+この設定では、Tentacle サーバの暗号化設定とクライアントに使用される証明書とキーを指定します。
+**サーバ**を手動で起動する際に、''-e'' および ''-k'' [[:ja:documentation:08_technical_reference:09_tentacle#tentacle_利用例|パラメータ]]を指定します。
+<file>
-<code>
  # su - pandora -s /bin/bash
  # tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp
-</code>
-クライアントを手動で起動する際は、**-e** および **-f** パラメータを指定します。
+</file>
-<code>
+**クライアント**を手動で起動する際は、''-e'' および ''-f'' パラメータを指定します。
- # echo test > file.txt
+<file>
+ # echo test> file.txt
  # tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt
-</code>
+</file>
 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
-  * Tentacle サーバでは、**/etc/tentacle/tentacle_server.conf** ファイルを編集します。
+  * **Tentacle サーバ** の場合:
-<code>
+<file>
  ssl_cert tentacle_cert
  ssl_key tentacle_key
-</code>
-  * Pandora FMS エージェントでは、(OS によって) **/etc/pandora/pandora_agent.conf** または **C:\Program Files\pandora_agent\pandora_agent.conf** ファイルを編集します。
+</file>
-  server_opts -e tentacle_client_cert -f ca_cert
+  * Pandora FMS **ソフトウエアエージェント** の場合:
-  * Pandora FMS サテライトサーバでは、**/ect/pandora/satellite_server.conf** ファイルを編集します。
+<file>
+server_opts -e tentacle_client_cert -f ca_cert
-  server_opts -e tentacle_client_cert -f ca_cert
+</file>
+  * Pandora FMS **サテライトサーバ** の場合:
+<file>
+server_opts -e tentacle_client_cert -f ca_cert
+</file>
 ==== 特定の CA の署名をされた Tentacle サーバへクライアントが検証し接続する設定 ====
 この設定では、Tentacle サーバとクライアントの設定で暗号化に使用される証明書とキーを設定します。
-サーバを手動で起動する際に、**-e**、**-k**、**-f** パラメータを指定します。
+**サーバ**を手動で起動する際に、''-e''、''-k''、''-f'' パラメータを指定します。
-<code>
+<file>
  # su - pandora -s /bin/bash
  # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp
-</code>
-クライアントを手動で起動する際は、**-e** および **-k** パラメータを指定します。
+</file>
-<code>
+**ライアント**を手動で起動する際は、''-e'' および ''-k'' パラメータを指定します。(改行のため ''\'' を使っています)
- # echo test > file.txt
- # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt
+<file>
-</code>
+ # echo test> file.txt
+ # tentacle_client -v \
+            -e tentacle_client_cert \
+            -k tentacle_client_key \
+            -a 192.168.70.125 file.txt
+</file>
 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
-  * Tentacle サーバでは、**/etc/tentacle/tentacle_server.conf** ファイルを編集します。
+  * **Tentacle サーバ** の場合:
-<code>
+<file>
  ssl_cert tentacle_cert
  ssl_ca ca_cert
  ssl_key tentacle_key
-</code>
-  * Pandora FMS エージェントでは、(OS によって) **/etc/pandora/pandora_agent.conf** または **C:\Program Files\pandora_agent\pandora_agent.conf** ファイルを編集します。
+</file>
-  server_opts -e tentacle_client_cert -k tentacle_client_key
+  * Pandora FMS **ソフトウエアエージェント** の場合:
-  * Pandora FMS サテライトサーバでは、**/ect/pandora/satellite_server.conf** ファイルを編集します。
+<file>
+server_opts -e tentacle_client_cert -k tentacle_client_key
-  server_opts -e tentacle_client_cert -k tentacle_client_key
+</file>
+  * Pandora FMS **サテライトサーバ** の場合:
+<file>
+server_opts -e tentacle_client_cert -k tentacle_client_key
+</file>
 ==== Tentacle サーバおよびクライアントの双方が特定の CA の署名を検証する接続設定 ====
 この設定では、Tentacle サーバとクライアントの双方で暗号化に使用される証明書と鍵を設定します。
-サーバを手動で起動する際に、**-e**、**-k**、**-f** パラメータを指定します。
+サーバを手動で起動する際に、''-e''、''-k''、''-f'' パラメータを指定します。
-<code>
+<file>
  # su - pandora -s /bin/bash
  # tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp
-</code>
-クライアントを手動で起動する際は、**-e**、**-k**、**-f** パラメータを指定します。
+</file>
-<code>
+クライアントを手動で起動する際は、''-e''、''-k''、''-f'' パラメータを指定します。
- # echo test > file.txt
+<file>
+ # echo test> file.txt
  # tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt
-</code>
+</file>
 手動実行で正しく動作することが確認できたら、それで動作するように設定を行います。
-  * Tentacle サーバでは、**/etc/tentacle/tentacle_server.conf** ファイルを編集します。
+  * **Tentacle サーバ** の場合:
-<code>
+<file>
  ssl_cert tentacle_cert
  ssl_ca ca_cert
  ssl_key tentacle_key
+</file>
+  * Pandora FMS **ソフトウエアエージェント** の場合:
+<code>
+server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
 </code>
-  * Pandora FMS エージェントでは、(OS によって) **/etc/pandora/pandora_agent.conf** または **C:\Program Files\pandora_agent\pandora_agent.conf** ファイルを編集します。
+  * Pandora FMS **サテライトサーバ** の場合:
+<code>
+server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
+</code>
+==== Tentacle 暗号化設定 ====
+Tentacle サーバとソフトウェアエージェントの両方が、証明書とパスワードを介して、直接または Tentacle プロキシを介して安全な通信を使用できます。
+<WRAP center round important 60%>
+**常に**、証明書の絶対パスをパラメーターに指定します。例えば、 ''/etc/ssl/tentaclecert.pem'' です。
+</WRAP>
+<WRAP center round important 60%>
+Tentacle 暗号化オプションを使用するには、システムにパッケージ ''perl(IO::Socket::SSL)'' がインストールされていることを確認してください。
+</WRAP>
+前の章では、さまざまな組み合わせについて詳しく説明しました。 この章では、パスワードオプション、Tentacle プロキシサーバ、および設定を追加するための ''TENTACLE_EXT_OPTS'' パラメータについて説明します。また、**前述の**、証明書名とキーを確認してください。説明の目的で簡略化した表現をしています。
+**パスワード認証での単純な転送:**
+パスワード認証のためのサーバのパラメータ:
+<file>
+ -x password
+</file>
+パスワード認証のためのクライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ):
+<file>
+ -x password
+</file>
+**クライアント証明無しでの暗号化転送:**
+サーバのパラメータ:
+<file>
+ -e tentacle_cert -k tentacle_key
+</file>
+**クライアント証明有りでの暗号化転送:**
+サーバのパラメータ:
+<file>
+ -e tentacle_cert -k tentacle_key -f ca_cert
+</file>
+クライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ):
+<file>
+ -e tentacle_client_cert -k tentacle_client_key
+</file>
+**クライアント証明書およびパスワード認証での暗号化転送:**
+サーバのパラメータ:
+<file>
+ -x password -e tentacle_cert -k tentacle_key -f ca_cert
+</file>
+クライアントのパラメータ( ''TENTACLE_EXT_OPTS'' ):
+<file>
+ -x password -e tentacle_client_cert -k tentacle_client_key
+</file>
+=== Tentacle プロキシを使った暗号化設定例 ===
+Tentacle プロキシサーバを利用した暗号化通信のためのソフトウェアエージェントと Tentacle サーバ両方の設定方法を段階的に説明します。 前の章で述べた証明書の名前と鍵を確認してください。パラメータに関しても確認してください。
+**手動テスト:**
+. tentacle_server を手動起動します:
+<file>
+  sudo -u user tentacle_server \
+            -x password \
+            -e tentacle_cert \
+            -k tentacle_key \
+            -f ca_cert -s /tmp -v
+</file>
+. プロキシを手動起動します:
+<file>
+sudo -u user tentacle_server -b ip_server -g 41124
+</file>
+. tentacle_client を手動で起動します:
+<file>
+  sudo -u user tentacle_client \
+             -a ip_proxy/ip_server \
+             -x password \
+             -e tentaclecert.pem \
+             -k tentaclekey.pem \
+             -v file
+</file>
+ファイルが正常に送信されたことを確認したら、tentacle_server とクライアントの永続的な設定に進みます。
+暗号化オプション付きで tentacle_server を設定するには、通常 ''/etc/init.d/tentacle_serverd'' にあるサービス **tentacle_serverd** の起動スクリプトを編集します。 中間点は、プロキシとして機能するように設定する必要があります。Tentacle 暗号化通信を使用するようにソフトウェアエージェントを設定するには、通常は ''/etc/pandora/pandora_agent.conf'' にある設定ファイル **pandora_agent.conf** を編集します。
+**永続的な設定**
+. SSL つきでサーバを開始します。起動スクリプト ''/etc/init.d/tentacle_serverd'' を編集します。''TENTACLE_EXT_OPTS'' の行を探し、以下を追加します。
+{{  :wiki:pfms-etc-tentacle-tentacle_server_dot_conf.png  }}
+<WRAP center round tip 75%>Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください： ''/etc/init.d/tentacle_serverd start''
+</WRAP>\\
+. プロキシを開始します。1. ど同様に、プロキシとして動作させるマシンで起動スクリプト ''/etc/init.d/tentacle_serverd'' を編集します。同様に ''TENTACLE_EXT_OPTS'' の行を探し、以下を追加します。
+{{  :wiki:pfms-etc-tentacle-tentacle_server_dot_conf_proxy.png  }}
+<WRAP center round tip 75%>Tentacle 設定ファイルに変更を加えた際は、それを有効にするためにサービスを再起動する必要があることに注意してください： ''/etc/init.d/tentacle_serverd start''
+</WRAP>
+. 対応するオプションをつけてソフトウエアエージェントを開始します。''pandora_agent.conf'' を編集し、''server_opts'' という行を探し、以下を追加します。
+<file>
+-x password -e tentacle_client_cert -k tentacle_client_key
+</file>
+**server_ip** で指定するアドレスは、監視サーバではなくプロキシサーバの IP にすることに注意してください。server_ops の行全体は次のようになります。
+<code>
+server_opts -x password -e tentacle_client_cert -k tentacle_client_key
+</code>
+<WRAP center round tip 60%>
+パスワードなどの一部のオプションを使用したくない場合は、対応するパラメーターを使用しないでください。
+</WRAP>
+==== Tentacle データ圧縮 ====
+<WRAP center round tip 60%>\\
+バージョン NG 725 以上\\
+</WRAP>\\
+Tentacle では、コマンドラインのオプション ''-z'' を使用してデータ圧縮を有効にすると、CPU 負荷は上がりますが、転送されるデータのサイズを削減できます。
+=== Pandora FMS エージェント ===
+''/etc/pandora/pandora_agent.conf'' を編集し、''server_opts'' に ''-z'' を追加します。
+  server_opts -z
-  server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
+=== サテライトサーバ ===
-  * Pandora FMS サテライトサーバでは、**/ect/pandora/satellite_server.conf** ファイルを編集します。
+''/etc/pandora/satellite_server.conf'' を編集し、''server_opts'' に ''-z'' を追加します。
-  server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
+<file>
+server_opts -z
+</file>
 [[:ja:documentation:08_technical_reference:09_tentacle|Tentacle ドキュメント一覧に戻る]]

ºº