雑記

◆ [Nagios] SSLv3の監視用プラグイン

SSL POODLE脆弱性の対処として設定でSSLv3を無効にする方法が出回っていますが、何かの拍子に有効化してしまう危険性もあるので、とりあえずNagiosのプラグインを書いて監視するようにしました。opensslコマンドがインストール済みである前提です。

上記ファイルをダウンロードしてNagiosのプラグインディレクトリに保存します。コマンドのパスがFreeBSD前提になっているので、適宜書き換えて下さい。

設定のサンプルです。

コマンドの定義:

define command {
   command_name   check_sslv3
   command_line   $USER1$/check_sslv3 -H $HOSTADDRESS$ -p $ARG1$
   }

サービス定義（共通部）:

監視対象が多いので、各サービス監視用の共通定義を書きます。サービスの監視は別にやっているので、チェック間隔は長め(60分)にします。

# HTTPS SSLv3
define service {
   name           generic-https-sslv3
   use               generic-service
   normal_check_interval   60
   service_description  SSLv3 HTTPS
   check_command     check_sslv3!443
   is_volatile       0
   register       0
   }

こんな感じでIMAPS(993), POP3S(995), SMTPS(465), LDAPS(636)あたりの定義も書いておきます。

ホスト毎のサービス監視:

サーバ毎のサービス監視定義を記述します。

# HTTP
define service{
   use         generic-https-sslv3
   host_name   <target.host>
   }
# IMAP
define service{
   use         generic-imaps-sslv3
   host_name   <target.host>
   }

設定が終わったらNagiosを再起動して監視できているか確認します。