雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2014-10-17 [長年日記]

[Nagios] SSLv3の監視用プラグイン

SSL POODLE脆弱性の対処として設定でSSLv3を無効にする方法が出回っていますが、何かの拍子に有効化してしまう危険性もあるので、とりあえずNagiosのプラグインを書いて監視するようにしました。opensslコマンドがインストール済みである前提です。

上記ファイルをダウンロードしてNagiosのプラグインディレクトリに保存します。コマンドのパスがFreeBSD前提になっているので、適宜書き換えて下さい。

設定のサンプルです。

コマンドの定義:
define command {
   command_name   check_sslv3
   command_line   $USER1$/check_sslv3 -H $HOSTADDRESS$ -p $ARG1$
   }
サービス定義(共通部):

監視対象が多いので、各サービス監視用の共通定義を書きます。サービスの監視は別にやっているので、チェック間隔は長め(60分)にします。

# HTTPS SSLv3
define service {
   name           generic-https-sslv3
   use               generic-service
   normal_check_interval   60
   service_description  SSLv3 HTTPS
   check_command     check_sslv3!443
   is_volatile       0
   register       0
   }

こんな感じでIMAPS(993), POP3S(995), SMTPS(465), LDAPS(636)あたりの定義も書いておきます。

ホスト毎のサービス監視:

サーバ毎のサービス監視定義を記述します。

# HTTP
define service{
   use         generic-https-sslv3
   host_name   <target.host>
   }
# IMAP
define service{
   use         generic-imaps-sslv3
   host_name   <target.host>
   }

設定が終わったらNagiosを再起動して監視できているか確認します。