net-snmp配置:snmp v3的安全配置

• net-snmp配置:snmp v3的安全配置
  • 增加snmp v3用戶
    • 增加 認證且加密只讀賬號(authPriv)
    • 增加 認證且加密的讀寫賬戶
    • 增加 認證但不加密只讀賬戶(authNoPriv)
      • 參數說明
  • 重新啟動snmpd
  • 測試一下
    • 測試認證且加密只讀賬戶fx
    • 測試認證且加密讀寫賬戶fxw
    • 測試認證不加密只讀賬戶fxa
    • 注意事項
      • snmpwalk權限設置導致的超時
      • snmpset安全等級設置與認證和加密設置不對等時候的報錯
      • snmpset使用noAuthNoPriv不認證不加密方式報錯

可以參考這里：http://www.ttlsa.com/zabbix/snmp-v3-configuration/

增加snmp v3用戶

增加 認證且加密只讀賬號(authPriv)

o@o-pc:~$ sudo service snmpd stop   #停止snmpd服務
o@o-pc:~$ sudo net-snmp-create-v3-user -ro -A auth123456 -X priv123456 -a MD5 -x DES fx     #創建snmpv3用戶

adding the following line to /var/net-snmp/snmpd.conf:
   createUser fx MD5 "auth123456" DES priv123456
adding the following line to /usr/local/net-snmp/share/snmp/snmpd.conf:
   rouser fx

增加 認證且加密的讀寫賬戶

o@o-pc:~$ sudo /usr/local/net-snmp/bin/net-snmp-create-v3-user  -A auth123456 -a MD5 -X priv123456 -x DES fxw 
adding the following line to /var/net-snmp/snmpd.conf:
   createUser fxw MD5 "auth123456" DES priv123456
adding the following line to /usr/local/net-snmp/share/snmp/snmpd.conf:
   rwuser fxw

增加 認證但不加密只讀賬戶(authNoPriv)

o@o-pc:~$ sudo net-snmp-create-v3-user -ro -A auth123456 -a MD5 fxa
adding the following line to /var/net-snmp/snmpd.conf:
   createUser fxa MD5 "auth123456" DES
adding the following line to /usr/local/net-snmp/share/snmp/snmpd.conf:
   rouser fxa

注意，這個操作會修改默認的snmpd.conf文件。

參數說明

• -ro:用戶讀寫權限，表示用戶fx為只具有讀權限
• fx：用戶名
• -a MD5:認證方式，MD5散列方式
• -A auth123456：設置認證密碼，密碼必須大於8個字符
• -x DES:加密方式，這邊支持AES、DES兩種
• priv123456：加密口令，必須大於8位

備注：增加用戶的時候，snmp必須關閉，否則有如下報錯

Apparently at least one snmpd demon is already running.
 You must stop them in order to use this command.
Apparently at least one snmpd demon is already running.
 You must stop them in order to use this command.

重新啟動snmpd

o@o-pc:~$ sudo service snmpd start

測試一下

測試認證且加密只讀賬戶fx

o@o-pc:~$   snmpwalk  -v3  -u fx -a MD5 -A auth123456 -x DES -X priv123456 -l authPriv 127.0.0.1 sysUpTime
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (93687) 0:15:36.87

測試認證且加密讀寫賬戶fxw

注意，下面的節點confNewVersion.0是一個自定義的讀寫節點

#認證且加密方式set
```bash
$ snmpset -v3 -u fxw -a MD5 -A auth123456 -x DES -X priv123456 -l authPriv 127.0.0.1 confNewVersion.0 s "12345"
SNMP-VC-MIB::confNewVersion.0 = STRING: "12345"
#認證但不加密方式set
```bash
$ snmpset -v3 -u fxw -a MD5 -A auth123456  -l authNoPriv 127.0.0.1 confNewVersion.0 s "12345"
SNMP54-VideoCommand-MIB::confNewVersion.0 = STRING: "12345"

測試認證不加密只讀賬戶fxa

o@o-pc:~$ snmpwalk  -v 3 -u fxa -a MD5 -A auth123456 -l authNoPriv 127.0.0.1 sysUpTime
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8215) 0:01:22.15

注意事項

注意，對於snmpget/set操作，代理端配置的賬戶與管理端使用的時候可以不完全一致。但是對於set操作，不能使用noAuthNoPriv方式，否則報錯。

• 對於認證且加密的賬戶，snmpget/walk/get可以使用三種級別的安全方式，分別為noAuthNoPriv（不認證也不加密）、authNoPriv（認證但是不加密）、authPriv（既認證又加密）

• 對於認證但不加密的賬戶，snmpget/walk/get可以使用兩種級別的安全方式，分別為noAuthNoPriv（不認證也不加密）、authNoPriv（認證但是不加密）

snmpwalk權限設置導致的超時

```bash
$ snmpwalk  -v 3 -u fxa -a MD5 -A auth123456 -x DES -X priv123456 -l authPriv 127.0.0.1 sysUpTime
Timeout: No Response from 127.0.0.1

snmpset安全等級設置與認證和加密設置不對等時候的報錯

```bash
$ snmpset -v3 -u fxw -a MD5 -A auth123456  -l authPriv 127.0.0.1 confNewVersion.0 s "12345"snmpset: USM generic error (Sub-id not found: (top) -> confNewVersion)

snmpset使用noAuthNoPriv不認證不加密方式報錯

$ snmpset -v3 -u fxw  -l noAuthNoPriv 127.0.0.1 confNewVersion.0 s "12345"
Error in packet.
Reason: authorizationError (access denied to that object)