VACM基础

于 2022-08-29 21:54:53 发布
阅读量527 收藏
点赞数
分类专栏: 杂记 文章标签: SNMPv3
原文链接:http://www.net-snmp.org/wiki/index.php/Vacm
版权

View Access Control Model 是 Net-SNMP 提供的更复杂的配置选项之一。

基础知识

检查手册页

snmpd.conf 手册页的 访问控制 部分讨论 VACM 设置,并包含最新信息。 先检查那里。

生活在拒绝中

回应“啊,这对我可怜的小脑袋来说太复杂了!” 我们收到的有关配置访问控制的消息类型,如果需求很简单,可以避免它。 因此,如果只想授予用户对整个 MIB 树的读取或写入权限,可以使用 rorw 配置选项,它们指定只读 (ro) 或读写 (rw) 访问权限 .

SNMPv1和SNMPv2 rocommunity/rwcommunity

这些指令允许访问基于团体的请求,可选择限制为特定范围的源 IP 地址和/或特定 OID。 有关详细信息,请参见 snmpd.conf 手册页,但一般形式为:

rocommunity COMMUNITY [SOURCE [OID]]
rwcommunity COMMUNITY [SOURCE [OID]]
rocommunity6 COMMUNITY [SOURCE [OID]]
rwcommunity6 COMMUNITY [SOURCE [OID]]

在 5.3 及更高版本中,该指令还可以限制对指定名称的视图的访问,使用语法

rocommunity COMMUNITY SOURCE -V VIEW
rwcommunity COMMUNITY SOURCE -V VIEW
rocommunity6 COMMUNITY SOURCE -V VIEW
rwcommunity6 COMMUNITY SOURCE -V VIEW

SNMPv3 rouser/rwuser

这些指令允许 SNMPv3 用户访问,可选地要求特定的访问级别并将用户限制为特定的 OID。 有关详细信息,请参见 snmpd.conf 手册页,但一般形式为:

rouser USER [noauth|auth|priv [OID]]
rwuser USER [noauth|auth|priv [OID]]

在 5.3 及更高版本中,该指令还可以限制对指定名称的视图的访问,使用语法

rouser USER noauth|auth|priv -V NAME
rwuser USER noauth|auth|priv -V NAME

特殊情况和示例

以下是一些更复杂配置的示例,包括根据 SNMPv3 用户的安全级别支持不同的视图。

VACM 视图,或如何限制对树中特定分支的访问

####
# 首先,将团体名称(COMMUNITY)映射为安全名称
# (local和custom_sec, 取决于请求来自哪里):

#       sec.name  source          community
com2sec local     localhost       secret42
com2sec custom_sec 192.168.1.0/24  public

####
# 其次,将安全名称映射为组名称:

#               sec.model  sec.name

group custom_grp v1         custom_sec
group custom_grp v2c        custom_sec

group incremental usm       myuser      # SNMPv3 用户名 == sec.name

####
# 第三,为我们创建一个视图,让组有以下权利:

#           incl/excl subtree                              mask
view all    included  .1

view custom_v excluded  .1
view custom_v included  sysUpTime.0
view custom_v included  interfaces.ifTable

view mini_view excluded .1 80
view mini_view included  sysUpTime.0

view if_view excluded .1 80
view if_view included  sysUpTime.0
view if_view included  ifTable


####
# 最后,授予组访问其视图的权限:

#                context sec.model sec.level match  read     write  notif
access MyRWGroup ""      any       noauth    exact  all      all    none
access custom_grp ""     any       noauth    exact  custom_v  none   none

access incremental ""    usm       noauth    exact  mini_view none  none
access incremental ""    usm       auth      exact  if_view   none  none
access incremental ""    usm       priv      exact  all_view  none  none

VACM 掩码,或如何限制对表中特定索引(行)的访问

使用 snmpd.conf 中的 view 指令,可以将用户限制在表中的一行。 为此,指定了可选的 mask 参数。 这是手册页的摘录:

      view NAME TYPE SUBTREE [MASK]
             定义命名视图。 TYPE是`included`或`excluded`。 MASK 是一个十六进制八位列表,用由“.”或“:”分隔。 如果未指定,则 MASK 默认为“ff”。

            使用掩码的原因是,它允许以相对简单的方式控制对表中一行的访问。 例如,作为 ISP,您能会考虑让每个客户访问他或她自己的接口:

             view cust1 included interfaces.ifTable.ifEntry.ifIndex.1 ff.a0
             view cust2 included interfaces.ifTable.ifEntry.ifIndex.2 ff.a0

             (interfaces.ifTable.ifEntry.ifIndex.1 == .1.3.6.1.2.1.2.2.1.1.1,
             ff.a0 == 11111111.10100000. 它很好地覆盖并包含行索引,但允许用户改变行的字段)

注意:掩码分隔符可以是“.” 或者 ”:”。

因此,为了更直观地了解它:

.1.3.6.1.2.1.2.2.1.1.1 == interfaces.ifTable.ifEntry.ifIndex.1 
 1 1 1 1 1 1 1 1 1 0 1 (00000) == (ff.a0)
               ^ ^ ^ ^
               | | | |-- the index
               | | |---- the column
               | |------ ifEntry
               |-------- ifTable

因此掩码中的每个位都指示相应的 OID 是否必须匹配。 在上面的示例中,OID 的除列之外的所有部分都必须匹配。 所以这个视图允许访问 ifTable 中第一行的任何列。 因此,与 ifTable 的exclude 行配对时,用户只能访问第 1 行。

现在,将它们与其他访问控制指令结合在一起。 假设有 2 个客户,每个客户只连接到一个特定的接口(例如客户 1 连接到 eth0,客户 2 连接到 eth1):

####
# 首先,将团体名称(COMMUNITY)映射为安全名称
# (local、cust1_sec 和cust2_sec, 取决于请求来自哪里):

#       sec.name  source          community
com2sec local     localhost       secret42
com2sec cust1_sec 192.168.1.0/24  public
com2sec cust2_sec 192.168.2.0/24  public

####
#其次,将安全名称映射为组名称:

#               sec.model  sec.name
group MyRWGroup v1         local
group MyRWGroup v2c        local

group cust1_grp v1         cust1_sec
group cust1_grp v2c        cust1_sec

group cust2_grp v1         cust2_sec
group cust2_grp v2c        cust2_sec

####
# 第三,为我们创建一个视图,让组有权:

#           incl/excl subtree                              mask
view all    included  .1

view cust1_v excluded  .1
view cust1_v included  sysUpTime.0
view cust1_v included  interfaces.ifTable.ifEntry.ifIndex.1 ff.a0

view cust2_v excluded  .1
view cust2_v included  sysUpTime.0
view cust2_v included  interfaces.ifTable.ifEntry.ifIndex.2 ff.a0

####
#最后,授予组访问其视图的权限:

#                context sec.model sec.level match  read     write  notif
access MyRWGroup ""      any       noauth    exact  all      all    none
access cust1_grp ""      any       noauth    exact  cust1_v  none   none
access cust2_grp ""      any       noauth    exact  cust2_v  none   none

重要的是要注意这是有效的,因为客户位于不同的网络上。 如果所有客户都在同一个网络上,那么需要注意的是,嗅探网络流量可能会将一个客户的“团体字符串”暴露给另一个客户,从而允许第二个客户通过 SNMP 查看第一个客户的接口统计信息。 在这种情况下,可能希望使用 SNMPv3 usm 用户提供的加密功能,而不是 SNMPv1 和 SNMPv2 团体字符串。

使用上下文

可以为 SNMPv1 和 SNMPv2 团体模拟 SNMPv3“上下文”,如 配置多个代理的此页面 中所述。

HHFQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VACM-开源
05-02
VA-Cluster Manager是大型服务器监视和管理工具。 VACM提供了用于添加新协议和监视技术的模块化体系结构,具有极强的可扩展性。
VacmMIB
weixin_30706691的博客
11-27 113
VACM 基于视图的访问控制模型 是SNMPV3对MIB中被管对象的访问进行控制的模型 特点: 1.VACM 确定是否允许用户访问本地MIB的被管理对象。当用户请求消息到达代理的命令响应器时,命令响应器首先调用VACM,判断是否可以执行用户请求的访问操作;同理,当MIB对象异常,想通过Trip发出警告时,也先调用VACM 判断是否允许发出 2.管理员可以通过设置VACM MIB中对象的值...
snmp的VACM使用
贾亮的专栏
07-13 1581
呵呵,废话不多说,直接用例子说明,加入我的snmpd.conf文件如下:首先将v1和v2c community名字为public的映射到security name,其实想到与给public 起了一个v3的名字;#First, map the community name (COMMUNITY) into a security name #       sec.name  source          community com2sec my_sec    default           publi
SNMP学习 SNMPv3中的USM和VACM
net51hot的专栏
12-16 2299
USM负责鉴别、加密、解密SNMP报文,VACM负责管理MIB数据访问权限。RFC 2574定义了USM。以前所有版本的SNMP协议都缺乏一个可靠的、一致支持的安全机制。设计USM时,下述这些典型的安全问题必须得到解决:1) 信息修改(数据完整性)   确认数据在传输过程中没有被未授权的实体篡改。2) 伪装(数据源验证)   确认数据来自谁,来自哪里,防止未授权的实体伪装后要求对合法用户进行身份 
SNMPv3 - 用户安全模型
mrwangwang的专栏
08-03 4079
SNMPv3 - 用户安全模型 这是描述SNMP协议第三版安全特征的两篇文章中的第一篇. SNMPv3 RFCs描述了一个新的框架用于定义SNMP第一, 第二和第三版规范之间的关系. 这个框架以模块的方式划分并且绝大部分依赖以前的工作 (例如 SNMPv1, SNMPv2c, SNMPv2u, 和 SNMPv2*). 在这个框架内的两个核心模块是基于用户的安全模
SNMP学习 SNMPv3 VACM(视图访问控制模型)
net51hot的专栏
12-16 2703
SNMPv3的VACM比较难于理解,网上找到这篇文章,基本上是对官方提供的英文文档(http://www.insanum.com/docs/vacm.html)的翻译,我更新了其中的两个图。  SNMP/MIB系列(13)--SNMPv3视图访问控制模型作者:Eric Davis 整理:小四 主页:http://www.nsfocus.com日期:2003-01-03标题: SNMP/
SNMPv3基于视图的访问控制模型VACM
NowOrNever
01-31 8740
SNMPv3使用了基于视图的访问控制模型VACM, 它提供对MIB的访问控制。 - RFC 3411 Architecture for SNMP Frameworks http://www.ietf.org/rfc/rfc3411.txt - RFC 3415 View Access Control Model (VACM)  http://www.ietf.org/rfc/rfc34
7、应用层协议
热门推荐
安全学习笔记
05-21 1万+
HTTP协议(超文本传输协议) FTP协议(文件传输协议) POP3协议(收邮件) SMTP协议(发邮件) DHCP协议(动态主机配置) DNS协议(地址解析) SNMP协议(简单网络管理) Telnet协议(远程登陆)
SNMP 原理与实战详解
weixin_33675507的博客
10-10 7477
大纲一、什么是SNMP二、SNMP背景三、SNMP结构概述四、SNMP支持的网管操作五、SNMP的实现结构六、SNMP的技术内容七、SNMP的发展历史八、SNMP的技术术语九、综合上述(总结)十、Net-SNMP详解十一、SNMP的MIB详解注,实验环境 CentOS 6.4 x86_64 软件版本 net-snmp 5.5。(说明:本博文的一些图片自于开源社区与官方网站并不...
SNMP协议详解<三>
假装在纽约
10-30 1万+
在上篇文章中,说到了SNMPv3主要在安全性方面进行了增强,采用USM(基于用户的安全模型)和VACM(基于视图的访问控制模型)技术。下面我们就主要讲解SNMPv3的报文格式以及基于USM的认证和加密过程! 1、SNMPv3的消息格式如下图1: 图 1 其中,整个SNMPv3消息可以使用认证机制,并对EngineID、ContextName、PDU消息体
VACM-Perl-开源
05-01
VACM-Perl是一种模块工具,允许为VACM编写Perl模块。 该站点还将用作使用VACM-Perl构建的开源VACM模块的存储库
SNMP协议基础,网络学习必备
12-02
1 SNMP协议及网络管理介绍 2 1.1什么是SNMP? 2 1.1.1 SNMP 版本 3 1.1.2 管理端和agent 3 1.1.3 SMI和MIBs 4 2 SNMP V1和SNMP V2 4 2.1 SNMP 和 UDP 5 2.2 SNMP community 5 2.3 管理信息结构 5 ...3.3. VACM 34
SNMPv3技术演讲稿
11-09
SNMPv3 RFCs描述了一个新的框架用于定义SNMP第一, 第二和...在这个框架内的两个核心模块是基于用户的安全模型 (USM) 和基于视图的访问控制模型 (VACM). USM 负责 SNMP 包的认证/加密/解密, VACM 负责管理MIB数据的访问.
iReasoningMIBBrowser(SNMP查看管理软件)v12.0免费安装版
08-06
iReasoning MIB Browser是一款专门为网络管理人员打种过的实用SNMP查看管理软件。该工具可以与多个SNMP设备连接进行管理和监控操作,支持对数据进行查看、...2、完整的SNMPv1, v2c和v3 (USM和VACM)支持 3、完整的SNMPv
druid-1.0.11.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
xmpcore-5.1.2.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
node-v4.6.2-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.2.0-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ECharts-2.2.7.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
validation-api-1.1.0.Final.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值