Выключить глобально проверку по SSH

Started by evgenm, December 29, 2022, 10:40:36 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions

evgenm

December 29, 2022, 10:40:36 AM
Не использую проверку по SSH и пока не планирую.
Однако система по умолчанию делает такой опрос для всех объектов, и для вновь создаваемых.
При этом в логах устройств фиксируется алерт, что мол не аутентифицированное подключение по SSH. Что жутко не нравится системе безопасности.
Как глобально выключить такой Poll?
Или хотя бы скрипт обработки всех объектов и выключения SSH запросов. Хотя костыль...

P.S.
Мне казалось, что видел раньше такое обсуждение и даже обещание, сделать  настройку. Что если нет учетных данных SSH, то опрос не выполнять.
Однако поиском не нашел. В последней актуальной версии все также стучится.

Filipp Sudanov

#1
December 30, 2022, 03:56:16 PM
Происходит ли этот опрос раз в час (это дефолтовый интервал для configuration poll) или с другим интервалом?

На Configuration Poll да, было такое, что даже если в свойствах ноды не был прописаны ssh логин/пароль, сервер пытался подключаться с пустым паролем. Это достаточно давно исправлено.
Ну и стоит проверить в Configuration -> Network Credentials - нет ли там ssh логинов в списке, если есть, то сервер будет пытаться их перебирать.
Ну и можно автоматом расставить галочку "Disable SSH usage for all polls" на все ноды, добавив в Hook::ConfigurationPoll строчку $node->enableSsh(false);

Вторая возможность - что он пытается подключатсья по ssh в процессе Network Discovery - тогда период этого опроса должен совпадать с интервалом Network Discovery.

evgenm

#2
December 30, 2022, 04:52:54 PM Last Edit: December 30, 2022, 05:00:06 PM by evgenm
Хм, а действительно, это похоже не Poll'ы объектов, а Network discovery.
Насколько я посмотрел, в среднем каждые 9 часов.
Но при этом на некоторые устройства прям с повторами (вложение)

Network credentials пустое.
Passive discovery interval - 900
Active discovery interval - 14400

Можно ли как-то выключить SSH в Network Discovery?

ADD:
Посмотрел настройки, а может себя так проявлять опция NetworkDiscovery.ActiveDiscovery.EnableTCPProbing ?
То есть NetXMS стучится на 22 порт, система фиксирует это как попытку входа?
Где можно настроить "list of well-known port"?

Filipp Sudanov

#3
January 03, 2023, 04:23:05 PM
Да, это как раз таки NetworkDiscovery.ActiveDiscovery.EnableTCPProbing

В Configuration -> Network Credential можно задавать списки Agent Ports (для NetXMS агента) и SSH ports. Задавать можно или глобально, или по зонам. Если эти списки пустые, берутся порты по умолчанию - соответственно 22 для SSH и 4700 для агента.

https://github.com/netxms/netxms/blob/master/src/server/core/network_cred.cpp#L359
Print
Go Up Pages1
User actions