存储SNMP弱口令问题

发布时间:  2013-03-12 浏览次数:  236 下载次数:  0
问题描述
安全漏洞扫描软件扫描V1000&S2000&S5000存储,提示SNMP(simple network management protcol)服务弱口令,该服务主要用于管理网络上的设备,举例如存储的告警信息通过该标准协议上报给第三方网管(I2000等)。
告警信息
处理过程
解决办法
S2000& S5000存储设备有如下两个方法:
1、修改团体字名称
2、禁用存储SNMP服务

V1000存储设备有如下方法:
V1000设备没有修改团体字名称接口,所以无法通过修改团体字名称来解决SNMP弱口令问题,只能通过禁用存储SNMP服务来解决。

修改团体字名称
CLI下输入chgcommunityname,如果提示该命令非法,说明现场控制软件版本不支持修改团体字名称,如果条件允许可以升级控制软件版本到最新发布版本即可支持修改团体子名称。

如果该命令存在,说明现场控制软件支持修改团体字名称,参考该命令的帮助进行修改团体字名称,修改后可通过showcommunityname查询


禁用存储SNMP服务
登陆需要禁用SNMP的控制器,进入debug模式,进入/OSM/snmp_agent/conf/monitor目录

执行mv snmpapp.mon snmpapp.mon.bak,修改上述目录中的snmpapp.mon文件为snmpapp.mon.bak

进入/OSM/snmp_agent/conf目录

停掉SNMP服务

确认snmpapp已停止,如下提示snmpapp is not running.

如果现场只有A或B控制器连接管理网线,只需要登陆有连接管理网线的控制器,并禁用该控制器的snmpapp进程即可,如果A、B控制器都连接有管理网线,A、B控制器分别执行如上,禁用各自的SNMP服务。

禁用存储SNMP服务(V1000设备)
参考如下示例,Kill掉当前控制器的snmpapp进程

进入/cf_data/root/sbin/agent/conf目录下,输入./show_snmp.sh确认snmpapp进程不在运行,如下提示snmpapp is not running

如果现场只有A或B控制器连接管理网线,只需要登陆有连接管理网线的控制器,并禁用该控制器的snmpapp进程即可,如果A、B控制器都连接有管理网线,A、B控制器分别执行如上,禁用各自的SNMP服务。

根因
存储默认SNMP 读写团体字名称(可理解为密码)分别为public/private,可通过showcommunityname查询,如果提示命令非法,表明现场版本不支持团体字名称查询和修改。
建议与总结
优缺点
修改团体字名称
优点:简单方便、可在线修改,对业务任何影响。
缺点:如果现场版本不支持修改团体字名称,需要升级控制器      版本
禁用存储SNMP服务
优点:较为复杂,也可在线实施,对业务任何影响。
缺点:一旦停用了snmp服务就会影响阵列通过SNMP上报告      警到网关软件(如I2000上后续就会无法收到阵列的告        警 ),但不影响阵列自身OSM/ISM管理界面上的告警          接受。

END