Cacti在某些情形下使用會有所限制,但「窮則變,變則通」,這裡將示範當Cacti無法直接與設備連線時,該如何改用其他的方式來順利收集相關的設備資訊。
先在Cacti Server產生一把用來作為身分驗證的公開金鑰:
在詢問passphrase時不輸入而是直接按下〔Enter〕鍵,執行後,在「.ssh」目錄中會產出「id_rsa.pub」檔案,此為公開金鑰檔,要把它丟到Gateway上:
別忘了最後面的冒號(:),在輸入密碼後,檔案就複製過去了。
接著登入Gateway,進行後續操作:
ssh的前方有一個句號(.),記得別漏了。接著登出Gateway,再從Cacti Server使用SSH連線至Gateway,此時應能直接登入無需密碼。如果不行的話,請再檢查一下「.ssh」目錄的屬性以及該目錄中「authorized_keys」這個檔案的屬性是否如上所設定。
解決了自動登入的問題,接著要處理SSH自動連線的問題。先安裝autossh套件(由於筆者的Cacti Server是Fedora,因此使用yum指令,其他版本請自行參酌):
安裝完成後,執行autossh,其指令如下:
-M 10000:代表autossh會監控此Port,若該Port無回應則自動重連。
-f:代為背景作業,與&號相同。
其他參數:與ssh相同。
然後進行測試,在Gateway上先找到autossh建立時的PID(Process ID),在此例中是20039及20057,將之刪除。幾秒後,autossh發現斷線(用來監控的10000 Port失去連線),就主動發起新連線,其PID為20149和20169,如圖7所示。
 |
| ▲圖7 autossh自動登入及保持連線驗證。 |
最後,回到Cacti Server再次驗證是否能取得遠端設備的資訊,發現確實是可行的:
結語
SSH Tunnel妙用無窮,除了Cacti抓取資訊時可使用外,更常用的是Reverse Tunnel,可穿越防火牆等相關設備,有機會再為大家介紹。
<本文作者:丁光立,在ISP工作多年。對於Cisco設備較熟悉,除此之外也研究Linux,這幾年慢慢把觸角伸到資安的領域,並會在自己的blog(http://tiserle.blogspot.com/)分享一些實務上的經驗和測試心得。>