This article will be completed in the near future to provide a central overview on all aspects of security measures implemented in Checkmk and aids on further improving security.
First the Good News: Since its beginning Checkmk has used an architecture that considers security needs and — wherever possible — applies these to its standard settings. There are however aspects where user intervention is required, for example when keys or certificates have to be generated or imported.
 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
この記事は、Checkmk で実装されているセキュリティ対策のあらゆる側面に関する概要と、セキュリティのさらなる向上に役立つ情報を提供するために、近日中に完成する予定です。
まず、良いニュースからご報告いたします。Checkmk は、創業以来、セキュリティのニーズを考慮したアーキテクチャを採用し、可能な限りそのニーズを標準設定に反映しています。 ただし、キーや証明書の生成やインポートなど、ユーザーの操作が必要な部分もあります。
1. エージェントの出力
2.1.0 以降、Checkmk は Linux および Windows ホスト上のサーバーとエージェント間の通信に TLS 暗号化を提供しています。 この通信の詳細については、以下の記事をご覧ください。
ただし、Linux または Unix クライアントで TLS 暗号化をセットアップできない環境もあります。 そのような場合は、SSH などの暗号化トンネルを使用してください。
2. HTTP(S) 通信
Checkmk の多くの部分では、通信は HTTP によって実現されています。 これは、分散監視などの内部通信および設定にも適用されます。 可能な場合は HTTPS に切り替えてください。
3. アクセス制御
Checkmk は、さまざまな認証プロトコルへの接続をサポートしており、さらにセキュリティを強化するために二要素認証を適用することもできます。
4. ログ記録
ログファイルsecurity.log は、セキュリティに関連するイベントの検出を容易にします。
認証、ユーザー管理、サービス(サイトの起動や停止など)、アプリケーションエラーなどのカテゴリのイベントがここに記録されます。
このログファイルはサイトディレクトリにあり、以下は典型的なログエントリの例です。
2024-04-02 19:12:33,891 [cmk_security.service 269382] {"summary": "site stopped", "details": {}}
2024-04-03 08:55:46,480 [cmk_security.service 5652] {"summary": "site started", "details": {}}
2024-04-03 09:21:18,830 [cmk_security.auth 8798] {"summary": "authentication succeeded", "details": {"method": "login_form", "user": "cmkadmin", "remote_ip": "127.0.0.1"}}
2024-04-03 15:41:20,499 [cmk_security.user_management 8798] {"summary": "user created", "details": {"affected_user": "myuser", "acting_user": "cmkadmin"}}
2024-04-03 16:36:04,099 [cmk_security.auth 1882076] {"summary": "authentication failed", "details": {"user_error": "Incorrect username or password. Please try again.", "method": "login_form", "user": "myuser", "remote_ip": "127.0.0.1"}}
2024-04-03 18:19:05,640 [cmk_security.application_errors 1882076] {"summary": "CSRF token validation failed", "details": {"user": "cmkadmin", "remote_ip": "127.0.0.1"}}各行は次の構造になっています:
ログエントリが作成された日時 (ローカル時間)。
セキュリティドメイン (
cmk_security.authなど) およびプロセス ID。メッセージ自体の概要 (
summary) および詳細 (details) が、それぞれ JSON 形式で記載されています。 詳細の内容は、セキュリティドメインによって異なります。
セキュリティドメインの追加、ログに記録されるイベント、詳細情報など、ログファイルの内容は将来変更される場合がありますのでご注意ください。