パッシブサービスの設定

APTのnagios3パッケージでは、パッシブサービス用のcheck_periodのneverが定義されています。
これを設定するとNagios側からの監視はしません。
check_commandには、ダミーのreturn-okを指定します。

$ tail -11 /etc/nagios3/conf.d/localhost_nagios2.cfg
define service {
       use                      generic-service
       host_name                localhost
       check_period             never
       service_description      TCPWrapper
       check_command            return-ok
       max_check_attempts       1
       check_freshness          0
       flap_detection_enabled   0
       is_volatile              1
}
$

TCPWrapperに拒否するアドレスを指定する

localhostと特定のIPアドレス以外のアクセスを拒否するように設定します。
この設定では、localhostと10.0.1.100以外のアクセスは拒否ということになります。

$ cat /etc/hosts.deny
ALL:ALL EXCEPT LOCAL, 10.0.1.100: twist (/etc/nagios3/handle_tcp_wrapper %h %d) &
$ cat /etc/hosts.deny

アクセスを拒否した場合に/etc/nagios3/handle_tcp_wrapperを実行します。

$ cat handle_tcp_wrapper
#! /bin/sh
/etc/nagios3/submit_check_result_via_nsca localhost TCPWrapper 2 "Denied $2-$1"
$ cat submit_check_result_via_nsca
printfcmd="printf"

NscaBin="/usr/sbin/send_nsca"
NscaCfg="/etc/send_nsca.cfg"
NagiosHost="localhost"

# Fire the data off to the NSCA daemon using the send_nsca script
$printfcmd "%s\t%s\t%s\t%s\n" "$1" "$2" "$3" "$4" | $NscaBin -H $NagiosHost -c $NscaCfg
$

動作確認

/etc/hosts.denyで例外に指定されていないIPアドレスから接続があると接続が拒否されますが、そのときに下記のようなメールが通知されます。
不正アクセスの監視は、自動的に復帰することはないので、NagiosのWebコンソールから"Submit passive check result for this service"を使ってステータスを変更します。

 ***** Nagios *****

Notification Type: PROBLEM

Service: TCPWrapper
Host: localhost
Address: 127.0.0.1
State: CRITICAL

Date/Time: Sat Mar 21 11:27:14 JST 2009

Additional Info:

Denied sshd-10.1.0.10.in-addr.arpa