A necessary evil: snmpd(8) and snmpctl(8) 訳してみた

JUGEMテーマ:コンピュータ


OpenBSD Journalへ投稿された記事

A necessary evil: snmpd(8) and snmpctl(8)
http://undeadly.org/cgi?action=article&sid=20071205120138

snmpは好きな人いないし実装もぐちゃぐちゃだが
やっぱり必要悪でOpenBSD上であたらしくsnmpdを再実装しようという提案。

Reyk Floeter writes in to tell us about his work on a new SNMP implementation...以下を訳してみた。(間違いなどあればご指摘ください)


 私はちょうどsnmpd(8)とsnmpctl(8)をインポートしたばかりで、新しいSNMPデーモンを
OpenBSDへの実装をこころみようとしている。 SNMPは 「Simple Network Management Protocol」
のことで、今もネットワークベンダによって、そしてネットワーク管理システム(NMS)において
社内ネットワークでとても広く使われている。
 SNMPは私が仕事で使っており、わたしにとってとても大事なものだ。つまり、OpenBSDベースの
我々のセキュリティアプライアンスはさまざまなSNMPシナリオへの統合を必要とする。我々はこのことのために
net-snmpを使わなくてはならなかったが、BSD Licenseはとてもよい反面、コードはとても悪く、大昔の
役に立たないものと移植の糊にあふれている。そして多くの問題がOpenBSDのnet-snmp portにはあり、
ユーザは様々なCPU高負荷、クラッシュ、バグを報告した。それは単なる苦痛だった。
 だから私は新しく実装をするためにSNMPを調べることにした。既存の代替物あるいはportsを好まないなら、
OpenBSDではそれを正しく再実装しようとするよね? 特権分離を使う新しいsnmpd(8)、ospfd/bgpd由来の
imsg フレームワーク、knf(訳注;man styleのそれとおもう)、security in mind、そしてsnmpctl(8)
のような素敵な制御プログラムがあれば本当に素敵で私たちの問題のいくらかを解決するだろう。そして、わたしは
claudio@ が小さなASN.1 BER実装を他のプロジェクトのために取り組みをはじめていると知った。
これは、SNMPメッセージの腹立たしいBERエンコーディングを取り扱うための完全なベースだ。
 私はOpenCONの間に何人かの人に私のアイデアと、取り組んでいた初期のコードについて話をした。 期待される
リアクションは常に「これはいいね、でもSNMPは好きじゃない」だった。SNMPは必要悪だ。
人々は同時に困惑し幸せだ。正気なSNMPを実装することなど可能だろうか?しっかりとしたものにすることは可能だろうか?
 このコードはまだとても初期の段階にあり、snmpctl(8)なんてなんの機能もないスタブでしかなく、
実装されたMIBは、ほとんどのMIB-2、SNMPv3-MIB, IF-MIBに限られる。私は次にIP-MIB,TCP-MIB,
UDP-MIBそしてBRIDGE-MIBを実装し、デーモンのインフラに取り組むことを続けることを計画する。
ここではSNMP BERメッセージを使わずにOpenBSDの他のデーモンへ向かって話す方法が要る。
つまりIMSG。snmpd(8)はそれらのデーモンへ接続したり、なにかのIMSG情報をクエリしたり、
外側の世界のためのSNMP MIBsを供給するだろう。
 OpenBSD固有MIBのセンサーステータスのような、いくつかの便利な情報をエクスポートすることも
計画している。
プラグインやモジュールAPIを提供することはしたくない。もし人々が
hyper-extensible codebaseを必要とするならば、彼らはnet-snmpを使える。
デーモンは現在 SNMPv2/3 RFC、SNMPv1/2メッセージ、とてもシンプルなcommunity名ベースの
セキュリティモデル(SNMPv2c)に基づいている。ユーザベースのセキュリティモデル(USM)は
後から加えられるだろうが、新しいSNMPv3標準の複雑さはちょっと怖い。それらはシンプルな
プロトコルをレイヤ、モジュール、抽象概念の混乱に変えた。ここに「SNMPのためのSSHベースの
セキュリティモデル」についてのとても興味深いドラフトがある。
http://tools.ietf.org/wg/isms/draft-ietf-isms-secshell/
だが、それはCiscoとHuawei によって定義されたものだ。
で、私はsnmpd(8)へテストと寄稿をして、OpenBSDソースツリーの中の src/usr.sbin/snmpd/READMEファイルをみて
コードを調べるボランティアをさがしています。まだビルドにおいては使えず、ビルドにもっていけるようになるほど満足する
には時間が必要でしょう。
繰り返しますが、なんの役にも立たない機能XYZを提案しないでください。追加云々のためにnet-snmpを使うのはかまいません。

コメント

コメントを投稿

「コメントを投稿できるユーザー」の範囲は変更される可能性があります。

このブログの人気の投稿

4.3.0 Temporary Lookup Failureでドツボってた話

ここ3週間くらいちらちらとテスト用postfix設定しててthunderbirdとかのメールクライアントからメール送信テストしてたんだがどうにもクライアントからメール送信が出来なくて悩んでたんだがサーバログ見たら一発で解決した。 送信時にMUA側に現れるエラー 4.3.0 Temporary Lookup Failure クライアントのSTMP設定変えてみてもSSLとか認証有無、パスワード暗号化は関係なく出る様子。linuxローカルからはメールはメールボックスに遅れてる。 dovcotやsaslauthdの設定変えても変わらず。 linuxローカルでmailコマンド使うとサーバ内の他のアドレスのメールボックスにはちゃんと届く。 ググっても4.3.0はユーザーに外部DB使ってるような場合しかないぽい。 サーバログ/var/log/maillogをtail -fして送信要求時のログをおいかけると mynetworksのフォーマットがなんか間違えてるとか出てる mynetworks = 172.30.0.0./16, 192.168.1.0/24 あ、この./16の.がいかんのか。他の場所で$mynetworks使ってるし。 main.cf からこの.を取っ払ってpostfix再起動したら治った。
続きを読む

tomcat起動時の環境変数でJRE_HOMEを指定するときに

JAVA _HOME=にJREのパスを指定してちゃ駄目。 JDKがなくてもJREだけでもtomcatは動かせる。(すくなくともtomcat6以降では) JSPも動作する。 JREを使いたいときは、 JRE _HOMEを指定するだけでなく、 JAVA_HOMEにJREのパスその他が入っていないように未定義にしてやらないと怒られた。 C:¥apache-tomcat-7.0.2¥bin>startup The JAVA_HOME environment variable is not defined correctly This environment variable is needed to run this program NB: JAVA_HOME should point to a JDK not a JRE 意訳「JAVA_HOMEには JDKを指定しろよ、JREじゃなくてよぉ。」 Windowsなら、 set JAVA_HOME= とすればOK。 JUGEMテーマ: コンピュータ
続きを読む

何が得られて何処へ向かうかだけを問うべき

俳優の伊勢谷友介、2chの名無しに怒り 「焼身自殺と言う命をかけた行動を、狂人扱いし、卑下することは許せない」 : 痛いニュース(ノ∀`) http://blog.livedoor.jp/dqnplus/archives/1801608.html 焼身自殺試みた人の主張には同意、共感、理解、何れもできない。出来ないけど伊勢谷氏の言うことにも一分くらいは理がありそう。 ただ命を掛けた行動なら無条件で褒められるべきではなく、行動の妥当性を以ってキチガイかどうか判断すべき。 政治的主張としての◯◯ (◯◯は任意の行動。今回の場合は焼身自殺) 評価するポイント その行動が今後の社会の動向に反映されるかどうか この行動を見て社会が集団的自衛権の行使はしない方がいいんじゃないかなあ、と考える様になれば本懐は遂げたといえる。  今回はどうか。 人混みでパフォーマンスをする→ 注目を浴びて多くの人に問題提起はできた◯ 同意してくれそうか→むつかしいんじゃないか。傍迷惑すぎる。警察も役所も大変。 いや、「先の大戦で徴兵と空爆で一家離散悔しい2度とさせない」とか「安部政権はこの法案のために我々の家族や無辜の民を犠牲にした」、「実は政府首脳は中国に国を来るための工作でその証拠を見つけたが握り潰された」とかストーリーがあればああそうですかとおもわなくもないのですよ。是非は別として。 命を掛けて世の中に質問を投げかけたという意味では良くやったと思うけど、普通に出版とかで企画したほうが持続的な影響は持てるのではないでしょうか。 問題だけ考えるなら自分としては容認派だし考えはかわらないなあ。 というとネトウヨの戯言とか言われそうなので左巻きの方でも、こいつはキチガイだ!と認定しそうな事件を想定してみる。 「集団的自衛権の行使を実現するために焼身自殺」 「原発再稼働を願って焼身自殺」 「九条改正を願って焼身自殺」 おわかりいただけただろうか… こんなのを擁護するしたら、その側にいることだけを表明しているに過ぎない。 それでも評価するなら別に良しとすべきだと思うけどもはや信仰の問題。
続きを読む