SNMP(Simple Network Management Protocol,簡單網路管理協議)的前身是簡單閘道器監控協議(SGMP)，用來對通訊線路進行管理。隨後，人們對SGMP進行了很大的修改，特別是加入了符合Internet定義的SMI和MIB：體系結構，改進後的協議就是著名的SNMP。SNMP的目標是管理網際網路Internet上眾多廠家生產的軟硬體平臺，因此SNMP受Internet標準網路管理框架的影響也很大。現在SNMP已經出到第三個版本的協議，其功能較以前已經大大地加強和改進了。


在運營商、金融行業的安全評估中，經常會通過遠端安全評估系統掃描出snmp的相關脆弱項，一般分為兩種，第一，是採用了“public”的弱口令，第二是由於版本過低，會出現安全隱患。

下面，介紹一些針對snmp的加固經驗，供大家參考。

SNMP存在可讀的口令

該漏洞一般情況是由於snmp的ro連線串為預設的public，修改為非”public”即可

加固方法：

Windows系統

執行”services.msc” 找到snmp服務項，在相應標籤中更改snmp的連線串即可。

Solaris

solaris 10系統

檢查snmpd.conf檔案中的”rocommunity”部分，檢視是否具有弱口令

#more /etc/sma/snmp/snmpd.conf

在修改該檔案前備份該檔案

#cp -p /etc/sma/snmp/snmpd.conf /etc/sma/snmp/snmpd.conf_bak

通過vi修改該檔案

#vi /etc/sma/snmp/snmpd.conf

修改rocommunity  public為其他連線串

重啟SNMP服務：

# /etc/init.d/init.sma stop

# /etc/init.d/init.sma start

solaris 9

配置項名稱

檢查snmpd.conf檔案中的”rocommunity”部分，檢視是否具有弱口令

#more /etc/snmp/conf/snmpd.conf

在修改該檔案前備份該檔案

#cp -p /etc/snmp/conf/snmpd.conf /etc/snmp/conf/snmpd.conf_bak

通過vi修改該檔案

#vi /etc/snmp/conf/snmpd.conf

修改read-community public為其他連線串

重啟SNMP服務：

#/etc/init.d/init.snmpdx stop

#/etc/init.d/init.snmpdx start

AIX系統

AIX系統預設為SNMPV2,在該版本下無法直接修改配置檔案進行加固。需要先更改SNMP版本為V1,再進行加固。

檢視並備份配置檔案。
vi /etc/snmpd.conf  (vi修改public的弱口令）
3.  /usr/sbin/snmpv3_ssw -1  （切換版本未snmpv1)

4.  stopsrc -s snmpd;startsrc -s snmpd (重啟snmp服務）