Linux SNMP 团体号配置指定IP地址访问

通常，这是通过配置 snmpd.conf 文件中的 rocommunity（只读团体号）或 rwcommunity（读写团体号）指令来实现的。

方法一：配置 snmpd.conf 文件（推荐且标准的方法）

这是最常用和灵活的方法。

1. 安装 SNMP 服务（如果尚未安装）

# Ubuntu/Debian
sudo apt update && sudo apt install snmpd snmp# CentOS/RHEL/Fedora
sudo yum install net-snmp net-snmp-utils  # 或者使用 dnf

2. 备份原始配置文件（好习惯）

sudo cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.bak

3. 编辑 SNMP 主配置文件

使用您喜欢的编辑器（如 vim, nano）打开配置文件：

sudo vim /etc/snmp/snmpd.conf

4. 配置访问控制规则

在配置文件中，找到或添加 rocommunity 或 rwcommunity 指令。其基本语法是：

rocommunity [团体号] [源地址限制]
rwcommunity [团体号] [源地址限制]

• rocommunity: 定义只读访问的团体号。
• rwcommunity: 定义读写访问的团体号（慎用，风险高）。
• [团体号]: 您设置的密码，例如 public（强烈建议修改）。
• [源地址限制]: 用于限制源 IP 或网络。

配置示例：

示例 1：允许单个 IP 地址访问
允许 IP 地址 192.168.1.100 使用团体号 my_private_ro_community 进行只读访问。

rocommunity my_private_ro_community 192.168.1.100

示例 2：允许一个网段访问
允许网络 192.168.1.0/24（即 192.168.1.1 到 192.168.1.254）使用团体号 my_private_ro_community 进行访问。

rocommunity my_private_ro_community 192.168.1.0/24

示例 3：允许多个源（使用多条指令）
允许管理服务器 192.168.1.50 和监控服务器 192.168.1.51 访问。

rocommunity my_private_ro_community 192.168.1.50
rocommunity my_private_ro_community 192.168.1.51

示例 4：使用 IPv6 地址

rocommunity my_private_ro_community 2001:db8::1/128

5. （可选但强烈推荐）修改默认团体号并限制默认访问

为了提高安全性，您应该注释掉或删除任何宽泛的、无限制的 community 指令。找到类似下面的行并处理：

# 注释掉或删除这行，它允许任何来源的访问
# rocommunity public# 或者，更安全的方法是，将它限制为本地环回接口
rocommunity public 127.0.0.1
rocommunity my_private_ro_community 192.168.1.100

6. 重启 SNMP 服务使配置生效

# Ubuntu/Debian (使用 systemd)
sudo systemctl restart snmpd# CentOS/RHEL 7+ (使用 systemd)
sudo systemctl restart snmpd# 旧版本 SysV Init
sudo service snmpd restart

7. 验证配置

从被允许的客户端测试访问：

# 语法：snmpget -v [版本] -c [团体号] [目标主机] [OID]
snmpget -v 2c -c my_private_ro_community your_linux_server_ip sysDescr.0

从被拒绝的客户端测试（应该失败）：

snmpget -v 2c -c my_private_ro_community your_linux_server_ip sysDescr.0
# 预期输出：Timeout: No Response from your_linux_server_ip

方法二：使用 iptables 防火墙（作为额外防线）

虽然 snmpd.conf 是主要的控制方法，但使用系统防火墙提供第二层保护是一个非常好的实践。SNMP 默认使用 UDP 161 端口。

1. 检查防火墙规则

sudo iptables -L -n -v | grep 161
# 或者使用 ufw (Ubuntu)
sudo ufw status numbered

2. 配置 iptables 规则（示例）

允许特定 IP 访问 SNMP 端口：

# 允许 192.168.1.100 访问 UDP 161
sudo iptables -A INPUT -p udp -s 192.168.1.100 --dport 161 -j ACCEPT# 默认拒绝所有其他到 161 端口的访问
# (注意：确保这条规则在允许SSH等规则之后，以免把自己锁在外面)
sudo iptables -A INPUT -p udp --dport 161 -j DROP

使用 UFW (Ubuntu/Debian)：

# 允许来自特定IP的SNMP
sudo ufw allow from 192.168.1.100 to any port 161 proto udp# 拒绝所有其他到161端口的访问（UFW默认是拒绝所有入站）
sudo ufw deny 161/udp

使用 firewalld (CentOS/RHEL/Fedora)：

# 将源IP添加到富规则(Rich Rule)
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="udp" port="161" accept'
sudo firewall-cmd --reload

重要提示：在应用任何 DROP 规则之前，确保您当前的 SSH 连接（或其他管理连接）不会被阻断。最好在防火墙规则中先允许您的管理 IP。

完整的安全配置示例

一个结合了最佳实践的 /etc/snmp/snmpd.conf 片段可能如下所示：

# 1. 只监听必要的网络接口（例如内网网卡）
agentAddress udp:192.168.1.10:161# 2. 定义视图（限制可访问的OID范围）
view systemonly included .1.3.6.1.2.1.1
view systemonly included .1.3.6.1.2.1.25.1# 3. 将团体号与视图和源地址绑定
rocommunity my_secure_ro_community 192.168.1.100 -V systemonly
rocommunity my_secure_ro_community 192.168.1.101 -V systemonly# 4. 完全禁用默认的 public 团体号，或将其限制为 localhost
# rocommunity public 127.0.0.1

总结与最佳实践

1. 永远不要使用默认团体号：将 public 和 private 修改为复杂且难以猜测的字符串。
2. 最小权限原则：只授予监控所必需的只读权限 (rocommunity)，除非绝对必要，否则避免使用 rwcommunity。
3. IP 限制是必须的：始终将团体号与特定的源 IP 或网络绑定。
4. ** Defense in Depth (纵深防御)**：结合使用 snmpd.conf 的访问控制和系统防火墙 (iptables, ufw, firewalld)。
5. 只监听必要的接口：使用 agentAddress 指令让 snmpd 只在内网接口上监听，而不是在所有接口 (0.0.0.0) 上。
6. 使用视图 (Views)：进一步限制客户端可以访问的 OID 树，只暴露他们需要的数据。

通过以上步骤，您就可以有效地将 Linux SNMP 服务配置为仅允许来自授权 IP 地址的访问，极大地增强了系统的安全性。