Подробный гайд: Ревизор сети 3.0: настройка сканирования Linux через SNMP, SSH и агент
Почему Linux не обнаруживается по умолчанию?
| Технология | Windows | Linux |
|---|---|---|
| WMI / CIM | Нативно | Не поддерживается |
| Реестр / SMB-инвентаризация | Да | Нет |
| PowerShell / WinRM | Да | Нет |
| SNMP / SSH / Agent | Требует настройки | Нативно или через демона |
«Ревизор сети 3.0» использует WMI/SMB как основной источник данных. Без явного включения SNMP, SSH или агента Linux-хосты либо пропускаются, либо помечаются как Offline/Unknown.
Шаг 1. Проверьте официальную поддержку в вашей сборке
- Откройте документацию → раздел «Поддерживаемые ОС» или «Системные требования».
- Проверьте наличие модулей/лицензий: Linux Support, SNMP Extension, Cross-Platform Inventory.
- Уточните точного вендора и номер сборки (например, 3.0.1.452, Softline Edition, Ай-Теко и т.д.). От этого зависит наличие встроенных плагинов.
Шаг 2. Настройка сканирования Linux (3 рабочих метода)
Способ 1: SNMP (рекомендуемый и наиболее стабильный)
На стороне Linux:
# Debian/Ubuntu
sudo apt update && sudo apt install snmpd snmp-mibs-downloader
# RHEL/CentOS/AlmaLinux
sudo yum install net-snmp net-snmp-utils
Отредактируйте /etc/snmp/snmpd.conf:
# Разрешить опрос только из подсети Ревизора
rocommunity my_secure_community 192.168.1.0/24
# Базовая информация
syslocation "DataCenter-1, Rack-A3"
syscontact it-admin@yourdomain.ru
# Разрешить чтение всех OID (опционально, для полной инвентаризации)
view all included .1 80
access mygroup "" any noauth exact all none none
Перезапустите и проверьте:
sudo systemctl restart snmpd
sudo systemctl enable snmpd
snmpwalk -v2c -c my_secure_community 127.0.0.1 .1.3.6.1.2.1.1.5
На стороне Ревизора:
- Настройки → Профили обнаружения → создать/изменить профиль.
- Включите SNMP v2c (или v3 для production).
- Укажите Community string, порт 161, таймаут ≥3 сек.
- В разделе «MIB-библиотеки» загрузите HOST-RESOURCES-MIB, UCD-SNMP-MIB, IF-MIB.
- Запустите сканирование подсети.
Способ 2: SSH + пользовательский сборщик (если SNMP запрещён политиками)
Поддерживается только если в вашей сборке есть модуль Custom Script Parser или SSH Inventory. 1. Создайте профиль SSH: укажите логин, путь к приватному ключу или пароль.
2. Напишите скрипт-сборщик (/opt/revizor-audit.sh):
#!/bin/bash
echo "OS=$(grep PRETTY_NAME /etc/os-release | cut -d'"' -f2)"
echo "KERNEL=$(uname -r)"
echo "ARCH=$(uname -m)"
echo "CPU_CORES=$(nproc)"
echo "RAM_MB=$(free -m | awk '/^Mem:/ {print $2}')"
echo "DISK_ROOT=$(df -BG / | awk 'NR==2 {print $2}' | tr -d 'G')"
echo "UPTIME=$(uptime -p)"
echo "IP_ADDRS=$(ip -4 addr show | grep -oP 'inet \K[\d.]+')"
- Сделайте исполняемым:
sudo chmod +x /opt/revizor-audit.sh - В Ревизоре настройте парсинг вывода: маппинг полей OS, RAM_MB и т.д. к внутренним атрибутам.
Примечание:
Не все редакции 3.0 поддерживают custom parsers. Если опция отсутствует → используйте Способ 1 или 3.
Способ 3: Легковесный агент (если предусмотрен вендором)
- Найдите в дистрибутиве или личном кабинете файл вида
revizor-agent-linux-x86_64.tar.gz.
2. Установка:
tar -xzf revizor-agent-linux-*.tar.gz
cd revizor-agent
sudo ./install.sh
sudo systemctl enable revizor-agent
sudo systemctl start revizor-agent
- В консоли Ревизора: Устройства → Добавить вручную → тип Agent-managed, укажите IP/hostname.
- Агент самостоятельно отправляет инвентаризацию по HTTPS/TLS на сервер Ревизора.
Шаг 3. Типичные ошибки и диагностика
| Симптом | Причина | Решение |
|---|---|---|
| Host unreachable | Firewall/SELinux блокирует порт | sudo firewall-cmd --add-port=161/udp --permanent (SNMP) или 22/tcp (SSH). Для SELinux: setsebool -P snmpd_can_network 1 |
| SNMP access denied | Неверный community или ACL | Проверьте snmpd.conf, перезапустите snmpd, убедитесь, что IP сервера Ревизора в rocommunity |
| No hardware/OS data | Отсутствуют MIB или скрипт возвращает пустой вывод | Загрузите MIB в Ревизоре, проверьте вывод snmpwalk локально |
| Timeout | Сеть/маршрутизация или высокий load average на Linux | Увеличьте таймаут в профиле до 5–10 сек, проверьте ping и traceroute |
Включите отладку в Ревизоре:
Настройки → Логирование → уровень Debug → запустите сканирование → изучите audit.log или discovery.log. Там будет точная причина отказа (WMI failed, SNMP timeout, SSH auth rejected и т.д.).
Альтернативы, если интеграция невозможна
Если ваша редакция 3.0 не поддерживает Linux даже через SNMP/агент:
| Решение | Плюсы | Минусы |
|---|---|---|
| OCS Inventory NG + GLPI | Полная поддержка Linux, бесплатный | Требует отдельного сервера |
| Lansweeper / ManageEngine | Частичная поддержка Linux через SNMP/SSH | Платные, сложная лицензия |
| Ansible + NetBox / Snipe-IT | Гибко, автоматизируемо | Требует навыков DevOps |
| Zabbix / Prometheus + экспорт в инвентаризацию | Реалтайм, масштабируемо | Не замена CMDB, требует доработки |
Рекомендации по безопасности
- Не используйте
publicкак community string в production. - Предпочитайте SNMPv3 с authPriv (SHA256 + AES256).
- Для SSH используйте ключи Ed25519, отключите
PasswordAuthentication yes. - Ограничьте доступ к портам 161/22 только для IP-адресов сервера Ревизора.
- Регулярно обновляйте snmpd и агенты (уязвимости CVE-2023/2024 в net-snmp).
Что нужно от вас для точной настройки?
- Точный вендор и билд «Ревизора сети 3.0» (например, 3.0.2.881, Softline Edition).
- Тип лицензии (Base, Pro, Enterprise).
- Версии Linux, которые нужно инвентаризировать (Ubuntu 22.04, RHEL 9, Astra Linux и т.д.).
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.