Egg Chang 的部落格

這幾年木馬有夠多的, 一度多到讓我很神經質, 總是在幻想自己的電腦是不是不知不覺中也已經中了木馬, 正在向某地 (我沒說哪個地方喔!!) 傳送我電腦裡面的機密資料 .... 奉勸大家還是盡可能購買正版軟體, 或者愛用 open source 的軟體囉!!

話說回來, 雖然 HTTPS/SSL 無法防範木馬竊取帳號密碼或其他資料, 但是至少可以保障資料在網路傳輸的路上, 即使被封包擷取也很難解碼出裡面的資料, 尤其 OpenNMS 裡面監控的是自己的重要伺服器, 裡面的資料可重要了!! 萬一封包被擷取讓駭客可以登入 OpenNMS 查詢伺服器的資料 (例如 IP 位址, 有無 Oracle/SQL Server, Mail Server, ... 等服務), 等於是把軍力佈署圖告訴了駭客, 以後就只能靠上天保佑了.

註: 您說伺服器有防火牆保護, 擋住外面近來的連線? 拍謝!! 駭客現在比較喜歡用殭屍或跳板, 先跳到公司內部不知不覺中毒的 User 電腦/筆電, 再慢慢的享用. 沒有人可以保證公司內部的電腦是清白的, 還是小心為上吧.

OpenNMS 本來是使用 Tomcat 作為 WebUI 的執行環境, 自 OpenNMS 1.3.7 版以後改為較為輕量的 Jetty. 當然我們還是可以用 Tomcat, 只是另外需要一些設定, 這裡暫時不提. 預設安裝的狀況下, OpenNMS 設定 Jetty 使用 8980/TCP 作為 WebUI 服務的窗口, 在最簡單的情況下, 我們只需要修改 Jetty 的設定, 即可打開 HTTPS 服務:

############
# 編輯 opennms.properties
############ 

vi /opt/opennms/etc/opennms.properties

# 把以下這行
# #org.opennms.netmgt.jetty.https-port = 8443
# 前面的 "#" 拿掉, 變成
# org.opennms.netmgt.jetty.https-port = 8443
# 存檔

# 重新啟動 OpenNMS, 使設定生效
service opennms restart

############
# 確認防火牆是否有打開 8443/TCP
############ 

cat /etc/sysconfig/iptables | grep 8443

# 若上述指令執行後沒有顯示任何結果, 則執行以下的指令
iptables -I RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
service iptables save

完成設定, 接下來請以瀏覽器瀏覽您的 OpenNMS 網站: https://<您的 opennms>:8443/opennms

ps: 瀏覽時會有憑證錯誤的訊息, 請接受並忽略即可

ok, 完成!!

後記:

就官方文件的說法, OpenNMS, Jetty, Tomcat, Apache 可以如下搭配, 還蠻有彈性的, 只是設定上要傷一點腦筋就是了 ^^
1. OpenNMS + Jetty (HTTP/HTTPS)
2. OpenNMS + Jetty + Apache (HTTP/HTTPS)
3. OpenNMS + Tomcat (HTTP/HTTPS)
4. OpenNMS + Tomcat + Apache (HTTP/HTTPS) 

參考文件:

OpenNMS 官網對於 Jetty 的說明
Standalone HTTPS with Jetty
  Install OpenNMS 1.8.5 on CentOS 5.5