12. Ограничение проверок агента
Обзор
Вы можете управлять тем, какие ключи элементов данных Zabbix agent или agent 2 разрешено или запрещено использовать при выполнении проверок элементов данных, удаленных команд или скриптов.
Для этого используйте следующие параметры конфигурации агента, чтобы определить правила разрешения/запрета:
AllowKey=<pattern>DenyKey=<pattern>AllowKeyRegexp=<pattern>DenyKeyRegexp=<pattern>
<pattern> должен содержать один ключ элемента данных.
Для AllowKey и DenyKey <pattern> поддерживает подстановочные знаки (*).
Подстановочный знак соответствует любому количеству любых символов в своей позиции и может использоваться для сопоставления ключей элементов данных или параметров (например, vfs.file.*[*]).
Для AllowKeyRegexp и DenyKeyRegexp <pattern> поддерживает регулярные выражения.
Шаблон регулярного выражения можно использовать для сопоставления ключей элементов данных и строк их параметров.
См. также примеры корректного экранирования.
Обратите внимание, что Zabbix agent и Zabbix agent 2 могут поддерживать различный синтаксис регулярных выражений.
Для повышения безопасности рекомендуется использовать точные ключи элементов данных вместо подстановочных знаков для AllowKey и DenyKey.
Также рекомендуется использовать наиболее специфичные шаблоны регулярных выражений для AllowKeyRegexp и DenyKeyRegexp.
Подробности см. в разделе Защита правил разрешения/запрета.
В отличие от других параметров конфигурации агента, вы можете указать неограниченное количество параметров AllowKey, DenyKey, AllowKeyRegexp или DenyKeyRegexp.
Важные примечания
-
Все элементы данных
system.runпо умолчанию отключены (даже еслиDenyKeyиDenyKeyRegexpпусты), как если бы была заданаDenyKey=system.run[*]илиDenyKeyRegexp=^system\.run\[.*\]$в качестве последнего правила. Поэтому вы можете разрешить определенные элементы данныхsystem.run, не запрещая явно другие элементы данныхsystem.run. -
По возможности используйте
AllowKey/AllowKeyRegexp, чтобы разрешить только необходимые элементы данных и запретить все остальное. Некоторые ключи можно использовать для чтения непредусмотренных файлов через обход пути (например,vfs.file.contents["../../../../etc/passwd"]), а новые версии агента Zabbix могут добавлять ключи, не охваченные вашими правиламиDenyKey/DenyKeyRegexp. -
Конфигурация
AllowKey,DenyKey,AllowKeyRegexpиDenyKeyRegexpне влияет на параметры агентаHostnameItem,HostMetadataItemилиHostInterfaceItem. -
Запрещенные элементы данных становятся неподдерживаемыми без каких-либо подсказок или сообщений об ошибках; например:
- Команда агента Zabbix
--print (-p)в командной строке не будет показывать запрещенные ключи элементов данных. - Команда агента Zabbix
--test (-t)в командной строке будет возвращать "Unsupported item key." для запрещенных ключей элементов данных. - При включенном журналировании (
LogRemoteCommands=1) файл журнала агента Zabbix не будет записывать запрещенные удаленные команды.
- Команда агента Zabbix
Порядок правил allow/deny
Вы можете указать неограниченное количество правил AllowKey, DenyKey, AllowKeyRegexp или DenyKeyRegexp, однако их порядок имеет значение.
- Правила проверяются по одному, сверху вниз.
- Когда ключ элемента данных соответствует правилу, он либо разрешается, либо запрещается, и проверка правил прекращается.
Например, при проверке vfs.file.contents[/etc/passwd] правила обрабатываются следующим образом:
AllowKey=vfs.file.contents[/tmp/app.log] # Шаблон ключа элемента данных не совпадает, агент переходит к следующему правилу.
AllowKey=vfs.file.contents[/etc/passwd] # Шаблон ключа элемента данных совпадает; агент разрешает проверку элемента данных и прекращает проверку правил.
DenyKey=vfs.file.*[*] # Агент игнорирует правило, так как проверка уже завершена.
Следующий порядок правил запретит проверку элемента данных:
DenyKey=vfs.file.*[*] # Шаблон ключа элемента данных совпадает; агент запрещает проверку элемента данных и прекращает проверку правил.
AllowKey=vfs.file.contents[/etc/passwd] # Агент игнорирует правило, так как проверка уже завершена.
AllowKey=vfs.file.contents[/tmp/app.log] # Агент игнорирует правило, так как проверка уже завершена.
Примеры
Следующие примеры показывают распространенные шаблоны конфигурации для AllowKey, DenyKey, AllowKeyRegexp и DenyKeyRegexp.
Разрешение определенных проверок и команд
Разрешите только две проверки элементов данных vfs.file и две команды system.run:
с использованием AllowKey и DenyKey:
AllowKey=vfs.file.contents[/tmp/app.log]
AllowKey=vfs.file.size[/tmp/app.log]
AllowKey=system.run[/usr/bin/uptime]
AllowKey=system.run[/usr/bin/df -h /]
DenyKey=vfs.file.*[*]
с использованием AllowKeyRegexp и DenyKeyRegexp:
AllowKeyRegexp=^vfs\.file\.(contents|size)\[/tmp/app\.log\]$
AllowKeyRegexp=^system\.run\[/usr/bin/(uptime|df -h /)\]$
DenyKeyRegexp=^vfs\.file\..*\[.*\]$
Указывать DenyKey=system.run[*] или DenyKeyRegexp=^system\.run\[.*\]$ не требуется, поскольку все остальные команды system.run по умолчанию запрещены.
Разрешение выполнения скриптов
Разрешите агенту Zabbix выполнять скрипты на узлах сети всеми доступными способами:
- Глобальные скрипты, которые могут выполняться во веб-интерфейсе или через API (в этом случае всегда используется ключ
system.run[myscript.sh]) - Удаленные команды из операций действия (в этом случае всегда используется ключ
system.run[myscript.sh,nowait]) - Элементы данных
system.runагента Zabbix со скриптом, например:system.run[myscript.sh]system.run[myscript.sh,wait]system.run[myscript.sh,nowait]
AllowKey=system.run[myscript.sh,*]
или
AllowKeyRegexp=^system\.run\[myscript\.sh,.*\]$
Чтобы управлять параметром wait/nowait, необходимо задать другое правило.
Например, можно разрешить только элементы данных system.run[myscript.sh,wait], тем самым исключив другие способы:
AllowKey=system.run[myscript.sh,wait]
или
AllowKeyRegexp=^system\.run\[myscript\.sh,wait\]$
Защита правил allow/deny
Эти примеры показывают, как защитить слишком разрешающие правила AllowKey/AllowKeyRegexp или DenyKey/DenyKeyRegexp.
Рассмотрим следующие правила:
с использованием AllowKey и DenyKey:
AllowKey=system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat*"]
DenyKey=vfs.file.*
DenyKey=system.cpu.load[*]
с использованием AllowKeyRegexp и DenyKeyRegexp:
AllowKeyRegexp=^system\.run\["C:\\Program\sFiles\\Zabbix\sAgent\s2\\scripts\\test\.bat.*"\]$
DenyKeyRegexp=^vfs\.file\..*$
DenyKeyRegexp=^system\.cpu\.load\[.*\]$
В Windows необходимо экранировать пробелы в пути с помощью символа каретки (^) для AllowKey или DenyKey и \s для AllowKeyRegexp или DenyKeyRegexp.
Эти правила содержат подстановочный знак (*) (или .* для шаблонов на основе регулярных выражений), который может быть использован неправомерно:
- Скрипт
test.batможно выполнить с любыми аргументами, включая нежелательные. - Шаблон
vfs.file.*(^vfs\.file\..*$) соответствует ключам элементов данных как с параметрами, так и без них; однако все элементы данныхvfs.fileтребуют параметров. - Шаблон
system.cpu.load[*](^system\.cpu\.load\[.*\]$) соответствует только ключам элементов данных с параметрами; однако элементы данныхsystem.cpu.loadне требуют параметров.
Чтобы защитить эти правила, явно разрешите выполнение test.bat только с определенными аргументами и запретите корректные шаблоны ключей элементов данных; например:
с использованием AllowKey и DenyKey:
AllowKey=system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat status"]
AllowKey=system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat version"]
DenyKey=vfs.file.*[*]
DenyKey=system.cpu.load
DenyKey=system.cpu.load[*]
с использованием AllowKeyRegexp и DenyKeyRegexp:
AllowKeyRegexp=^system\.run\["C:\\Program\sFiles\\Zabbix\sAgent\s2\\scripts\\test\.bat (status|version)"\]$
DenyKeyRegexp=^vfs\.file\..+\[.*\]$
DenyKeyRegexp=^system\.cpu\.load(\[.*\])?$
Вы можете проверить правила, выполнив следующие команды, которые вернут ZBX_NOTSUPPORTED.
cd "C:\Program Files\Zabbix Agent 2"
zabbix_agent2.exe -t system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat debug"]
zabbix_agent2.exe -t vfs.file.size["C:\ProgramData\MyApp\config.ini"]
zabbix_agent2.exe -t vfs.file.contents["C:\Windows\System32\drivers\etc\hosts"]
zabbix_agent2.exe -t system.cpu.load
zabbix_agent2.exe -t system.cpu.load[all,avg1]
Примеры шаблонов
Следующие таблицы показывают, как сопоставляются шаблоны ключей элементов данных:
- Ключ соответствует шаблону только в том случае, если выполняются все условия в столбце Matches.
- Параметры должны быть полностью заключены в квадратные скобки (например,
vfs.file.contents[*иvfs.file.contents*utf8]являются недопустимыми шаблонами). - Примеры иллюстрируют только сопоставление шаблонов; фактические элементы данных требуют параметров.
Для AllowKey и DenyKey:
| Pattern | Matches | Examples |
|---|---|---|
* |
Любой ключ с параметрами или без них | |
vfs.file.* |
Ключ начинается с vfs.file.С параметрами или без них |
Matches:vfs.file.sizevfs.file.contentsvfs.file.contents[]vfs.file.size[/var/log/app.log] |
vfs.*.contents |
Ключ начинается с vfs.Ключ заканчивается на .contentsБез параметров |
Matches: vfs..contentsvfs.mount.point.file.contentsDoes not match: vfs.contentsvfs.file.contents[] |
vfs.file.*[*] |
Ключ начинается с vfs.file.Любые параметры или пустые параметры |
Matchesvfs.file.get.custom[]vfs.file.size[/var/log/app.log, utf8]Does not match: vfs.file.get.custom |
vfs.file.contents |
Ключ — vfs.file.contentsБез параметров |
Matches:vfs.file.contentsDoes not match: vfs.file.contents[/etc/passwd] |
vfs.file.contents[] |
Ключ — vfs.file.contents[]Пустые параметры |
Matches:vfs.file.contents[]Does not match: vfs.file.contents |
vfs.file.contents[*] |
Ключ — vfs.file.contentsЛюбые параметры или пустые параметры |
Matches:vfs.file.contents[/path/to/file]Does not match: vfs.file.contents |
vfs.file.contents[/etc/passwd,*] |
Ключ — vfs.file.contentsПервый параметр — /etc/passwdЛюбой второй параметр или пустой |
Matches:vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf8]Does not match: vfs.file.contents[]vfs.file.contents[/etc/passwd] |
vfs.file.contents[*passwd*] |
Ключ — vfs.file.contentsЛюбые параметры, как минимум один содержит passwd |
Matches:vfs.file.contents[/etc/passwd]vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf8] |
vfs.file.contents[*passwd*,*] |
Ключ — vfs.file.contentsПервый параметр содержит passwdЛюбой второй параметр или пустой |
Matches:vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf8]Does not match: vfs.file.contents[/etc/passwd]vfs.file.contents[/tmp/test] |
vfs.file.contents[/etc/passwd,utf8] |
Ключ — vfs.file.contentsПервый параметр — /etc/passwdВторой параметр — utf8 |
Matches:vfs.file.contents[/etc/passwd,utf8]Does not match: vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf16] |
Для AllowKeyRegexp и DenyKeyRegexp:
| Pattern | Matches | Examples |
|---|---|---|
^.*$ |
Любой ключ с параметрами или без них | |
^vfs\.file\..*$ |
Ключ начинается с vfs.file.С параметрами или без них |
Matches:vfs.file.sizevfs.file.contentsvfs.file.contents[]vfs.file.size[/var/log/app.log] |
^vfs\..*\.contents$ |
Ключ начинается с vfs.Ключ заканчивается на .contentsБез параметров |
Matches: vfs..contentsvfs.mount.point.file.contentsDoes not match: vfs.contentsvfs.file.contents[] |
^vfs\.file\..*\[.*\]$ |
Ключ начинается с vfs.file.Любые параметры или пустые параметры |
Matchesvfs.file.get.custom[]vfs.file.size[/var/log/app.log, utf8]Does not match: vfs.file.get.custom |
^vfs\.file\.contents$ |
Ключ — vfs.file.contentsБез параметров |
Matches:vfs.file.contentsDoes not match: vfs.file.contents[/etc/passwd] |
^vfs\.file\.contents\[\]$ |
Ключ — vfs.file.contents[]Пустые параметры |
Matches:vfs.file.contents[]Does not match: vfs.file.contents |
^vfs\.file\.contents\[.*\]$ |
Ключ — vfs.file.contentsЛюбые параметры или пустые параметры |
Matches:vfs.file.contents[/path/to/file]Does not match: vfs.file.contents |
^vfs\.file\.contents\[/etc/passwd,.*\]$ |
Ключ — vfs.file.contentsПервый параметр — /etc/passwdЛюбой второй параметр или пустой |
Matches:vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf8]Does not match: vfs.file.contents[]vfs.file.contents[/etc/passwd] |
^vfs\.file\.contents\[.*passwd.*\]$ |
Ключ — vfs.file.contentsЛюбые параметры, как минимум один содержит passwd |
Matches:vfs.file.contents[/etc/passwd]vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf8] |
^vfs\.file\.contents\[.*passwd.*,.*\]$ |
Ключ — vfs.file.contentsПервый параметр содержит passwdЛюбой второй параметр или пустой |
Matches:vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf8]Does not match: vfs.file.contents[/etc/passwd]vfs.file.contents[/tmp/test] |
^vfs\.file\.contents\[/etc/passwd,(utf8|windows-1252)\]$ |
Ключ — vfs.file.contentsПервый параметр — /etc/passwdВторой параметр — utf8 или windows-1252 |
Matches:vfs.file.contents[/etc/passwd,utf8]vfs.file.contents[/etc/passwd,windows-1252]Does not match: vfs.file.contents[/etc/passwd,]vfs.file.contents[/etc/passwd,utf16] |