12. Ограничение проверок агента

Обзор

Вы можете управлять тем, какие ключи элементов данных Zabbix agent или agent 2 разрешено или запрещено использовать при выполнении проверок элементов данных, удаленных команд или скриптов.

Для этого используйте следующие параметры конфигурации агента, чтобы определить правила разрешения/запрета:

  • AllowKey=<pattern>
  • DenyKey=<pattern>
  • AllowKeyRegexp=<pattern>
  • DenyKeyRegexp=<pattern>

<pattern> должен содержать один ключ элемента данных.
Для AllowKey и DenyKey <pattern> поддерживает подстановочные знаки (*). Подстановочный знак соответствует любому количеству любых символов в своей позиции и может использоваться для сопоставления ключей элементов данных или параметров (например, vfs.file.*[*]).
Для AllowKeyRegexp и DenyKeyRegexp <pattern> поддерживает регулярные выражения. Шаблон регулярного выражения можно использовать для сопоставления ключей элементов данных и строк их параметров. См. также примеры корректного экранирования.
Обратите внимание, что Zabbix agent и Zabbix agent 2 могут поддерживать различный синтаксис регулярных выражений.

Для повышения безопасности рекомендуется использовать точные ключи элементов данных вместо подстановочных знаков для AllowKey и DenyKey. Также рекомендуется использовать наиболее специфичные шаблоны регулярных выражений для AllowKeyRegexp и DenyKeyRegexp. Подробности см. в разделе Защита правил разрешения/запрета.

В отличие от других параметров конфигурации агента, вы можете указать неограниченное количество параметров AllowKey, DenyKey, AllowKeyRegexp или DenyKeyRegexp.

Важные примечания

  • Все элементы данных system.run по умолчанию отключены (даже если DenyKey и DenyKeyRegexp пусты), как если бы была задана DenyKey=system.run[*] или DenyKeyRegexp=^system\.run\[.*\]$ в качестве последнего правила. Поэтому вы можете разрешить определенные элементы данных system.run, не запрещая явно другие элементы данных system.run.

  • По возможности используйте AllowKey/AllowKeyRegexp, чтобы разрешить только необходимые элементы данных и запретить все остальное. Некоторые ключи можно использовать для чтения непредусмотренных файлов через обход пути (например, vfs.file.contents["../../../../etc/passwd"]), а новые версии агента Zabbix могут добавлять ключи, не охваченные вашими правилами DenyKey/DenyKeyRegexp.

  • Конфигурация AllowKey, DenyKey, AllowKeyRegexp и DenyKeyRegexp не влияет на параметры агента HostnameItem, HostMetadataItem или HostInterfaceItem.

  • Запрещенные элементы данных становятся неподдерживаемыми без каких-либо подсказок или сообщений об ошибках; например:

    • Команда агента Zabbix --print (-p) в командной строке не будет показывать запрещенные ключи элементов данных.
    • Команда агента Zabbix --test (-t) в командной строке будет возвращать "Unsupported item key." для запрещенных ключей элементов данных.
    • При включенном журналировании (LogRemoteCommands=1) файл журнала агента Zabbix не будет записывать запрещенные удаленные команды.

Порядок правил allow/deny

Вы можете указать неограниченное количество правил AllowKey, DenyKey, AllowKeyRegexp или DenyKeyRegexp, однако их порядок имеет значение.

  • Правила проверяются по одному, сверху вниз.
  • Когда ключ элемента данных соответствует правилу, он либо разрешается, либо запрещается, и проверка правил прекращается.

Например, при проверке vfs.file.contents[/etc/passwd] правила обрабатываются следующим образом:

AllowKey=vfs.file.contents[/tmp/app.log]    # Шаблон ключа элемента данных не совпадает, агент переходит к следующему правилу.
AllowKey=vfs.file.contents[/etc/passwd]     # Шаблон ключа элемента данных совпадает; агент разрешает проверку элемента данных и прекращает проверку правил.
DenyKey=vfs.file.*[*]                       # Агент игнорирует правило, так как проверка уже завершена.

Следующий порядок правил запретит проверку элемента данных:

DenyKey=vfs.file.*[*]                       # Шаблон ключа элемента данных совпадает; агент запрещает проверку элемента данных и прекращает проверку правил.
AllowKey=vfs.file.contents[/etc/passwd]     # Агент игнорирует правило, так как проверка уже завершена.
AllowKey=vfs.file.contents[/tmp/app.log]    # Агент игнорирует правило, так как проверка уже завершена.

Примеры

Следующие примеры показывают распространенные шаблоны конфигурации для AllowKey, DenyKey, AllowKeyRegexp и DenyKeyRegexp.

Разрешение определенных проверок и команд

Разрешите только две проверки элементов данных vfs.file и две команды system.run:

с использованием AllowKey и DenyKey:

AllowKey=vfs.file.contents[/tmp/app.log]
AllowKey=vfs.file.size[/tmp/app.log]
AllowKey=system.run[/usr/bin/uptime]
AllowKey=system.run[/usr/bin/df -h /]
DenyKey=vfs.file.*[*]

с использованием AllowKeyRegexp и DenyKeyRegexp:

AllowKeyRegexp=^vfs\.file\.(contents|size)\[/tmp/app\.log\]$
AllowKeyRegexp=^system\.run\[/usr/bin/(uptime|df -h /)\]$
DenyKeyRegexp=^vfs\.file\..*\[.*\]$

Указывать DenyKey=system.run[*] или DenyKeyRegexp=^system\.run\[.*\]$ не требуется, поскольку все остальные команды system.run по умолчанию запрещены.

Разрешение выполнения скриптов

Разрешите агенту Zabbix выполнять скрипты на узлах сети всеми доступными способами:

  • Глобальные скрипты, которые могут выполняться во веб-интерфейсе или через API (в этом случае всегда используется ключ system.run[myscript.sh])
  • Удаленные команды из операций действия (в этом случае всегда используется ключ system.run[myscript.sh,nowait])
  • Элементы данных system.run агента Zabbix со скриптом, например:
    • system.run[myscript.sh]
    • system.run[myscript.sh,wait]
    • system.run[myscript.sh,nowait]
AllowKey=system.run[myscript.sh,*]

или

AllowKeyRegexp=^system\.run\[myscript\.sh,.*\]$

Чтобы управлять параметром wait/nowait, необходимо задать другое правило. Например, можно разрешить только элементы данных system.run[myscript.sh,wait], тем самым исключив другие способы:

AllowKey=system.run[myscript.sh,wait]

или

AllowKeyRegexp=^system\.run\[myscript\.sh,wait\]$
Защита правил allow/deny

Эти примеры показывают, как защитить слишком разрешающие правила AllowKey/AllowKeyRegexp или DenyKey/DenyKeyRegexp.

Рассмотрим следующие правила:

с использованием AllowKey и DenyKey:

AllowKey=system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat*"]
DenyKey=vfs.file.*
DenyKey=system.cpu.load[*]

с использованием AllowKeyRegexp и DenyKeyRegexp:

AllowKeyRegexp=^system\.run\["C:\\Program\sFiles\\Zabbix\sAgent\s2\\scripts\\test\.bat.*"\]$
DenyKeyRegexp=^vfs\.file\..*$
DenyKeyRegexp=^system\.cpu\.load\[.*\]$

В Windows необходимо экранировать пробелы в пути с помощью символа каретки (^) для AllowKey или DenyKey и \s для AllowKeyRegexp или DenyKeyRegexp.

Эти правила содержат подстановочный знак (*) (или .* для шаблонов на основе регулярных выражений), который может быть использован неправомерно:

  • Скрипт test.bat можно выполнить с любыми аргументами, включая нежелательные.
  • Шаблон vfs.file.* (^vfs\.file\..*$) соответствует ключам элементов данных как с параметрами, так и без них; однако все элементы данных vfs.file требуют параметров.
  • Шаблон system.cpu.load[*] (^system\.cpu\.load\[.*\]$) соответствует только ключам элементов данных с параметрами; однако элементы данных system.cpu.load не требуют параметров.

Чтобы защитить эти правила, явно разрешите выполнение test.bat только с определенными аргументами и запретите корректные шаблоны ключей элементов данных; например:

с использованием AllowKey и DenyKey:

AllowKey=system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat status"]
AllowKey=system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat version"]
DenyKey=vfs.file.*[*]
DenyKey=system.cpu.load
DenyKey=system.cpu.load[*]

с использованием AllowKeyRegexp и DenyKeyRegexp:

AllowKeyRegexp=^system\.run\["C:\\Program\sFiles\\Zabbix\sAgent\s2\\scripts\\test\.bat (status|version)"\]$
DenyKeyRegexp=^vfs\.file\..+\[.*\]$
DenyKeyRegexp=^system\.cpu\.load(\[.*\])?$

Вы можете проверить правила, выполнив следующие команды, которые вернут ZBX_NOTSUPPORTED.

cd "C:\Program Files\Zabbix Agent 2"
zabbix_agent2.exe -t system.run["C:\Program^ Files\Zabbix^ Agent^ 2\scripts\test.bat debug"]
zabbix_agent2.exe -t vfs.file.size["C:\ProgramData\MyApp\config.ini"]
zabbix_agent2.exe -t vfs.file.contents["C:\Windows\System32\drivers\etc\hosts"]
zabbix_agent2.exe -t system.cpu.load
zabbix_agent2.exe -t system.cpu.load[all,avg1]
Примеры шаблонов

Следующие таблицы показывают, как сопоставляются шаблоны ключей элементов данных:

  • Ключ соответствует шаблону только в том случае, если выполняются все условия в столбце Matches.
  • Параметры должны быть полностью заключены в квадратные скобки (например, vfs.file.contents[* и vfs.file.contents*utf8] являются недопустимыми шаблонами).
  • Примеры иллюстрируют только сопоставление шаблонов; фактические элементы данных требуют параметров.

Для AllowKey и DenyKey:

Pattern Matches Examples
* Любой ключ с параметрами или без них
vfs.file.* Ключ начинается с vfs.file.
С параметрами или без них
Matches:
vfs.file.size
vfs.file.contents
vfs.file.contents[]
vfs.file.size[/var/log/app.log]
vfs.*.contents Ключ начинается с vfs.
Ключ заканчивается на .contents
Без параметров
Matches:
vfs..contents
vfs.mount.point.file.contents

Does not match:
vfs.contents
vfs.file.contents[]
vfs.file.*[*] Ключ начинается с vfs.file.
Любые параметры или пустые параметры
Matches
vfs.file.get.custom[]
vfs.file.size[/var/log/app.log, utf8]

Does not match:
vfs.file.get.custom
vfs.file.contents Ключ — vfs.file.contents
Без параметров
Matches:
vfs.file.contents

Does not match:
vfs.file.contents[/etc/passwd]
vfs.file.contents[] Ключ — vfs.file.contents[]
Пустые параметры
Matches:
vfs.file.contents[]

Does not match:
vfs.file.contents
vfs.file.contents[*] Ключ — vfs.file.contents
Любые параметры или пустые параметры
Matches:
vfs.file.contents[/path/to/file]

Does not match:
vfs.file.contents
vfs.file.contents[/etc/passwd,*] Ключ — vfs.file.contents
Первый параметр — /etc/passwd
Любой второй параметр или пустой
Matches:
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf8]

Does not match:
vfs.file.contents[]
vfs.file.contents[/etc/passwd]
vfs.file.contents[*passwd*] Ключ — vfs.file.contents
Любые параметры, как минимум один содержит passwd
Matches:
vfs.file.contents[/etc/passwd]
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf8]
vfs.file.contents[*passwd*,*] Ключ — vfs.file.contents
Первый параметр содержит passwd
Любой второй параметр или пустой
Matches:
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf8]

Does not match:
vfs.file.contents[/etc/passwd]
vfs.file.contents[/tmp/test]
vfs.file.contents[/etc/passwd,utf8] Ключ — vfs.file.contents
Первый параметр — /etc/passwd
Второй параметр — utf8
Matches:
vfs.file.contents[/etc/passwd,utf8]

Does not match:
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf16]

Для AllowKeyRegexp и DenyKeyRegexp:

Pattern Matches Examples
^.*$ Любой ключ с параметрами или без них
^vfs\.file\..*$ Ключ начинается с vfs.file.
С параметрами или без них
Matches:
vfs.file.size
vfs.file.contents
vfs.file.contents[]
vfs.file.size[/var/log/app.log]
^vfs\..*\.contents$ Ключ начинается с vfs.
Ключ заканчивается на .contents
Без параметров
Matches:
vfs..contents
vfs.mount.point.file.contents

Does not match:
vfs.contents
vfs.file.contents[]
^vfs\.file\..*\[.*\]$ Ключ начинается с vfs.file.
Любые параметры или пустые параметры
Matches
vfs.file.get.custom[]
vfs.file.size[/var/log/app.log, utf8]

Does not match:
vfs.file.get.custom
^vfs\.file\.contents$ Ключ — vfs.file.contents
Без параметров
Matches:
vfs.file.contents

Does not match:
vfs.file.contents[/etc/passwd]
^vfs\.file\.contents\[\]$ Ключ — vfs.file.contents[]
Пустые параметры
Matches:
vfs.file.contents[]

Does not match:
vfs.file.contents
^vfs\.file\.contents\[.*\]$ Ключ — vfs.file.contents
Любые параметры или пустые параметры
Matches:
vfs.file.contents[/path/to/file]

Does not match:
vfs.file.contents
^vfs\.file\.contents\[/etc/passwd,.*\]$ Ключ — vfs.file.contents
Первый параметр — /etc/passwd
Любой второй параметр или пустой
Matches:
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf8]

Does not match:
vfs.file.contents[]
vfs.file.contents[/etc/passwd]
^vfs\.file\.contents\[.*passwd.*\]$ Ключ — vfs.file.contents
Любые параметры, как минимум один содержит passwd
Matches:
vfs.file.contents[/etc/passwd]
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf8]
^vfs\.file\.contents\[.*passwd.*,.*\]$ Ключ — vfs.file.contents
Первый параметр содержит passwd
Любой второй параметр или пустой
Matches:
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf8]

Does not match:
vfs.file.contents[/etc/passwd]
vfs.file.contents[/tmp/test]
^vfs\.file\.contents\[/etc/passwd,(utf8|windows-1252)\]$ Ключ — vfs.file.contents
Первый параметр — /etc/passwd
Второй параметр — utf8 или windows-1252
Matches:
vfs.file.contents[/etc/passwd,utf8]
vfs.file.contents[/etc/passwd,windows-1252]

Does not match:
vfs.file.contents[/etc/passwd,]
vfs.file.contents[/etc/passwd,utf16]