9 SSH 检查

概述

SSH 检查以无 agent 监控方式执行。进行 SSH 检查不需要 Zabbix agent。

要执行 SSH 检查,必须先将 Zabbix 服务器配置为支持 SSH2(libssh 或 libssh2)。另请参见: 要求

从 RHEL 8 开始,仅支持 libssh。对于其他发行版,建议使用 libssh 而不是 libssh2。

配置

密码验证

SSH 检查提供两种验证方法 - 用户/密码对和基于密钥文件。

如果您不打算使用密钥,则无需进行其他配置,除了将 libssh 或 libssh2 链接到 Zabbix(如果您从源代码构建)之外。

密钥文件认证

要为 SSH 监控项使用基于密钥的认证,需要对服务器配置进行一些更改。

root 身份打开 Zabbix 服务器配置文件 (zabbix_server.conf), 并查找以下行:

# SSHKeyLocation=

取消注释,并将其设置为存放公钥和私钥文件夹的完整路径:

SSHKeyLocation=/home/zabbix/.ssh

保存文件,然后重启 Zabbix 服务器。

这里的路径 /home/zabbixzabbix 用户账户的主目录, 而 .ssh 是一个目录,默认情况下会在该主目录中通过 ssh-keygen 命令生成公钥和私钥。

通常,不同操作系统发行版提供的 Zabbix 服务器安装包会在其他位置为 zabbix 用户账户创建主目录,例如 /var/lib/zabbix(作为系统账户时)。

在生成密钥之前,您可以将主目录重新分配到 /home/zabbix, 使其与上文提到的 Zabbix 服务器 SSHKeyLocation 配置参数保持一致。

如果 zabbix 账户是根据安装章节 手动添加的,则可以跳过以下步骤。 在这种情况下,zabbix 账户的主目录很可能已经是 /home/zabbix

要更改 zabbix 用户账户的主目录,必须先停止所有正在使用该账户的工作进程:

systemctl stop zabbix-agent
systemctl stop zabbix-server

要更改主目录位置并尝试移动原主目录(如果存在),应执行以下命令:

usermod -m -d /home/zabbix zabbix

也有可能旧位置中并不存在主目录,因此应在新位置创建它。安全的做法如下:

test -d /home/zabbix || mkdir /home/zabbix

为确保一切安全,还可以执行附加命令来设置主目录权限:

chown zabbix:zabbix /home/zabbix
chmod 700 /home/zabbix

现在可以重新启动之前停止的进程:

systemctl start zabbix-agent
systemctl start zabbix-server

现在,可以使用以下命令执行生成公钥和私钥的步骤 (为便于阅读,命令提示符已注释掉):

sudo -u zabbix ssh-keygen -t rsa
# Generating public/private rsa key pair.
# Enter file in which to save the key (/home/zabbix/.ssh/id_rsa):
/home/zabbix/.ssh/id_rsa
# Enter passphrase (empty for no passphrase):
<Leave empty>
# Enter same passphrase again: 
<Leave empty>
# Your identification has been saved in /home/zabbix/.ssh/id_rsa.
# Your public key has been saved in /home/zabbix/.ssh/id_rsa.pub.
# The key fingerprint is:
# 90:af:e4:c7:e3:f0:2e:5a:8d:ab:48:a2:0c:92:30:b9 zabbix@it0
# The key's randomart image is:
# +--[ RSA 2048]----+
# |                 |
# |       .         |
# |      o          |
# | .     o         |
# |+     . S        |
# |.+   o =         |
# |E .   * =        |
# |=o . ..* .       |
# |... oo.o+        |
# +-----------------+

默认情况下,公钥和私钥(id_rsa.pubid_rsa) 会生成在 /home/zabbix/.ssh 目录中, 这与 Zabbix 服务器 SSHKeyLocation 配置参数相对应。

除 "rsa" 之外的其他密钥类型可能受 ssh-keygen 工具和 SSH 服务器支持,但可能不受 Zabbix 使用的 libssh2 支持。

Shell 配置表

对于每个将由 SSH 检查监控的主机,此步骤仅应执行一次。

通过使用以下命令,可以在远程主机 10.10.10.10 上安装 公钥 文件,以便可以使用 root 帐户执行 SSH 检查(为了更好的可读性,命令提示符被注释掉):

sudo -u zabbix ssh-copy-id [email protected]
# 无法确定主机 '10.10.10.10 (10.10.10.10)' 的真实性。
# RSA 密钥指纹为 38:ba:f2:a4:b5:d9:8f:52:00:09:f7:1f:75:cc:0b:46。
# 您确定要继续连接吗(是/否)?# 警告:已将“10.10.10.10”(RSA)永久添加到已知主机列表中。
# [email protected] 的密码:
<输入 root 密码>
# 现在尝试使用“ssh '[email protected]'”登录机器,
# 并检查以确保只添加了您想要的密钥。

现在可以使用默认私钥(/home/zabbix/.ssh/id_rsa)检查 zabbix 用户帐户的 SSH 登录:

sudo -u zabbix ssh [email protected]

如果登录成功,则 shell 中的配置部分已完成,可以关闭远程 SSH 会话。

监控项配置

实际要执行的命令必须放在监控项配置中的 Executed script 字段中。 可通过将多条命令分别放在新的一行上来依次执行。在这种情况下,返回值也将被格式化为多行。

所有必填输入字段都以红色星号标记。

SSH 监控项需要填写特定信息的字段如下:

Parameter Description Comments
Type 在此选择 SSH agent
Key 每个主机唯一的监控项键,格式为 ssh.run[唯一简短描述,<ip>,<port>,<encoding>,<ssh options>,<subsystem>] 唯一简短描述 为必填项,并且对于每个主机上的每个 SSH 监控项都应唯一。

默认端口为 22,而不是分配给此监控项的接口中指定的端口。

ssh options 允许以 key1=value1;key2=value2,value3 格式传递附加 SSH 选项。单个键的多个值可用逗号分隔传递(在这种情况下,参数必须加引号);多个选项键可用分号分隔。

支持以下选项键:KexAlgorithmsHostkeyAlgorithmsCiphersMACsPubkeyAcceptedKeyTypes。选项键和值的支持取决于 SSH 库(例如,PubkeyAcceptedKeyTypes 仅在 libssh 中受支持);如果某个选项不受支持,将返回错误,并且该监控项将变为不支持。

请注意,不支持使用 "+" 号追加加密算法设置,也不支持使用 "!" 禁用特定加密算法设置(如 GnuTLS 和 OpenSSL 中那样)。

示例:
=> ssh.run[KexAlgorithms,127.0.0.1,,,Ciphers=aes128-ctr]
=> ssh.run[KexAlgorithms,,,,"KexAlgorithms=diffie-hellman-group1-sha1;HostkeyAlgorithms=ssh-rsa,ssh-dss,ecdh-sha2-nistp256"]
=> ssh.run[PubkeyAcceptedKeyTypes,127.0.0.1,,,PubkeyAcceptedKeyTypes=ssh-rsa]

subsystem 允许传递 SSH 子系统,将 SSH 连接限制为该子系统允许的特定操作(例如,使用 SFTP 进行文件传输,或使用 NETCONF 进行网络设备管理)。请注意,使用子系统时,也可能需要在 Executed script 参数中使用特定的脚本语法。

示例:
=> ssh.run[SFTPBackup,192.0.2.18,,,,sftp]
=> ssh.run[Cisco1234,192.0.2.18,,,,netconf]
Authentication method “Password” 或 “Public key” 之一。
User name 用于在远程主机上进行身份验证的用户名(最多 255 个字符)。必填。
Public key file 如果 Authentication method 为 “Public key”,则为公钥文件名。必填。 示例:id_rsa.pub - 由命令 ssh-keygen 生成的默认公钥文件名。
Private key file 如果 Authentication method 为 “Public key”,则为私钥文件名。必填。 示例:id_rsa - 默认私钥文件名。
Password or
Key passphrase		 用于身份验证的密码(最多 255 个字符),或
私钥使用了口令时的口令短语。		 如果未使用口令短语,请将 Key passphrase 字段留空。
另请参阅有关口令短语使用的已知问题
Executed script 使用 SSH 远程会话执行的 shell 命令。 已执行 shell 命令的返回值限制为 16MB(包括会被截断的尾随空白字符);数据库限制 同样适用。

请注意,libssh2 库可能会将可执行脚本截断为 \~32kB。

示例:
date +%s
systemctl status mysql-server
ps auxww \| grep httpd \| wc -l

示例(用于 NETCONF 子系统):
<rpc>
<get-software-information/>
</rpc>
]]>]]>
<rpc>
<close-session/>
</rpc>
]]>]]>