Hallo zusammen,
ich bin neu hier im Forum, daher bitte ich ggf. um Nachsicht.
Wir nutzen Zabbix 7.0.3 (Server, Proxy und Agents). Ich möchte per Remote-Scripts Windows-Dienste starten, was so weit auch wunderbar funktioniert.
Ich habe in der Agent-Config den Key
, sowie
gesetzt und ein entsprechendes Ereignis-Script
, sowie ein Host-Script
hinterlegt.
Funktioniert auch wunderbar... Allerdings kann beim MANUALINPUT der Befehl einfach beliebig erweitert werden, wenn ich es um ein & erweitere. z.B.:
legt mir ganz bereitwillig den Benutzer an, was natürlich viel Potenzial für Unfug hat. Andere Befehle wären daher ja auch kein Problem.
UnsafeUserParameters sind nicht gesetzt. Auch manuell auf 0 setzen hat keinen Erfolg gebracht.
Gibt es irgendeine Möglichkeit das noch weiter einzuschränken oder hat jemand sonst noch einen Tipp diesbezüglich für mich?
Es geht mir tatsächlich darum, falls jemand das Zabbix-Interface mal kapert (oder ein Zabbix-Admin, der sonst keine Berechtigungen in der Windows Welt hat), könnte er sich sonst relativ leicht auf die Systeme ausbreiten oder anderen Unfug anstellen. Daher sind auch nur über die Trigger (die theoretisch ja auch leicht angepasst werden können) zu arbeiten, oder den möglichen MANUALINPUT per RegEx zu limitieren, leider ungenügend in meinem Szenario.
Vielen Dank vorab!
Viele Grüße
tlienert
ich bin neu hier im Forum, daher bitte ich ggf. um Nachsicht.
Wir nutzen Zabbix 7.0.3 (Server, Proxy und Agents). Ich möchte per Remote-Scripts Windows-Dienste starten, was so weit auch wunderbar funktioniert.
Ich habe in der Agent-Config den Key
AllowKey=system.run[net start*,*]
DenyKey=system.run[*]
net start {TRIGGER.DESCRIPTION}
net start {MANUALINPUT}
Funktioniert auch wunderbar... Allerdings kann beim MANUALINPUT der Befehl einfach beliebig erweitert werden, wenn ich es um ein & erweitere. z.B.:
SysMain & net user asdf Tester123456!! /add
UnsafeUserParameters sind nicht gesetzt. Auch manuell auf 0 setzen hat keinen Erfolg gebracht.
Gibt es irgendeine Möglichkeit das noch weiter einzuschränken oder hat jemand sonst noch einen Tipp diesbezüglich für mich?
Es geht mir tatsächlich darum, falls jemand das Zabbix-Interface mal kapert (oder ein Zabbix-Admin, der sonst keine Berechtigungen in der Windows Welt hat), könnte er sich sonst relativ leicht auf die Systeme ausbreiten oder anderen Unfug anstellen. Daher sind auch nur über die Trigger (die theoretisch ja auch leicht angepasst werden können) zu arbeiten, oder den möglichen MANUALINPUT per RegEx zu limitieren, leider ungenügend in meinem Szenario.
Vielen Dank vorab!
Viele Grüße
tlienert