Ad Widget

Collapse

ejecutar scripts en maquinas monitoreadas

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • jamacuco
    Junior Member
    • Nov 2022
    • 11
    #1

    ejecutar scripts en maquinas monitoreadas

    Hola muy buenas me llamo José Manuel

    Tengo un zabbix server 6.0 montado en debian 11 bulleye y una maquina a monitorear con kubuntu

    Y quiero poder ejecutar comandos en remoto via frontend de zabbix, Administraci --> scripts

    He leido que hau que configurar el atchivo del agente de zabbix /etc/zabbix/zabbix_agent2.conf

    En la documentación dice que hay que añadir esta linea:
    • agregar el parámetro en la configuración del agente; AllowKey=system.run
    • en otra web pone que hay que añadir esto: EnableRemoteCommands=1
    Y cambiar permisos del agente zabbix así:

    zabbix ALL=NOPASSWD: ALL

    en /etc/sudoers

    El hacerlo por SSH funciona pero ello implica tener un usuario en cada host o tener el mismo en todos los host para que el comando sea global y no me gusta nada eso.

    ¿Alguna idea?

    Saludos.​
    Tags: None
    • guille.rodriguez
      Senior Member
      • Jun 2022
      • 114
      #2
      Cuando instalas Zabbix Agent, te crea el usuario Zabbix, con lo cual ya tienes el usuario en todos los hosts.

      Porque no te gusta? No le veo ningún problema. Si no te gusta el ALL, simplemente dale acceso a los diferentes comandos que quieras que el usuario pueda ejecutar con sudo sin password y ya.

        Comment

        • jamacuco
          Junior Member
          • Nov 2022
          • 11
          #3
          Hola Guille Rodríguez

          Gracias por contestar. Es cierto está el usuario zabbix en todos los equipos y ssh funciona, no me gusta porque ya saben los malotes que usuario tienen que torpedear para torpedear todos los host monitoreados. Dar acceso a diferentes comandos solamente pues eso ya me encaja mejor, ¿la sintaxis que sería así?

          En el fichero /etc/sudoers poner lo siguiente:

          zabbix ALL=NOPASSWD: sudo hostname -I, sudo ps -e, sudo df -h

          ¿estaría bien así?

          ¿Porqué no me funciona lo de los scripts? ¿tienes alguna idea?

          Un saludo y gracias.

            Comment

            • guille.rodriguez
              Senior Member
              • Jun 2022
              • 114
              #4
              Tendría que probarlo porque no tengo actualmente ninguna máquina linux que necesite hacer uso de comandos remotos lanzados desde la GUI. Pero haciendo una busqueda rapida parece que lo que pones tiene buena pinta

              https://askubuntu.com/questions/2464...ds-via-sudoers

              Respecto al usuario y los malotes, si no recuerdo mal, el usuario Zabbix creado en las máquinas, no tiene password (salvo que se la hayas puesto) por lo que ya pueden intentar fuerza bruta contra ese usuario que no van a conseguir entrar.

              Si no te funciona un script, siempre puedes probar a lanzarlo desde root pero escalando hacia el usuario que lo va a ejecutar, en este caso zabbix y mirar el output


              Code:
              sudo -u zabbix sudo ps -e


                Comment

                • jamacuco
                  Junior Member
                  • Nov 2022
                  • 11
                  #5
                  Hola de nuevo

                  Correcto no tiene password, y yo no se lo he puesto, detalle importante. Ya me gusta mas eso del SSH con el usuario zabbix en todas las máquinas.

                  Muchas gracias. Saludos.

                    Comment

                    • jamacuco
                      Junior Member
                      • Nov 2022
                      • 11
                      #6
                      Hola guille rodríguez

                      Estoy intentando configurar zabbix para que mande notificaciones por correo electrónico a otra dirección de correo cuando pase algo, alarmas o algo pero lo estoy intentado hacer con Gmail pero no funciona, he leído por ahí que antes si dejaba y ahora Gmail ha cortado esa posibilidad de configurar que las aplicaciones manden correos masivos a través de sus servidores. ¿podrías ayudarme a realizarlo?

                      Saludos.

                        Comment

                        • guille.rodriguez
                          Senior Member
                          • Jun 2022
                          • 114
                          #7
                          si que puedes, tienes que activar el doble factor en la cuenta de gmail y luego podras crear passwords para aplicaciones.

                          una vez tengas la password, configuras igual que antes se configuraba solo que en vez de la password con la que haces login en gmail, con la que te acabas de crear.

                          Luego en zabbix en el usuario, tienes que poner en MEDIA la cuenta de correo del usuario a donde le enviara la notificación

                            Comment

                            • jamacuco
                              Junior Member
                              • Nov 2022
                              • 11
                              #8
                              Gracias guille, he usado Outlook y me ha funcionado. Lo de Gmail lo han deshabilitado pero probaré con lo que me dices de doble autenticación, porque siempre está bien tener más de una opción.
                              Lo de encriptar he usado el método PSK, me fastidia no haber usado el de certificados pero he leído que zabbix no admite certificados autofirmados pero eso en la documentación no lo pone, ¿sabes algo del tema?

                              Un saludo. gracias por contestar.

                                Comment

                                • guille.rodriguez
                                  #8.1
                                  guille.rodriguez commented
                                  21-03-2023, 16:23
                                  Editing a comment
                                  Yo intente pelearme con los certificados pero vi que era un poco mas engorro y desistí.

                                  Al final yo tengo N proxies (digamos que 1 proxy por edificio) que monitoriza los dispositivos que estan en LAN, por lo que con solo cifrar la comunicación del proxy al server ya me sirve... lo de certificados lo veo mas para un entorno cloud o para dispositivos portátiles que van a estar en diferentes wifis... y no te quieres matar configurando un PSK para cada uno de ellos... así que no te puedo ayudar en este apartado porque como digo... desistí al ver que era más engorro que solución a la infraestructura que gestiono.

                                  Respecto a lo de Gmail te dejo el link de Google donde te explica https://support.google.com/accounts/answer/185833?hl=en
                                  Last edited by guille.rodriguez; 21-03-2023, 16:24. Reason: add link gmail 2fa + app password
                                Previous template Next
                                Working...