Ad Widget

Collapse

Проверка на слабые пароли ssh

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • V.N.
    Member
    • Oct 2015
    • 37
    #1

    Проверка на слабые пароли ssh

    Доброго времени суток!
    Есть задача мониторинга хостов на слабые пароли SSH. Инженеры ставят при настройке, потом забывают и многие хосты так и живут.
    Я сделал элемент с SSH агентом и одним из подобных паролей, прописал в скрипт echo 1, к нему триггер, вроде бы норм.
    Но вот как быть, если таких паролей много и хостов тоже.
    Шаблон создать не могу, так как при создании SSH агента надо указывать IP-адрес каждый раз.
    Может быть можно сделать какой-то скрипт, который будет дергать из текстового файла список паролей, парсить его и пытаться залогиниться по SSH. Некий брутфорс.... И все это должен делать заббикс.
    Буду благодарен за подсказки.
    Tags: None
    • sadman
      Senior Member
      • Dec 2010
      • 1611
      #2
      Т.е. задача сводится к тому, чтобы заббикс угадывал с помощью хрустального шара адреса/имена хостов и потом производил подбор паролей по словарю?

        Comment

        • V.N.
          Member
          • Oct 2015
          • 37
          #3
          Originally posted by sadman
          Т.е. задача сводится к тому, чтобы заббикс угадывал с помощью хрустального шара адреса/имена хостов и потом производил подбор паролей по словарю?
          Если б можно было сделать некий шаблон с десятком или 2 десятками элементов с каждым слабым паролем и триггерами к ним, а потом этот шаблон назначить хосту, то проблем бы не было. Ведь так мы и делаем с проверками заббикс-агентом. Почему SSH-агент не может так же брать ip из настроек хоста, я не знаю, поэтому спрашиваю совет, как можно ещё реализовать данную задачу.

            Comment

            • Semiadmin
              Senior Member
              • Oct 2014
              • 1625
              #4
              Originally posted by V.N.
              Если б можно было сделать некий шаблон с десятком или 2 десятками элементов с каждым слабым паролем и триггерами к ним, а потом этот шаблон назначить хосту, то проблем бы не было. Ведь так мы и делаем с проверками заббикс-агентом. Почему SSH-агент не может так же брать ip из настроек хоста, я не знаю, поэтому спрашиваю совет, как можно ещё реализовать данную задачу.
              Почему не может? Делаете в шаблоне айтемы типа ssh.run[pass_test1,{HOST.IP}], и все работает. Другое дело, что работает своеобразно - в нормальном состоянии, когда пароль не подходит, айтем not supported. Так что вместо триггеров скорее надо использовать оповещения о
              неподдерживаемых айтемах, но с обратной логикой. А лучше, по-моему, сделать внешний скрипт, который будет получать от хоста тот же макрос {HOST.IP} и возвращать 0 или 1, и дергать его через External checks.

                Comment

                • V.N.
                  Member
                  • Oct 2015
                  • 37
                  #5
                  Спасибо!
                  То, что надо.

                    Comment

                    Previous template Next
                    Working...