Ad Widget

Collapse

Запуск Zabbix-server и zabbix-agent под разными пользователями

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • raimond
    Junior Member
    • Mar 2017
    • 8
    #1

    Запуск Zabbix-server и zabbix-agent под разными пользователями

    Здравствуйте!
    Согласно рекомендации, сервер Zabbix (версия 3.2.4) и агент, работают под разными пользователями. Для сервера была создана специальная учётная запись (добавлена в группу zabbix), которая явно прописана в конфигурационном файле. При перезапуске сервера, zabbix-server не может запуститься, т.к. права к /run/zabbix сбрасываются на zabbix:zabbix. Приходится вручную менять права на zabbixsrv:zabbix. Я так понимаю, что нужно подправить какой то файл (скрипт), который и сбрасывает права. Менять путь pid файла не хочется. Подскажите пожалуйста, куда копать то? Сервер работает на CentOS 7.
    Tags: None
    • Nagainos
      Member
      • Oct 2016
      • 46
      #2
      На вашем месте я-бы не выдумывал и использовал Zabbix со стандартным пользователем из пакетов. Если это категорически не устраивает можно попробовать переписать файлы ининциализации демона zabbix-agentd в systemd

        Comment

        • raimond
          Junior Member
          • Mar 2017
          • 8
          #3
          Originally posted by Nagainos
          На вашем месте я-бы не выдумывал и использовал Zabbix со стандартным пользователем из пакетов. Если это категорически не устраивает можно попробовать переписать файлы ининциализации демона zabbix-agentd в systemd
          Ну где же я выдумываю, когда в документации чётко написано:

          Если Zabbix сервер и агент работают на одном сервере, то рекомендуется использовать разных пользователей для запуска сервера и для запуска агента. В противном случае, если сервер и агент запущены под одним пользователем, агент будет иметь доступ к файлу конфигурации сервера и любой пользователь с правами Администратора в Zabbix может с легкостью получить, например, пароль от базы данных.
          2 Сервер
          https://www.zabbix.com/documentation/3.2/ru/manual/concepts/server

            Comment

            • Nagainos
              Member
              • Oct 2016
              • 46
              #4
              Тогда открою Вам секрет - во всех дистрибутивах Linux небрежно относятся к данному правилу. С точки зрения дистрибутива "так делать нормально".

              Если это категорически не устраивает можно попробовать переписать файлы ининциализации демона zabbix-agentd в systemd

                Comment

                • yukra
                  Senior Member
                  • Apr 2013
                  • 1359
                  #5
                  Originally posted by raimond
                  Ну где же я выдумываю, когда в документации чётко написано:

                  Если Zabbix сервер и агент работают на одном сервере, то рекомендуется использовать разных пользователей для запуска сервера и для запуска агента. В противном случае, если сервер и агент запущены под одним пользователем, агент будет иметь доступ к файлу конфигурации сервера и любой пользователь с правами Администратора в Zabbix может с легкостью получить, например, пароль от базы данных.
                  https://www.zabbix.com/documentation...oncepts/server
                  Логично было бы разнести pid-файлы zabbix-server и zabbix-agent по разным диреториям (например /run/zabbix и /run/zabbixsrv).

                  Либо настроить umask что-бы были права на запись у группы.

                  Либо в service-файл добавить что-то типа "ExecStartPre=/bin/chown -R zabbixsrv:zabbix /run/zabbix" (но тогда могут начаться проблемы с агентом).

                  зы не вижу проблемы что администраторы заббикса могут получить доступ к тому же mysql заббикса. Ну нужно всем подрят админа раздавать.

                    Comment

                    Previous template Next
                    Working...