/etc/ssh/sshd_configなどのパーミッションが厳しいファイルのchecksum監視
初めて投稿いたします。河崎です。
/etc/ssh/sshd_configなどのファイルのchecksumの変化を監視したいのですが、監視サーバがZabbixアカウント権限で動作しているので当然ステータスがグレー表示の「取得不可」になってしまいます。
既存の「Template_Linux:Checksum of /etc/inetd.conf」もファイルのパーミッションが600、オーナーがrootなので上記と同様にZabbixからはチェックサムの取得が不可になってしまいます。
どなたかこのようなファイルのchecksum監視をされた方はいらっしゃいますでしょうか。
おそれいりますが、ご教示くださいますでしょうか。
よろしくお願いいたします。
matt - 投稿数: 13
当該ファイルとそのディレクトリ全てについて、Zabbixの実行ユーザに対してのRead権限を与えれば解決、ですがその手のファイルはセキュリティの問題もある思いますから、Read解放は慎重に検討と思います。
解放しないでチェックするなら、root権限でchecksumの結果を定期的に読取可のファイルとして作ってそれをZabbixで指定する等ひと手間入れる、でしょうか。
wakaba - 投稿数: 228
広瀬です
禁じ手かもしれませんが、ZABBIXエージェント自体をroot権限で起動させてしまうことも出来ますので、
そちらの方法であれば、たぶん一番早い近道かとは思います。
NetKidsなど他の商用監視ソフトなど、エージェントはroot権限起動している製品もありますし、必ずし
も禁じ手というほどのことではないかもしれません。
外部から10050叩かれてしまうような環境だとまずいかもしれないので、その編はF/Wやiptablesで
きっちり制御は掛けておいた方がよいと思います。
meko - 投稿数: 1
昨日から触りだした初心者です。
投稿者ご本人のレスがないので、私も落書きさせてもらいます。
はじめに、『監視サーバがZabbixアカウント権限で動作』と仰っていますが、checksum を計るのは
agent の仕事なんじゃないでしょうか。
> http://www.zabbix.com/documentation/2.0/manual/config/items/itemtypes/za...
それと、どのlinux distribution を使用しているのかわかりませんが、inetd.conf はmode=644
だと思うのですが(/=xinetd.conf ???)。別に一般ユーザに隠蔽する必要性もありませんからね。
ただし、/etc/ssh/sshd_config は確かにmode=600ですね。確かに、これは見られたくないですね。
ま、それは本題から逸れてしまいましたが、sumを計算したいファイルが、permission の問題で
どうしても参照できなければ、root で動作させるシェルとかを作成してcronで回し、異常を検知したら
ログ出力させるとか、そういう方法もありますよね??
んで、Zabbix にはログを監視してもらう!?
セキュリティ要件が厳しい場合は、こういう方法をとらざるを得ないと思われますし、
なんでもかんでも、build-in template に頼る必要性もないと思います。
# 確かに便利ですけどね。
以上、ご参考。
kuzunoha - 投稿数: 3
やはりエージェントの動作権限をrootにして、薄くなったセキュリティーを他の方法で担保するというのが現実的なのかもしれません。
3名様のレスポンス、感謝申し上げます。
外部から10050を叩かれるのが怖いので、広瀬様のおっしゃる通りやはりiptablesで制御でしょうか。
この方法で確認させていただきます。
ありがとうございました。
kuzunoha - 投稿数: 3
追記です。
# vim zabbix_agentd.conf
AllowRoot=1
# zabbix_get -s 127.0.0.1 -p 10050 -k vfs.file.cksum[/etc/ssh/sshd_config]
2177464132
確認させていただきました。
皆さんありがとうございます。