「AllowRoot=1」変更後のzabbxユーザについて

大変お世話になっております。

zabbix_agentdの「AllowRoot=1」変更後はzabbxユーザは不要になるのでしょうか?
不要ではないと思いいつつもお客様にきかれたので確認させてください。

また、zabbix_agentdの「AllowRoot=1」の変更はzabbixサーバだけ行えばよいのでしょうか?
クライアント側も「AllowRoot=1」としないとroot権限で監視できないのでしょうか?

以上、よろしく御願いします。

-------------サーバー情報(zabbix共通)-------------
zabbixバージョン2.4.7
サーバーOSCentOS release 6.7 (Final)
----------------------------------------------------

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

zabbix_agentdの「AllowRoot=1」変更後はzabbxユーザは不要になるのでしょうか?
不要ではないと思いいつつもお客様にきかれたので確認させてください。

Zabbixエージェント自体の起動にzabbixユーザーを利用しなくなる
ので、Zabbixエージェントを動かすために不要といえば不要ですが、
AllowRootでの運用を止めた時に戻すのが面倒になると思うので、
削除はしない方がよいでしょう。

もともと、パッケージでインストールしたのであれば、ログインが
できないようなユーザですので、残しておいても大きな問題にはな
らないと思います。

ただし、Zabbixサーバーを稼働させている同じサーバー上であった
場合は、Zabbixサーバーの起動にzabbixユーザーを利用しているこ
とをお忘れないようご注意ください。

また、zabbix_agentdの「AllowRoot=1」の変更はzabbixサーバだけ行えばよいのでしょうか?
クライアント側も「AllowRoot=1」としないとroot権限で監視できないのでしょうか?

Zabbixエージェントをroot権限で起動したいのであれば、そのZabbix
エージェントを起動するすべてのサーバー上のzabbix_agentd.conf
に設定が必要です。
 
 
最後に、AllowRootを有効にする運用は、特にセキュリティに対す
る意識を高く持つようにしてください。
最悪の場合、何らかの脆弱性があった場合に、root権限を利用して
サーバーへの攻撃が行われてしまう危険性があることを十分にご認
識の上ご利用ください。

ご参考:Zabbixでsyslog監視(CentOS 7編)
http://qiita.com/atanaka7/items/9c8736553262f64c03f6

ユーザー RYT の写真

TNK様

ご教示ありがとうございます。

質問した2点について理解ができました。
誠にありがとうございます。

>最後に、AllowRootを有効にする運用は、特にセキュリティに対す
>る意識を高く持つようにしてください。
私もこの心配はしておりました。
そこでもう1つの方法としてzabbixユーザをrootグループに所属させる方法があると考えました
# ll /var/log/messages
-rw-r-----. 1 root root 24829 6月 28 13:30 2016 /var/log/messages
# usermod -G root zabbix
# id zabbix
uid=496(zabbix) gid=493(zabbix) 所属グループ=493(zabbix),0(root)

としてやればログ監視を権限かえることなくできると考えました。
この方法でも監視は行えますでしょうか?
テストを行った際に午前中できなかったのに午後やってみたらできたというあいまいな状況でしたのでお教えください。

追加の質問となってしまいましたがよろしく御願いいたします。

ユーザー TNK の写真

そこでもう1つの方法としてzabbixユーザをrootグループに所属させる方法があると考えました
<中略>
この方法でも監視は行えますでしょうか?

できます。

うまくできなかったのは、zabbix_agentdの再起動を行っていなか
ったなど、OSやプロセス上のユーザのグループ情報を含むアクセス
制御情報が更新されていなかったからだと思います。

注意点としては、CentOS 6の/var/log/messages などでは、ログの
ローテーションがデフォルトで設定されていると思います。

先に紹介したQiitaの記事にも書きましたが、logrotateの設定で、
ファイルのパーミッションを変更するようにしておかないと、ログ
ローテーション時に初期のファイルのパーミッションに戻ってしま
うのでご注意ください。

SELinuxを有効にしている場合は、SELinuxの設定の調整も必要
になるかもしれません。

ユーザー RYT の写真

TNK様

返答ありがとうございます。

了解しました。
この方法で試したいと思います。

注意点も確認し設定変更を行います。

以上、丁寧なご教示ありがとうございました。