zabbix 4.0 バージョンアップでicmpping監視がエラーになる
お世話になっております。
今回Zabbix4.0のマイナーバージョンアップを行いました。
前)4.0.18
後)4.0.26
そうしたところバージョンアップ前は正常に監視できていた
シンプルチェックのicmpping監視が取得不可になりました。
zabbix_server.logを確認すると下記のエラーが出ております。
(null): can't create raw socket (must run as root?) : Protocol not supported
fpingはバージョンアップ前は下記の状態でした。
-rwsr-xr-x 1 root root 36544 7月 29 2015 fping
ネットの情報を参考に下記に変更しましたが変化はありません。
-rws--s--- 1 root zabbix 36544 7月 29 2015 fping
どのようにすれば解決するか知見をお持ちの方、お助けいただけないでしょうか。
以上、よろしくお願いいたします。
TNK - 投稿数: 4671
使用されているOSとその詳細なバージョンをお教えください。
Nkjm - 投稿数: 50
TNK様
大変失礼いたしました。
使用しているOSは下記の通りです。
CentOS Linux release 7.6.1810 (Core)
以上、よろしくお願いいたします。
TNK - 投稿数: 4671
Zabbixのマイナーバージョンアップでfpingは変更しないので、同
時に何らかのオペレーションをしてしまったのではないかと思われ
ます。
CentOS 7とのことですので、setuidではなく、capabilityの設定の
問題なのではないでしょうか?
例えば、私のCentOS 7の環境上のfpingコマンドは確認すると以下
のような設定になっています。
# getcap /usr/sbin/fping
/usr/sbin/fping = cap_net_raw+ep
#
Nkjmさんの環境のfpingコマンドも同様の設定になっているかを確
認してください。
なっていないのであれば、setcapコマンドで許可設定を追加してみ
てください。
ご参考:
https://gihyo.jp/admin/serial/01/linux_containers/0042
http://www.usupi.org/sysad/183.html
Nkjm - 投稿数: 50
TNK様
詳細な説明ありがとうございます。
アップデートについては、パッケージを細かく指定し、依存関係も
確認の上で実施したため、特に何かをしたわけでもないつもりなのですが…。
当方の環境でgetcapをしたところ、何も設定が行われておりませんでした。
そこで
setcap cap_net_raw=ep /usr/sbin/fping
を実行し、TNK様と同じ結果となったのですが、やはり状況は変わりませんでした。
(Zabbixの再起動、サーバ自体の再起動なども実施済みで、setuidは元に戻しています)
そこで権限周りなら、と考えzabbix_server.confのAllowRootを1にしてみたところ
正常に監視が行えました。
ただ、この状態のままだとセキュリティ的によろしくないと思い、解決策を見出したく思っています。
他にも情報があればお願いできますでしょうか。
TNK - 投稿数: 4671
もしかして、SELinux等で制限されているということはありませんか?
Nkjm - 投稿数: 50
返信ありがとうございます。
念のため確認しましたが、SELinux自体を無効化しております。
#getenforce
Disabled