在客户机上,当zabbix-server指示zabbix-agent执行命令的时候,不管是监控项里面的shell命令,还是报警之后执行的远程命令,往往都会执行不成功,主要原因就是被linux各种安全措施给拦截了。在redhat和centos中尤其明显。
一、程序,网络权限
比如下面是一个基于ncat(nc)命令的监控项,用来监控客户机能否连通某个TCP端口,探测远程端口是否开启。
该文件放置在/etc/zabbix/zabbix_agentd.d/ 下面
UserParameter=custom.ncat[*],nc -w 1 -z $1 $2 < /dev/null && echo "success"
然后当我使用zabbix-server远程执行这个命令的时候,就会被selinux拦住,报错如下
zabbix_get -s 192.168.2.169 -k "custom.ncat[172.17.0.2,3306]"
Ncat: Permission denied.
只有当我们在客户机上设置
setenforce 0
暂时停止掉selinux的拦截行为,才能得到正常的结果,但是关闭selinux会增加操作系统被入侵的风险,那么应该怎么办呢。
报错的意思说,zabbix-agent没有权限去调用ncat命令。但是注意,如果把上面的ncat命令删掉,只保留echo命令,是可以正常执行的,那么我们首先检查一下这几个文件的可执行权限
[root@jdftp zabbix_agentd.d]# ls -Z /usr/bin/echo
-rwxr-xr-x. root root system_u:object_r:bin_t:s0 /usr/bin/echo
[root@jdftp zabbix_agentd.d]# ls -Z /usr/bin/nc
lrwxrwxrwx. root root system_u:object_r:bin_t:s0 /usr/bin/nc -> ncat
[root@jdftp zabbix_agentd.d]# ls -Z /usr/bin/ncat
-rwxr-xr-x. root root system_u:object_r:bin_t:s0 /usr/bin/ncat
(注意:如果zabbix命令调用的是nc,那么会报Permission denied,nc没有执行权限,表示无权限,而调用ncat的话,不会报错,ncat会告诉你该端口不通,但实际是通的,此时ncat可执行但是ncat访问谁都不通)
发现这三个文件的可执行权限是一样的,那么既然echo能执行,ncat也可以才对。那么我们要想调查原因就需要去查看一下selinux的拦截日志了。
tail /var/log/messages
......
Jun 1 09:30:20 jdftp setroubleshoot: SELinux is preventing /usr/sbin/zabbix_agentd from name_connect access on the tcp_socket port 3306. For complete SELinux messages run: sealert -l 7d3b5686-8eb8-45ae-90f3-00f3b66bd827
Jun 1 09:30:20 jdftp python: SELinux is preventing /usr/sbin/zabbix_agentd from name_connect access on the tcp_socket port 3306.#012#012***** Plugin catchall (100. confidence) suggests **************************#012#012If you believe that zabbix_agentd should be allowed name_connect access on the port 3306 tcp_socket by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# ausearch -c 'zabbix_agentd' --raw | audit2allow -M my-zabbixagentd#012# semodule -i my-zabbixagentd.pp#012
上面的意思大概是说,SELinux拦截了/usr/sbin/zabbix_agentd程序连接TCP端口的网络行为,而ncat与echo这类程序最大不同就在于他需要调用核心的网络接口,selinux拦截的话那么ncat就失去作用了。好在selinux的审计日志非常任性化,直接把放开权限的方法给你写到日志里去了,我们只需执行即可。
# ausearch -c 'zabbix_agentd' --raw | audit2allow -M my-zabbixagentd
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i my-zabbixagentd.pp
# semodule -i my-zabbixagentd.pp
通过上面两行就可以把ncat的网络限制给去掉了,这样我们既保证了zabbix-agent的正常运行,也不妨碍selinux保护我们的系统。
二、root权限
第二种情况是当我们设置了触发器报警后的执行命令,比如检测到80端口不通之后自动重启nginx,也就是所谓的远程命令,这个在zabbix的官方手册上已经给出了解决方案,就是让zabbix执行sudo命令,提升权限到root。但是sudo不是谁想执行就能执行的,需要修改sudoers配置文件,指定zabbix-agent可以执行哪些命令,原文如下
访问权限
确保'zabbix'用户具有已配置命令的执行权限。可能有兴趣使用 sudo 来访问特权命令。 要配置访问,请以root身份执行:
# visudo
可以在 sudoers文件中谁可以使用sudo命令:
# allows 'zabbix' user to run all commands without password.
zabbix ALL=NOPASSWD: ALL
上面允许zabbix可以随意使用sudo提升权限,安全性较差,可以为zabbix限制使用sudo的程序,如下
# allows 'zabbix' user to restart apache without password.
zabbix ALL=NOPASSWD: /etc/init.d/apache
zabbix ALL=NOPASSWD: /sbin/iptables
NOPASSWD代表zabbix-agent可以不凭借密码直接执行命令,因为是后台运行,所以不需要输入密码。后面的ALL最好换成具体执行的命令,因为ALL对系统来说非常危险,授权过大。比如要授予上面ncat的sudo权限就可以这样写
#visudo
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
zabbix ALL=NOPASSWD: /usr/bin/nc
注:root那一行是本来就有的,命令只需写到nc,不要写后面的-w -z等参数,不然保存时会报错。同理对于其他的后面有参数的命令,都只需要写到可执行文件本身即可。
然后我们的zabbix脚本中就可以在相应的命令行前面加上sudo,如下
UserParameter=custom.ncat[*],sudo nc -w 1 -z $1 $2 < /dev/null && echo "success"
也可以在配置文件中将命令指向一个可执行文件,然后在此文件中使用echo命令返回结果,并对相关命令加上sudo,如下
/etc/zabbix/zabbix_agentd.d/iptables_util.conf
UserParameter=custom.trafic[*],/usr/local/bin/iptables_util $1 2>/dev/null
下面是可执行文件
/usr/local/bin/iptables_util
#!/bin/bash
echo $(sudo /sbin/iptables -vxn -L)