哪个更安全?白名单还是黑名单?Agent端对监控指标黑白名单的支持

最新推荐文章于 2024-04-18 10:42:19 发布
VIP文章 最新推荐文章于 2024-04-18 10:42:19 发布
阅读量918 收藏
点赞数
文章标签: zabbix
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53971298/article/details/113635943
版权

“实际上,agent端指标的白名单和黑名单也是Zabbix培训中的一个重要主题。”

——Kaspars Mednis , 全球培训师负责人,Zabbix SIA

本文整理自Kaspars 在2020Zabbix中国峰会的演讲,ppt获取链接见文末。更多演讲视频可关注官方Bilibili账号主页(ID:Zabbix中国)。

目录
一 为什么需要agent端指标的白名单和黑名单
二 如何保障安全性
三 关于通配符
四 关于功能注释
五 哪个更安全?白名单还是黑名单?

为什么需要agent端指标的白名单和黑名单

首先,第一个问题是为什么?我们为什么需要agent端指标的白名单和黑名单?

实际上,我们都知道,Zabbix agent主要的功能就是采集监控,但也可以从配置文件、日志文件、密码文件或任何其他敏感数据源收集到一些敏感信息。正如大家现在所看到的一个简单示例,通过Zabbix get功能,我们可以对密码文件的内容实现读取。我想现在大家心中都会认为这也太不安全了,对吧?这属于敏感信息。

除此之外,另一个问题是system run[]命令,system run[]命令是非常有用、非常强大的命令,它实际上允许你直接在被监视的主机上从Zabbix前端执行任何命令,这也意味着你可以收集很多有用的信息,但这里的关键词是“任何命令”。实际上,有些人可能会使用这些命令执行一些有害代码。正如大家现在所看到的,在第一个示例中,用户将尝试从Web下载一些恶意代码,然后将尝试执行,以期获得根权限或其他权限。或者,在另外一个示例中,用户想要删除一些活动痕迹,试图删除一些日志文件。这些只是几个例子,都可以从前端执行。

我是从命令行使用Zabbix get,因为这样可以更容易的测试。但需要指出的是,如果从前端执行也可以实现同样的效果。当然,通常Zabbix agent是以非特权帐户运行的,这就意味着并不是所有这些命令都会成功。但是如果在windows上运行Zabbix,那么Zabbix的运行位置是windows的本地系统。实际上,在这里,几乎可以运行所有的命令。

如何保障安全性

这就引出了下一个问题,我们如何防止这种情况发生?

  1. Enable Remote Commands参数
    在Zabbix5.0发布之前,我们在Zabbix agent配置文件中设置了一个选项,称为Enable Remote Commands。如果您将此参数设置为零,则远程命令就会被禁用。因此ÿ
最低0.47元/天 解锁文章
Zabbix_小Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置User-Agent白名单
Used the same
09-30 494
您可以通过配置User-Agent黑名单白名单来实现对访客身份的识别和过滤,从而限制访问全站加速资源的用户,提升全站加速的安全性。通过本文您可以了解User-Agent/白名单的配置方法。 背景信息 当您需要根据请求的User-Agent字段进行访问控制时,请配置User-Agent/白名单功能,实现对请求过滤。 User-Agent黑名单黑名单内的User-Agent字段均无法访问当前资源。 如果您的User-Agent字段被加入黑名单,该带有User-Agent字段的请求仍可访问到全站加
Ranger认知
qq_32961283的博客
06-10 747
1. 初识 ranger 隶属于Apache,是一套集中式的权限管理框架,可以对Hadoop生态中的HDFS/Hive/YARN/Kafka/Storm/Solr等组件进行细粒度的权限访问控制,并提供了Web UI方便管理员进行操作。 2. Ranger支持服务或组件 Ranger支持的服务有HDFS、Hbase、Hive、Yarn、Strom、Kafka、Knox、Solor,但要注意各个组...
带你看网络安全的基本常识
weixin_38933749的博客
08-01 439
网络安全三要素(CIA) Confidentiality:保密性 数据过程中的保密信息,比如密码等信息。 解决办法 加密:网络传输和保存的时候使用加密算法 权限管理:对于不同的信息设置不同的访问权限 敏感信息暴露:对于敏感信息:如密码,邮箱,电子签名。整个过程中需要对敏感信息 进行保护 Integrity:完整性 数据内容是完整的,没有被篡改 解决办法:数字签名进行算法校验 Availabitiy:可用性 有限制的调用服务,防止别人一直call你的服务器,从而搞垮你的服务器 威胁分析模型(STRIDE) S
史上最详细Centos7安装zabbix监控同网段主机服务实践
最新发布
weixin_59164654的博客
04-18 672
Zabbix 是一个企业级分布式开源监控解决方案,用于监控各种网络设备、服务器和应用程序的性能和可用性。它提供了实时监控、报警、可视化、自动发现等功能,可以帮助管理员有效地监控和管理大型网络环境。zabbix在进行监控时,zabbix客户要安装在被监控设备上,负责定期收集数据,并将其发送给zabbix服务zabbix服务要安装在监控设备上,其将zabbix客户发送的数据存储的数据库中,zabbix web根据数据在前进行展示和绘图。
系统白名单黑名单的优先级_内容审核系统设计,需要做好以下几点
weixin_42146274的博客
01-11 1825
相信做内容方面的产品朋友们,都知道合规的重要性。倘若遇到事情了,轻则app短暂下架(导致DAU和收入双双下降),重则整个部门解散。基于这样的情况,设计出兼顾安全与用户体验的审核系统就十分必要。1、做个定时开关监管部门对各个内容类产品的审查力度,并不是一年365天都是相同强度的。比如重要会议期间,审核力度会比平时大。为此,我们可以做个开关。在特殊的时间段内,开关开启,所有的评论都进入先审后发模式、...
关于黑名单白名单的一些思考
分享博主日常学习和使用的一些技术
09-28 2216
白名单黑名单在手机通讯录里面常提及的两个概念。 默认相信别人,直到别人给出不相信的理由 默认不相信别人,直到别人给出相信的理由 我发现白名单黑名单不仅是在软件领域,在人生里面也是类似的。你是哪种人呢?偏好黑名单的人?还是偏好白名单的人?我想了一下,我认为我是偏好白名单的人,但是在我的白名单数量不足的时候,我还是会使用黑名单进行辅助筛选。 白名单的应用场景: 举个例子,去饭馆恰饭,你会选择哪个饭...
如何使用Prometheus轻松实现集群监控
01-27
Zabbix类似,Prometheus也是一个近年比较火的开源监控框架,和Zabbix不同之处在于 Prometheus相对灵活点,模块间比较解耦,比如告警模块、代理模块等等都可以选择性配置。服务和客户都是开箱即用,不需要...
jmeter服务监控agentServerAgent
01-26
jmeter 服务资源监控插件放在目标服务器上,ServerAgent监控用的agent,需要监控哪个服务器就放到哪个地方,Linux和window通用,启动口默认为4444,不用修改。
jmeter资源监控ServerAgent-2.2.3
01-22
jmeter资源监控ServerAgent-2.2.3
Agent监控设置及获取方案
07-03
Agent监控设置及获取方案Agent监控设置及获取方案Agent监控设置及获取方案
Zabbix4.4配置文件详解
weixin_45203131的博客
03-25 1210
基本配置段 ListenPort=10051 #监听口 ListenIP=0.0.0.0 #监听地址 LogType=file ...
zabbix 自动发现规则 触发器_zabbix 自动发现并监控所有
weixin_33595317的博客
01-26 237
背景监控是很普遍的一个需求,当一台机器上跑了几十个服务,就想着能不能自动发现并监控所有的口呢?毕竟我们的宗旨是能自动绝不手动,摸鱼才是工作的真谛。实施解决方案基于 Linux 命令 ss,下面看下输出:AllowKey=system.run["ss --tcp --listening --numeric"]如果希望在模板中整合命令而不是使用 UserParameter ,则需要将此 item...
Docker安装Zabbix
WinJay
11-03 160
Docker安装Zabbix 安装docker并启动docker(centos7.8安装起来就是这么简单,但是centos8就很麻烦,如果运行这个命令,将会给你安装podman等,反正蛮折腾的) yum -y install docker systemctl start docker #设置开机启动docker systemctl enable doc...
zabbix
weixin_41973331的博客
09-06 748
是一个非常强大的监控系统对于想快速可用的小型公司,Zabbix 自带的Item足够满足需求,通过简单的配置,可以在很短的时间内搭建起一套功能完善的报警系统对于中大型公司,Zabbix 也能很好地支撑,可以设定自定义的 ltem,自动生成报表,有API和其他系统集成,数据库中有开放的数据可供分析管理->用户->Admin->报警媒介->添加->新可以集中展示多个时间序列的数据流。
#gStore-weekly | gStore源码解析(四):安全机制之白名单配置解析
weixin_48167662的博客
06-27 509
安全机制中白名单配置的源码进行解析
zabbix安全漏洞和防范方法
wj193165zl的博客
08-15 3130
zabbix安全一般分为以下的几种: 1,zabbix配置不当导致的安全事件 zabbix服务的权限非常高,很多客可以通过zabbix的服务对被监控服务器进行渗透攻击,所以,zabbix在安装后,必须修改zabbix的默认用户名和密码,就算将zabbix放到内网中,也不能保证zabbix的绝对安全。 2,zabbix弱口令密码,容易被爆破 3,zabbix低版本的注入漏洞,通过该注...
Zabbix配置篇-Zabbix4.4安全认证
qq_23435961的博客
07-30 767
Zabbix配置篇-Zabbix4.4安全认证 认证介绍 由于我们公司的设备都在混合云,所以不少数据传输是通过公网,这样极大的增加了危险性,所以在Zabbix数据传输这块则进行PSK安全认证,目前公司的架构为一个云平台或者局域网部署一台proxy,由proxy主动收集agent数据后统一发送给server,这样只需要对proxy到server之间的数据进行加密即可,话不多说,以下上干货。 Zabbix从3.0开始支持传输层安全性(TLS)协议v.1.2加密,在Zabbix服务器,Zabbix代理,Zabbi
zabbix-agent 怎么配合,让web可以监控
06-08
要让Web可以监控zabbix-agent,需要按照以下步骤进行配置: 1. 在zabbix-agent配置文件中(通常位于/etc/zabbix/zabbix_agentd.conf),设置Server和ServerActive参数,分别指定Zabbix Server的IP地址或主机名。 2. 在Zabbix Server或Proxy中创建监控主机,指定主机IP地址或主机名,以及连接方式为zabbix-agent。 3. 在Zabbix Server或Proxy中创建监控项,选择连接方式为zabbix-agent,然后选择需要监控指标。 4. 在Zabbix Server或Proxy中创建触发器,根据监控项的值来触发告警或其他操作。 5. 在Zabbix Server或Proxy中创建图表、报表等,用于展示监控数据。 完成以上步骤后,就可以在Zabbix Web看到zabbix-agent监控数据了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值