Hardened Gentoo & zabbix
Доброе время суток!
Имеется несколько серверов с Hardened Gentoo, хочу мониторить их с помощью zabbix, однако просмотр всех процессов обычным пользователям в Hardened Gentoo запрещён, соответственно zabbix агент не может мониторить сервисы. Нашел в ядре опцию CONFIG_GRKERNSEC_PROC_USERGROUP. Из описания следует что это именно то что нужно: If you say Y here, you will be able to select a group that will be able to view all processes and network-related information.
И в опции GRKERNSEC_PROC_GID указан GID 10. Добавляю пользователя zabbix в группу - все равно просмотр не работает. Пробую просмотреть все процессы другим пользователем который и так был в этой группе - видны только его процессы. =(
Ядро: 2.6.36-hardened-r9.
Zabbix: net-analyzer/zabbix-1.8.3 USE="agent frontend jabber mysql server snmp -curl -ipv6 -ldap -openipmi -oracle -postgres -proxy -sqlite3 -ssh"
Сервисы на машине с не hardened Gentoo мониторятся. Чужие процессы тоже конечно можно посмотреть.
Проблема я так понимаю актуальна так же для Nagios и другого ПО подобного рода.
Отказываться от hardened, ровно как и запускать агента zabbix от рута желания нет.
У кого-нибудь эта опция работает?
- Для комментирования войдите или зарегистрируйтесь
BestFraG написал(а): Доброе
В теме Hardened Gentoo на основе GCC 4.3 принимал участие пользователь taaroa. Я могу путать, но по-моему он что-то подобное делал... попробуй с ним связаться
конечно работает. Ты просто
конечно работает. Ты просто не до конца понял ее смысл и не до конца понял , как работают группы в линуксе
для начала - по дефолту uid 10 - это wheel, что логично.
если ты впишеш туда первичную группу zabbix - то он заработает ;)
по группам - есть GID и есть EGID :) , и если один меняется, то другой - редко
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Перечитал комментарии к
Перечитал комментарии к опциям. Попробовал с разными опциями. В итоге заработало с указанием первичной группы zabbix в
GRKERNSEC_PROC_GID и выключением CONFIG_GRKERNSEC_PROC_USER. Просмотр чужих процессов другими пользователями в этом случае так же не работает, что и следует из описания. Получается что при включении CONFIG_GRKERNSEC_PROC_USER теряет смысл CONFIG_GRKERNSEC_PROC_USERGROUP и просмотр чужих процессов невозможен вне зависимости от нахождения в указанной группе.
Почему не работает при указании в GRKERNSEC_PROC_GID не первичной группы zabbix, а wheel не понял и не смог найти ничего чтоб это объясняло, ровно как и не понял причём здесь GID и EGID, для агента они не меняются, тогда какая разница?
В любом случае проблема решена, спасибо.
для агента они не меняются,
мне всегда казалось, что с root на zabbix
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Это понятно, с рута меняется
Это понятно, с рута меняется на zabbix, и получается GID=EGID=zabbix. И дальше они не меняются. И причём тут проблема с wheel?
.
Problem with zabbix and /proc
https://forums.grsecurity.net/viewtopic.php?f=3&t=2160
irc://irc.oftc.net#grsecurity
Вот теперь не только всё
Вот теперь не только всё работает, но и всё понятно. Всем спасибо.