Nenash 23 дек 2021 в 10:18

Управление и мониторинг сервера через Telegram-бота

3 мин

23K

Системное администрирование*Python*Сетевые технологии*Серверное администрирование*Windows*

Комментарии 22

David_Osipov 23 дек 2021 в 10:34

О, прикольно. Я просто подвязал OSSEC на сервере мне слать уведомления через ТГ бота - удобная вещь.

BigDflz 23 дек 2021 в 10:58

почему-то при описании телеграм бота не пишут его режим - webhook или longpoling.

а с помощью Тб можно открывать роутер (если обобщать название входного устройства) для определенного ip через который входить по rdp, а потом закрывать. такое сделано на java, работает стабильно.

есть ещё вариант "авторизации" при входе на портал - открывается страница, на ней код, вводим этот код в тб и в браузере открывается страница для данного юзера. в браузере для авторизации ничего вводить не надо.

Struam 23 дек 2021 в 12:20

А чем вам не понравился Zabbix? Он отлично справляется с информированием в Telegram в том числе.

Nenash 23 дек 2021 в 12:25

Тем что я ограничен в сетевых подключениях к просматриваемому серверу.
И насколько я знаю в Zabbix нет возможности управления сервером.
Ну и я ограничен серверными ресурсами для разворачивания Zabbix.

Struam 23 дек 2021 в 12:44

А я правильно понял по вашим схематичным рисункам, что Вы пробросили через Firewall доступ во внутренюю сеть заказчика? Или изначально из internet есть доступ?

Nenash 23 дек 2021 в 12:48

Это заказчик пробросил через свой Firewall доступ нашей подсети в свою через Интернет. У них там строгие правила.

Kanlas 27 дек 2021 в 16:47

И насколько я знаю в Zabbix нет возможности управления сервером.

Управление есть

himikgenuine 7 янв 2022 в 12:17

Разворачивать аж целый заббикс ради мониторинга одного единственного сервера? Но зачем?

Dr_Wut 23 дек 2021 в 12:31

Отправка оповещений - реально удобная штука, спору нет, но вы выставили в инет дырку по управлению оборудованием телемеханики. Ну как бы... А вы не задумывались о том, что это как минимум не хорошо со стороны ИБ? А если это КИИ - то это вполне себе реальная условка? Если не хуже

А еще ваш опыт будут повторять не задумываясь о последствиях, так как "мы же на хабре это прочитали"....

BigDflz 23 дек 2021 в 12:43

пока нет информации по взлому телегам, даже на хабре предлогами попробовать. нечего не прошло.

и практика показывает - полет нормальный

Struam 23 дек 2021 в 12:46

Так зачем телегу ломать если доступ идет по (RDP и HTTP) - эти порты открыты

Nenash 23 дек 2021 в 12:51

Эти порты не для каждого встречного открыты :)

BigDflz 23 дек 2021 в 13:45

порт открывается только для конкретного ip на время роботы по rdp. кроме того можно указать «кодовое слово» обозначающее имя компа к которому надо подключиться, что есть ещё одна ступень «защиты» ну и порт можно указывать для подключения рандомно.....

Nenash 23 дек 2021 в 12:51

Управлять оборудованием в данном случае не получится. Т.к. не реализована такая возможность. Максимум возможно выполнить строго определенные программы и управлять службами. Но для этого нужно постараться взломать Telegram ну и еще пароль администратора.

13werwolf13 23 дек 2021 в 13:41

оповещения сделал прикрутив к zabbix скрипт Zabbix-in-Telegram (да я знаю что в свежем zabbix есть отправка в телегу из коробки, но этот скрипт ещё и красивые графики шлёт удобные).

а вот управление начал делать, но так и не поднялась рука запустить ибо внутренний параноик против такой дыры в бежопасности.. всётаки ssh посекурнее будет, тем более что проходя банковскую сертификацию родил конфиг который прошёл для них как очень секурный secure_sshd_config

ScarferNV 24 дек 2021 в 11:00

А как решается вопрос с безопастностью?

BigDflz 25 дек 2021 в 07:15

с безопасностью чего? доступа телеграм? уязвимости телеграм? или?

ScarferNV 25 дек 2021 в 11:48

Ну начать с простого, доступом к функционалу бота

BigDflz 25 дек 2021 в 19:45

@ScarferNV такой вопрос возникает потому , что не знаешь как устроен бот.

для того чтоб получить доступ к функционалу (как устроено у меня) необходимо иметь запись в базе, разрешающую использовать этот функционал. первый шаг - зарегистрироваться - передать свой номер телефона боту, для этого есть специальная команда бота. при выполнении этой команды в базе в записи с телефоном прописывается id пользоавтеля телефона. дальнейшее происходит по этому id. у меня, если данному номера нет в базе - шлётся сообщение типа иди подальше.... и бесполезно что-либо с этим делать - будешь тыкаться - сам телеграм заблокирует. всё просто. смоделировать сообщение от телеграм к боту с поддельным номером - успехов. уже пробовали, телеграм защищён.

Luchare 7 янв 2022 в 12:17

curl 'https://api.telegram.org/bot/sendMessage?chat_id=&text=

И баш скрипт в кроне, который получает сравнивает и отпраляет алерты?

Просто и безопасно, да без управления но для информирования на 100% хватит

olegfox08 7 янв 2022 в 12:18

Писал нечто подобное на c#, как мне кажется там чуть проще, ну не суть, управление сделал что-то вроде тегов, перед командой ставлю "метку" если сообщение начинается с "метки" выполняем тело сообщения. Соответственно можно таким образом реализовать различные команды, cmd, ps... Не сложно, и работает, но в боевом проекте я почему-то не захотел использовать. Наверно подумал также "+1 дырка наружу" хотя поддерживаю объективных прицедентов я не встречал взлома из ТГ

divanus 8 авг 2022 в 09:46

Ну, вы хотя-бы ссылку на гит сделали , а то в статье вот так у вас

Скачиваем проект https://github.com/NenashevSV/TeSeMoMa;2.

Последние три символа лишние для гита.

Возникает вопрос - а скрипт так же написан неаккуратно? )

например в сеттингкс указаны ключи и группы , они фейковые или вы свои забыли удалить? )

Зарегистрируйтесь на Хабре, чтобы оставить комментарий