Я не так давно начал разбирать популярные шаблоны заббикса для ухода от кастомных скриптов мониторинга(userparametr'ов) на хостах. С появлением препроцессинга в заббиксе 90% всех задач может выполнятся благодаря удалённому выполнению команд и последующим препроцессингом(обработкой регулярками, или выдёргивание из xml или json) данных на стороне сервера. Не думаю что это маразм, когда мониторинг достаточно настроить только на самом сервере мониторинга и к хостам только обращаться для забора данных. Это конечно только описание цели, а не текущей реальности, но почему нет?
С каких пор в свитчах появился ipmi? Судя по статье это не опечатка, а некомпетентность.
Первое, что надо включить на фронтенде заббикса, это HTTPS, как в комментариях тут написали, и если не можете какой нибудь let's encrypt заюзать, самоподписанного сертификата тоже будет достаточно.
Менять стандартные порты это глупость, никогда так не делайте без чёткого понимания зачем оно вам надо. Последующая поддержка этого добра сведёт на нет заботу о безопасности.
Включать удалённое выполнение команд надо ТОЛЬКО после настройки шифрования между агентом и сервером\прокси.
ВСЕГДА ВКЛЮЧАЙТЕ ШИФРОВАНИЕ МЕЖДУ ЗАББИКС СЕРВЕРОМ И ЗАББИКС ПРОКСИ! Подделать отправку данных на прокси чтобы он задосил вас никаких проблем не вызывает, даже этой статьи будет достаточно.
И главный вопрос, где блин ваш фаервол, если кто то может открыть слушать любой порт? На винде если вам надо мониторить пару машин, можно и рискнуть оставить агент как есть из коробки. Но если у вас огромное количество виндовых машин, соберите свой msi пакет с установкой службы и её настройкой, чтобы работало не от системного юзера.
Вся статья уровня скрипт-киди, от таких потуг даже не зачешется.
Спасибо полистал статью и комменты. Как всегда в комментах есть, что-то интересное.
Для тех кто захочет на opensuse 42.3 minimal заюзать ансибл, из коробки не будет пакета python-xml. К чему это приведёт, ну модули package и zypper работать не будут. Догадаетесь, какие есть варианты установки пакета? Всё тот же command или shell.
Но самое вкусное, это когда вы захотите подключить репозитории внешние, например nginx или zabbix: во время попытки установить нджинкс из его стейбл или мейнлайн репы, вместо репы ОС, у вас ничего не выйдет без тех же command или shell. А если вы обновляете заббикс с 2.2 из реп ОС до 3.4 то опять же работать можно только через command и shell. Собственно вопрос, будете ли вы пилить модуль 2-10 дней для фикса багов или вставите костыль за 30 минут… Проблемы есть конечно всегда, но со всеми suse линуксами ансибл придётся костылять в 10 раз больше, чаще дешевле переехать на другой дистр. Из всех здесь описанных багов ансибл я не встретил ничего кроме багов в zypper модуле.
Руки вам никто не выкручивает, вы вольны делать как пожелаете. Я просто знаком с подноготной т.к. работал админом в Агима. Они разрабатывают портал и поддерживают его.
У dnssec есть открытый и закрытые ключи, закрытые хранятся на сервере где установлен сервис dns для подписи отдаваемых данных. Открытые ключи находятся в записях dns. Вот краткое описание для лучшего понимания работы технологии.
Что касается API и веб интерфейса то let's encrypt всех спасёт по красоте с TLS1.3(на крайний самоподписанные сертификаты). Что касается передачи в открытом интернете данных мониторинга, то даже psk ключа на zabbix-proxy в регионе будет достаточно чтобы отпугнуть не целевые атаки.
А вот если вы достигли дзена, то смело расчехляйте ansible\chef\salt\etc и пишите настройку TLS для сервера, прокси и агентов. Одной командой куда проще защититься, чем читать такие посты. Для тех кто сам писать не хочет, может взять уже готовые материалы в интернете. Но если у вас дзен уровень зашкаливает, то вы не будете писать настройку сами, а возьмёте материалы в интернете и сделаете ревью, впоследствии внеся небольшие правки под себя.
А имя уже можно сменить или всё ещё залочено в коре?
Первое, что надо включить на фронтенде заббикса, это HTTPS, как в комментариях тут написали, и если не можете какой нибудь let's encrypt заюзать, самоподписанного сертификата тоже будет достаточно.
Менять стандартные порты это глупость, никогда так не делайте без чёткого понимания зачем оно вам надо. Последующая поддержка этого добра сведёт на нет заботу о безопасности.
Включать удалённое выполнение команд надо ТОЛЬКО после настройки шифрования между агентом и сервером\прокси.
ВСЕГДА ВКЛЮЧАЙТЕ ШИФРОВАНИЕ МЕЖДУ ЗАББИКС СЕРВЕРОМ И ЗАББИКС ПРОКСИ! Подделать отправку данных на прокси чтобы он задосил вас никаких проблем не вызывает, даже этой статьи будет достаточно.
И главный вопрос, где блин ваш фаервол, если кто то может открыть слушать любой порт? На винде если вам надо мониторить пару машин, можно и рискнуть оставить агент как есть из коробки. Но если у вас огромное количество виндовых машин, соберите свой msi пакет с установкой службы и её настройкой, чтобы работало не от системного юзера.
Вся статья уровня скрипт-киди, от таких потуг даже не зачешется.
Для тех кто захочет на opensuse 42.3 minimal заюзать ансибл, из коробки не будет пакета python-xml. К чему это приведёт, ну модули package и zypper работать не будут. Догадаетесь, какие есть варианты установки пакета? Всё тот же command или shell.
Но самое вкусное, это когда вы захотите подключить репозитории внешние, например nginx или zabbix: во время попытки установить нджинкс из его стейбл или мейнлайн репы, вместо репы ОС, у вас ничего не выйдет без тех же command или shell. А если вы обновляете заббикс с 2.2 из реп ОС до 3.4 то опять же работать можно только через command и shell. Собственно вопрос, будете ли вы пилить модуль 2-10 дней для фикса багов или вставите костыль за 30 минут… Проблемы есть конечно всегда, но со всеми suse линуксами ансибл придётся костылять в 10 раз больше, чаще дешевле переехать на другой дистр. Из всех здесь описанных багов ансибл я не встретил ничего кроме багов в zypper модуле.
UPD: Разрабы в курсе.
А вот если вы достигли дзена, то смело расчехляйте ansible\chef\salt\etc и пишите настройку TLS для сервера, прокси и агентов. Одной командой куда проще защититься, чем читать такие посты. Для тех кто сам писать не хочет, может взять уже готовые материалы в интернете. Но если у вас дзен уровень зашкаливает, то вы не будете писать настройку сами, а возьмёте материалы в интернете и сделаете ревью, впоследствии внеся небольшие правки под себя.