Ejecución sin privilegios del agente de Linux

Con Directory for Checkmk agent puedes especificar el directorio de instalación:

Todos los archivos del paquete del agente se instalan en este directorio en lugar de en directorios como /etc/, /usr/lib/ o /var/lib/. Por motivos de seguridad, no selecciones ningún directorio dentro del directorio de inicio de un usuario.

En Solaris y AIX ya has terminado. En Linux, también puedes especificar la ejecución sin privilegios.

Hay dos opciones básicas disponibles para el agente de Linux tras seleccionar «Customize user»:

Los valores predeterminados «Run agent as root, set agent controller user» y «cmk-agent» como usuario especifican exactamente el comportamiento predeterminado del agente de Checkmk para Linux, incluso sin configurar esta regla, de modo que el controlador del agente se ejecutará como «cmk-agent» y el script del agente como «root». Sin embargo, la novedad es la opción de especificar un usuario diferente como «cmk-agent».

La segunda opción es Run agent as non-root, set agent user. Esto especifica que, además del controlador del agente, el script del agente también se ejecutará bajo el usuario especificado, es decir, ambos carecen de privilegios.

También puedes asignar ID numéricos al usuario (UID) y al grupo (GID). Ten en cuenta las convenciones de tu distribución de Linux y cualquier limitación existente de los sistemas de archivos utilizados.

La última opción determina si el usuario seleccionado en esta regla debe crearse si aún no existe.

Para los complementos de agente, la regla Plug-ins, local checks and MRPE for non-root users te permite especificar individualmente los usuarios ejecutantes para directorios específicos. Esto te permite ejecutar complementos en carpetas específicas con otros ID de usuario sin privilegios o como root. Esta regla genera una configuración de agente que se instala automáticamente. A continuación describimos la configuración adicional en el host.

Hemos añadido una función envolventa para el script del agente, que antepone «sudo» a los comandos que suelen requerir privilegios de alto nivel. Esto afecta en Checkmk a 2.4.0, mdadm (para leer el estado de varios RAID de software y unidades cifradas), mailq (para leer la cola de correo del MTA Postfix) y a los scripts para supervisar sitios de Checkmk.

Puedes encontrar ejemplos de configuraciones para sudo en el directorio de instalación del agente, dentro de la subcarpeta default/package/agent/checkmk_agent_sudoers_template. Puedes copiar las líneas necesarias a tu /etc/sudoers o copiar todo el archivo a /etc/sudoers.d (no recomendado). Ajusta las entradas según corresponda. Por ejemplo, en algunos casos no se necesitan permisos de superusuario para leer la cola de correo electrónico y se puede usar el ID de usuario con el que se ejecuta el MTA.

Para la ejecución de complementos de agente, te recomendamos garantizar el acceso a la información necesaria mediante permisos de archivo, asignaciones de grupos o listas de control de acceso. La siguiente lista muestra los métodos posibles:

Si un complemento de agente requiere privilegios de root para ejecutarse, tienes las siguientes opciones:

Si utilizas los paquetes TGZ proporcionados en formato .tar.gz, debes asegurarte de que los permisos se conceden correctamente tras la instalación. Utiliza como guía una instalación de ejemplo que hayas realizado en Linux con gestión de paquetes.

Si no se puede o no se debe utilizar el controlador de agente, es posible tanto la llamada sin cifrar a través de (x)inetd como la llamada cifrada a través de Secure Shell. Se requieren modificaciones menores en comparación con la llamada con permisos de root.