Exécution sans privilèges de l'agent Linux

Avec Directory for Checkmk agent, vous pouvez spécifier le répertoire d'installation :

Tous les fichiers du package de l’agent sont installés dans ce répertoire plutôt que dans des répertoires tels que /etc/, /usr/lib/ ou /var/lib/. Pour des raisons de sécurité, ne sélectionnez aucun répertoire situé dans le répertoire personnel d’un utilisateur.

Pour Solaris et AIX, vous avez terminé. Pour Linux, vous pouvez également spécifier une exécution sans privilèges.

Deux options de base sont disponibles pour l'agent Linux après avoir sélectionné « Customize user » :

Les valeurs par défaut « Run agent as root, set agent controller user » et « cmk-agent as user » définissent exactement le comportement par défaut de l’agent Checkmk pour Linux, même sans configurer cette règle, de sorte que l’Agent Controller sera exécuté sous « cmk-agent » et le script de l’agent sous « root ». La nouveauté réside toutefois dans la possibilité de spécifier un utilisateur différent comme « cmk-agent ».

La deuxième option est Run agent as non-root, set agent user. Cela spécifie qu’en plus de l’Agent Controller, le script de l’agent sera également exécuté sous l’utilisateur spécifié — c’est-à-dire que les deux sont sans privilèges.

Vous pouvez également attribuer des identifiants numériques à l'utilisateur (UID) et au groupe (GID). Veuillez tenir compte des conventions de votre distribution Linux et des éventuelles limitations des systèmes de fichiers utilisés.

La dernière option détermine si l'utilisateur sélectionné dans cette règle doit être créé s'il n'existe pas encore.

Pour les plug-ins d'agent, la règle Plug-ins, local checks and MRPE for non-root users vous permet de spécifier individuellement les utilisateurs chargés de l'exécution pour des répertoires spécifiques. Cela vous permet d'exécuter des plug-ins dans des dossiers spécifiques sous d'autres identifiants d'utilisateurs non privilégiés ou en tant que root. Cette règle génère une configuration d'agent qui est installée automatiquement. Nous décrivons ci-dessous la configuration supplémentaire sur l'hôte.

Nous avons ajouté une fonction wrapper pour le script de l'agent, qui préfixe les commandes nécessitant généralement des privilèges de haut niveau avec « sudo ». Cela concerne, dans Checkmk, 2.4.0 mdadm (pour lire l'état de divers RAID logiciels et disques chiffrés), mailq (pour lire la file d'attente des e-mails du MTA Postfix), ainsi que les scripts de surveillance des sites Checkmk.

Vous trouverez des exemples de configuration pour sudo dans le répertoire d'installation de l'agent, dans le sous-dossier default/package/agent/checkmk_agent_sudoers_template. Vous pouvez transférer les lignes requises vers votre fichier /etc/sudoers ou copier l'intégralité du fichier vers /etc/sudoers.d (non recommandé). Adaptez les entrées en conséquence. Par exemple, dans certains cas, aucune autorisation de superutilisateur n'est requise pour lire la file d'attente des e-mails et l'ID utilisateur sous lequel le MTA est exécuté peut être utilisé.

Pour l'exécution des plug-ins d'agent, nous vous recommandons de garantir l'accès aux informations requises via les permissions de fichiers, les affectations de groupes ou les listes de contrôle d'accès. La liste suivante présente les méthodes possibles :

Si un plug-in d'agent nécessite des privilèges root pour s'exécuter, vous disposez des options suivantes :

Lorsque vous utilisez les paquets TGZ fournis au format « .tar.gz », vous devez vous assurer que les autorisations sont correctement attribuées après l'installation. Servez-vous d'un exemple d'installation que vous avez effectuée sous Linux avec un gestionnaire de paquets comme guide.

Si l'Agent Controller ne peut pas ou ne doit pas être utilisé, l'appel non chiffré via (x)inetd ou l'appel chiffré via Secure Shell sont tous deux possibles. Des modifications mineures sont nécessaires par rapport à l'appel avec les droits root.