Esecuzione senza privilegi dell'agente Linux

Con Directory for Checkmk agent puoi specificare la directory di installazione:

Tutti i file del pacchetto agente vengono installati in questa directory invece che in directory come /etc/, /usr/lib/ o /var/lib/. Per motivi di sicurezza, non selezionare alcuna directory nella home directory di un utente.

Per Solaris e AIX hai finito. Per Linux, puoi anche specificare l'esecuzione senza privilegi.

Dopo aver selezionato Customize user, sono disponibili due opzioni di base per l'agente Linux:

I valori predefiniti Run agent as root, set agent controller user e cmk-agent as user specificano esattamente il comportamento predefinito dell'agente Checkmk per Linux, anche senza configurare questa regola, in modo che l'Agent Controller venga eseguito sotto cmk-agent e lo script dell'agente sotto root. La novità, tuttavia, è l'opzione di specificare un utente diverso come cmk-agent.

La seconda opzione è Run agent as non-root, set agent user. Questo specifica che, oltre all'Agent Controller, anche lo script dell'agente verrà eseguito con l'utente specificato, ovvero entrambi senza privilegi.

Puoi anche assegnare ID numerici all'utente (UID) e al gruppo (GID). Tieni conto delle convenzioni della tua distribuzione Linux e di eventuali limitazioni esistenti dei file system utilizzati.

L'ultima opzione determina se l'utente selezionato in questa regola debba essere creato qualora non esista già.

Per i plug-in dell'agente, la regola Plug-ins, local checks and MRPE for non-root users ti consente di specificare individualmente gli utenti che eseguono operazioni su directory specifiche. Ciò ti permette di eseguire i plug-in in cartelle specifiche con ID utente non privilegiati o come root. Questa regola genera una configurazione dell'agente che viene installata automaticamente. Di seguito descriviamo ulteriori configurazioni sull'host.

Abbiamo aggiunto una funzione wrapper per lo script dell'agente, che antepone "sudo" ai comandi che generalmente richiedono privilegi di alto livello. Questo riguarda in Checkmk 2.4.0 mdadm (per leggere lo stato di vari RAID software e unità crittografate), mailq (per leggere la coda delle email dell'MTA postfix) e gli script per il monitoraggio dei siti Checkmk.

Puoi trovare esempi di configurazioni per sudo nella directory di installazione dell'agente, nella sottocartella default/package/agent/checkmk_agent_sudoers_template. Puoi trasferire le righe necessarie nel tuo /etc/sudoers o copiare l'intero file in /etc/sudoers.d (sconsigliato). Modifica le voci di conseguenza. Ad esempio, in alcuni casi non sono necessari i permessi di superutente per leggere la coda delle email e puoi usare l'ID utente con cui viene eseguito l'MTA.

Per l'esecuzione dei plug-in dell'agente, ti consigliamo di garantire l'accesso alle informazioni necessarie tramite permessi sui file, assegnazioni di gruppo o liste di controllo degli accessi. Il seguente elenco mostra i metodi possibili:

Se un plug-in dell'agente richiede i privilegi di root per funzionare, hai le seguenti opzioni:

Quando utilizzi i pacchetti TGZ forniti in formato .tar.gz, devi assicurarti che i permessi siano concessi correttamente dopo l'installazione. Usa come guida un'installazione di esempio che hai effettuato su Linux con la gestione dei pacchetti.

Se l'Agent Controller non può o non deve essere utilizzato, sono possibili sia la chiamata non crittografata tramite (x)inetd sia la chiamata crittografata tramite secure shell. Sono necessarie piccole modifiche rispetto alla chiamata con permessi di root.