Automatizované bezpečné předávání dat mezi linuxovými servery

[Filip Jirsák]

K řešení ssh s klíčem (neprivilegovaný uživatel) - některé příkazy potřebují práva roota.

Klíčem se můžete přihlásit i na roota. A jak už pal Franta, ke konkrétnímu klíči můžete nastavit příkaz, který se po přihlášení tím klíčem spustí. Takže můžete nastavit, aby se s příslušným klíčem spustil jenom skript, který posbírá potřebná data, a nic jiného s tím klíčem nepůjde udělat. Bezpečnější by ale bylo dělat to opačně, tj. na počítači posbírat data a pak je odeslat někam ven.

[Reklama]

[JardaP .]

Klíčem se můžete přihlásit i na roota.

Jo, pokud chcete mit v SSH povoleno prihlasovani na roota, coz je ponekud v rozporu z predchozimi doporucenimi pouzit neprivilegovaneho uzivatele. Mozna, ze kdyz to beha v LAN, tak by se to dalo skousnout, ale pres Internet bych to nechtel.

[Youda]

SW ktery hledate se jmenuje Zabbix.

Sber dat na jednotlivych serverech bud pomoci Zabbix agenta s SSL konektivitou. - ten primo podporuje metriky typu CPU load, diskspace.
Podporuje i discovery mount pointu.

A pokud Zabbix agent je nepruchozi, Zabbix server dovede monitorovat i agentless pres SSH ci SNMPv3, JMX, IPMI.

[Youda]

SW ktery hledate se jmenuje Zabbix.

Sber dat na jednotlivych serverech bud pomoci Zabbix agenta s SSL konektivitou. - ten primo podporuje metriky typu CPU load, diskspace.
Podporuje i discovery mount pointu.

A pokud Zabbix agent je nepruchozi, Zabbix server dovede monitorovat i agentless pres SSH ci SNMPv3, JMX, IPMI.

Apropos, osobne doporucuju tuto Zabbix konfiguraci:
 - nechat Puppet rozinstalovat Zabbix agenty a jejich custom skripty a nakonfigurovat je, at se hlasi na centralni Zabbix server via SSL
 - na Zabbix serveru nakonfigurovat autodiscovery, ktere automaticky zalozi host pro nove prihlaseny Zabbix agent
 - na zaklade typu serveru (predpokladam, ze mate urcite skupiny podobnych serveru - zjisteno via Zabbix sever) automaticky aplikovat monitorovaci template

Pak si este nastavit notifikaci na unsupported metriky a hotovo.

Tenhle system bude fungovat plne automaticky

[Filip Jirsák]

Jo, pokud chcete mit v SSH povoleno prihlasovani na roota, coz je ponekud v rozporu z predchozimi doporucenimi pouzit neprivilegovaneho uzivatele.

Ano, vždyť jsem to také psal – lepší je údaje sbírat lokálně (to může dělat root, když je potřeba) a pak je pomocí neprivilegovaného účtu poslat na sběrný server. Tohle byla jen poznámka, že pokud to chce dělat tím svým způsobem, nic nebrání tomu přihlašovat se na roota s klíčem (naopak bych se na roota nepřihlašoval heslem). Navíc je možné s konkrétním klíčem svázat konkrétní příkaz, takže se dá docela dobře zabezpečit, co může vlastník toho klíče dělat (je to takové sudo, které má mnohem méně nečekaných vedlejších efektů).

Mozna, ze kdyz to beha v LAN, tak by se to dalo skousnout, ale pres Internet bych to nechtel.

Na přihlašování pod rootem není nic divného nebo nebezpečného. Nebezpečné je přihlašování slabým heslem, ale na to existuje jednoduchý lék – přihlašování heslem úplně zakázat.

[Reklama]

[JardaP .]

Na přihlašování pod rootem není nic divného nebo nebezpečného. Nebezpečné je přihlašování slabým heslem, ale na to existuje jednoduchý lék – přihlašování heslem úplně zakázat.

Jo, za predpokladu, ze v autentikaci SSH neni nejaka dosud neznama chyba. Krome toho neni tak spatne, kdyz se kazdy prihlasi na svuj neprivilegovany ucet a pak da su, aby v logu bylo videt, kdo tam v kterou dobu lezl. Kdyz se neco posere a nekdo pak jede pres pul zemekoule zmacknout tlacitko reset, tak se aspon vi, koho za to nakopat.

[Jenda]

Krome toho neni tak spatne, kdyz se kazdy prihlasi na svuj neprivilegovany ucet a pak da su, aby v logu bylo videt, kdo tam v kterou dobu lezl.

sshd loguje, který klíč byl použit pro přihlášení.

[JardaP .]

sshd loguje, který klíč byl použit pro přihlášení.

Ano, pokud pouzijete zminene klice a ne uzivatele s heslem. To pak vite starou belu. Navic musite klice dukladne evidovat, abyste vedel, koho servat.

[Pavko]

Děkuji všem za názory. Líbí se mi možnost přihlašování klíčem s omezením příkazu - nicméně se mi moc nelíbí případná změna skriptu, ale to by asi šlo naskriptovat z centrálního serveru také, ne? SNMPv3 se mi také líbí, ale potřebuji detailnější výstup, nejen hodnoty. Myslím, že by se data sbírala 1x za den, vyzkouším a dám vědět, Pavko.

[Youda]

Děkuji všem za názory. Líbí se mi možnost přihlašování klíčem s omezením příkazu - nicméně se mi moc nelíbí případná změna skriptu, ale to by asi šlo naskriptovat z centrálního serveru také, ne? SNMPv3 se mi také líbí, ale potřebuji detailnější výstup, nejen hodnoty. Myslím, že by se data sbírala 1x za den, vyzkouším a dám vědět, Pavko.

OMG, nez zacnes znovuvynalezat kolo, podivej se, co je to Zabbix a Puppet.
Zrovna sber metrik skriptem pres SSH je dira jak prase. Protoze pres to SSH spustis i cokoliv jineho.
Zabbix agent umi to samy, je na sber metrik delany.

A ani neni potreba Zabbix server, Zabbix agent se da doptavat JSON callem a pak to strkat spanembohem do zadele.

[Filip Jirsák]

Jo, za predpokladu, ze v autentikaci SSH neni nejaka dosud neznama chyba.

Což ale platí i o používání su nebo sudo. A obecně zabezpečit počítač proti lokálnímu útočníkovi je řádově složitější, než zabezpečit ho proti vzdálenému útočníkovi.

Krome toho neni tak spatne, kdyz se kazdy prihlasi na svuj neprivilegovany ucet a pak da su, aby v logu bylo videt, kdo tam v kterou dobu lezl. Kdyz se neco posere a nekdo pak jede pres pul zemekoule zmacknout tlacitko reset, tak se aspon vi, koho za to nakopat.

Stejně tak je v logu vidět, kterým klíčem se někdo přihlásil. Použití su nepřináší v tomhle případě žádnou přidanou hodnotu.

Ano, pokud pouzijete zminene klice a ne uzivatele s heslem.

To je podle mne základní bezpečnostní požadavek. Nechápu, že někdo komplikuje přihlašování su a řeší evidenci konkrétního přihlášeného uživatele, a přitom nechá uživatele přihlašovat se heslem.

Navic musite klice dukladne evidovat

Stejně důkladně, jako evidujete přihlašovací jména.

[nobody(ten pravej)]

OMG, nez zacnes znovuvynalezat kolo, podivej se, co je to Zabbix a Puppet.

OMG, zkus se zamyslet nad tim, ze by treba tazatel chtel vytvorit vlastni reseni... at jiz proto ze to chce mit plne pod kontrolou, nebo proto aby se tim neco naucil...

[MP]

OMG, nez zacnes znovuvynalezat kolo, podivej se, co je to Zabbix a Puppet.

OMG, zkus se zamyslet nad tim, ze by treba tazatel chtel vytvorit vlastni reseni... at jiz proto ze to chce mit plne pod kontrolou, nebo proto aby se tim neco naucil...

Tak to je hezky, ale kdyz ani netusi, ze takove nastroje existuji, jak funguji push/pull metody apod., tak tezko bude jeho vysledek pouzitelny.

[Ondra Satai Nekola]

OMG, nez zacnes znovuvynalezat kolo, podivej se, co je to Zabbix a Puppet.

OMG, zkus se zamyslet nad tim, ze by treba tazatel chtel vytvorit vlastni reseni... at jiz proto ze to chce mit plne pod kontrolou, nebo proto aby se tim neco naucil...

Ja tam ctu to NIH.
Pokud to bere jako treningovou zalezitost, tak by to mozna mohl zduraznit. Protoze reseni cviceni a reseni realneho problemu jsou v tomhle pripade dost ruzne veci.

[Pavko]

Jedná se o řešení reálného problému. Na vlastním řešení netrvám, jen mám rád jednoduché věci, ty fungují spolehlivě. Zkusím ten Zabbix/Puppet, ale není mi jasné, jak dostanu ta data do databáze.