Nagios User können checks deaktivieren ?!

[floschi]

Moin !

Ich setze gerade wieder mal nagios (http://www.nagios.org) zum Monitoring auf. Funzzt auch alles wichtige soweit ganz gut, aber:

Ich habe die externen Kommandos aktiviert. Der Masteruser kann und sieht logischweise alles, aber ein weniger priviligierter User sieht nur die Hosts und Services, für die er als contact eingetragen ist. Logisch.

Aber dieser User kann für "seine" Dienste auch sämtliche erlaubten Kommandos ausführen, d.h. die Checks deaktivieren, neu planen, usw.

Und genau das möchte ich nicht. Gibt's da noch etwas, was ich übersehen habe? Aber es scheint wohl nicht anders zu gehen... :(


Grüßle

Olfi ;)

[captaincrunch]

Ich hab die Config gerade nicht zur Hand, aber über die $NAGIOSDIR/etc/cgi.cfg kannst du die Berechtigungen für sämtliche User einstellen. Auf dem Rechner in der Firma klappt das verdammt gut, schlimmstenfalls kann ich dir da morgen erst genaueres drüber sagen ...

[tobias111]

hallo olfi,
muss man shcon sperren können, versuch das von dir geschilderte verhalten mal auf der demo-site auszuprobieren, da kriegst du eine fehlermeldung mit "insufficent rights"

http://nagios.square-box.com/

user: guest, pass: guest

grüße
to

[captaincrunch]

Schau dir mal die cgi.cfg an. Da gibt's die Direktiven

authorized_for_all_services=
und
authorized_for_all_hosts=

Damit kannst du arbeiten (sofern ich das ganze richtig verstanden habe).

[floschi]

genau dort steht nur der Name des Masterusers, der das sehen soll. Der andere kann aber definitiv das anwenden... :(

[captaincrunch]

Code: Select all

# By default, users can only issue commands for hosts or services
# that they are contacts for (unless you you choose to not use
# authorization).

Hab ich gerade mal gesehen. Wenn du den User also als Kontaktperson angegeben hast, darf er auch die Service bedienen.
Ich schau aber tortdem auch noch mal weiter ...

[floschi]

Tja, genau das hatte ich eben auch gelesen :(

Ich habe den als Kontakt eingetragen, ja. Ansonsten würde er ja genau diese Dienste auch nicht sehen können...

Evtl. könnte es gehen, indem ich in das .../var/rw noch eine .htaccess lege, die nur die berechtigten User reinlässt - ist aber ein etwas umständlicher Weg.


Grüßle

Olfi ;)

[captaincrunch]

Ich habe den als Kontakt eingetragen, ja. Ansonsten würde er ja genau diese Dienste auch nicht sehen können...

Ich schick dir morgen früh mal ein paar Config-Files, wo das ganze so gelöst ist, dass du als "normaler" User nur sämtliche Dienste sehen, aber nichts mit ihnen anstellen kannst ...

[floschi]

Ich schick dir morgen früh mal ein paar Config-Files, wo das ganze so gelöst ist, dass du als "normaler" User nur sämtliche Dienste sehen, aber nichts mit ihnen anstellen kannst ...

Prima ;) Hoffentlich versteh ich das dann auch :lol:

[captaincrunch]

Ich fürchte, ich hatte dich (mal wieder) falsch verstanden ... :oops:

Meine Config hier sieht einfach folgendermaßen aus :
Ich habe einen User, der sich ausschließlich alles anschauen kann, sämtliche contacts benutze ich nur für die ausgehenden Mails.

Sieht also ein bisschen anders aus als dein Setup, und ich weiß nicht, ob du das wirklich so machen willst ...

[floschi]

Nö ;)

Ich bräuchte wirklich etwas differenzierte Usergruppen usw. :(