Nagios User können checks deaktivieren ?!

Rund um die Sicherheit des Systems und die Applikationen
floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Nagios User können checks deaktivieren ?!

Post by floschi » 2003-02-18 17:56

Moin !

Ich setze gerade wieder mal nagios (http://www.nagios.org) zum Monitoring auf. Funzzt auch alles wichtige soweit ganz gut, aber:

Ich habe die externen Kommandos aktiviert. Der Masteruser kann und sieht logischweise alles, aber ein weniger priviligierter User sieht nur die Hosts und Services, für die er als contact eingetragen ist. Logisch.

Aber dieser User kann für "seine" Dienste auch sämtliche erlaubten Kommandos ausführen, d.h. die Checks deaktivieren, neu planen, usw.

Und genau das möchte ich nicht. Gibt's da noch etwas, was ich übersehen habe? Aber es scheint wohl nicht anders zu gehen... :(


Grüßle

Olfi ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Nagios User können checks deaktivieren ?!

Post by captaincrunch » 2003-02-18 20:25

Ich hab die Config gerade nicht zur Hand, aber über die $NAGIOSDIR/etc/cgi.cfg kannst du die Berechtigungen für sämtliche User einstellen. Auf dem Rechner in der Firma klappt das verdammt gut, schlimmstenfalls kann ich dir da morgen erst genaueres drüber sagen ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

tobias111
Posts: 78
Joined: 2002-12-02 20:19

Re: Nagios User können checks deaktivieren ?!

Post by tobias111 » 2003-02-18 22:15

hallo olfi,
muss man shcon sperren können, versuch das von dir geschilderte verhalten mal auf der demo-site auszuprobieren, da kriegst du eine fehlermeldung mit "insufficent rights"

http://nagios.square-box.com/

user: guest, pass: guest

grüße
to

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Nagios User können checks deaktivieren ?!

Post by captaincrunch » 2003-02-19 08:49

Schau dir mal die cgi.cfg an. Da gibt's die Direktiven

authorized_for_all_services=
und
authorized_for_all_hosts=

Damit kannst du arbeiten (sofern ich das ganze richtig verstanden habe).
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Nagios User können checks deaktivieren ?!

Post by floschi » 2003-02-19 12:28

genau dort steht nur der Name des Masterusers, der das sehen soll. Der andere kann aber definitiv das anwenden... :(

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Nagios User können checks deaktivieren ?!

Post by captaincrunch » 2003-02-19 13:47

Code: Select all

# By default, users can only issue commands for hosts or services
# that they are contacts for (unless you you choose to not use
# authorization).
Hab ich gerade mal gesehen. Wenn du den User also als Kontaktperson angegeben hast, darf er auch die Service bedienen.
Ich schau aber tortdem auch noch mal weiter ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Nagios User können checks deaktivieren ?!

Post by floschi » 2003-02-19 17:07

Tja, genau das hatte ich eben auch gelesen :(

Ich habe den als Kontakt eingetragen, ja. Ansonsten würde er ja genau diese Dienste auch nicht sehen können...

Evtl. könnte es gehen, indem ich in das .../var/rw noch eine .htaccess lege, die nur die berechtigten User reinlässt - ist aber ein etwas umständlicher Weg.


Grüßle

Olfi ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Nagios User können checks deaktivieren ?!

Post by captaincrunch » 2003-02-19 21:33

Ich habe den als Kontakt eingetragen, ja. Ansonsten würde er ja genau diese Dienste auch nicht sehen können...
Ich schick dir morgen früh mal ein paar Config-Files, wo das ganze so gelöst ist, dass du als "normaler" User nur sämtliche Dienste sehen, aber nichts mit ihnen anstellen kannst ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Nagios User können checks deaktivieren ?!

Post by floschi » 2003-02-20 12:09

CaptainCrunch wrote:Ich schick dir morgen früh mal ein paar Config-Files, wo das ganze so gelöst ist, dass du als "normaler" User nur sämtliche Dienste sehen, aber nichts mit ihnen anstellen kannst ...
Prima ;) Hoffentlich versteh ich das dann auch :lol:

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Nagios User können checks deaktivieren ?!

Post by captaincrunch » 2003-02-20 13:01

Ich fürchte, ich hatte dich (mal wieder) falsch verstanden ... :oops:

Meine Config hier sieht einfach folgendermaßen aus :
Ich habe einen User, der sich ausschließlich alles anschauen kann, sämtliche contacts benutze ich nur für die ausgehenden Mails.

Sieht also ein bisschen anders aus als dein Setup, und ich weiß nicht, ob du das wirklich so machen willst ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Nagios User können checks deaktivieren ?!

Post by floschi » 2003-02-21 11:38

;)

Ich bräuchte wirklich etwas differenzierte Usergruppen usw. :(