https://www.opennet.dev/openforum/vsluhforumID3/108830.html В обновлениях системы мониторинга Zabbix 2.2.14 и 3.0.4 (http://www.zabbix.com/) устранена уязвимость (http://seclists.org/fulldisclosure/2016/Aug/60), позволяющая выполнить SQL-код в СУБД и добиться выполнения произвольных команд на сервере и отслеживаемых хостах. В частности, через SQL-запрос можно получить права администратора Zabbix, который в зависимости от конфигурации может выполнять команды на хостах, отслеживаемых в Zabbix. Проблема вызвана (https://support.zabbix.com/browse/ZBX-11023) недостаточной проверкой допустимых значений параметра toggle_ids при обращении к странице latest.php. Атака возможна со стороны аутентифицированного пользователя или при включении гостевого входа без пароля.<br><br><br> <br> <br><br>URL: http://seclists.org/fulldisclosure/2016/Aug/60<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=44962<br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#36 Wed, 17 Aug 2016 03:31:01 GMT Это Поллер Zabbix'a за тебя решил.<br><br>Частая ошибка Заббистов, в том что они вначале пробуют мониторинг на слабом железе,<br>и Там где Nagios\Icinga2 начинают задыхаться - Zabbix адаптируеться. Итого Zabbix - победиль!<br><br>Дело в том что Icinga2 ( nagios лучше таки выкидывать ) - как то все равно на твое железо.<br>Указал ты ей, например, мониторить раз в секунду 500 хостов, где у каждого 500 метрик, - она и будет запускать их каждую секунду. Т.е. 500*500=250000 в секунду. Ну а справиться ли? Зависит от железа. Сервер может вообще зависнуть к х*.<br><br>Хотим офигенный мониторинг, покупаем для него офигенное железо.<br><br>Про всякие там триггреры, где "на одном хосте то, на другом это - непорядок" - пишем в Graphite. ( Icinga2 + Graphite ) Ну а для graphite много приложений умеющих работать с его базой разными функциями и оповещать заодно.<br><br>В целом, сравнивать zabbix и icinga2, тоже самое как сравнивать США и Советский Союз в период разгара холодной войны.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#34 Tue, 16 Aug 2016 09:27:45 GMT &gt; Вброс или не вброс, но кушайте сами. Меня Zabbix устраивает вполне. <br><br>Устраивает - пользуйтесь. <br><br>&gt;В Nagios после правки конфига нужно перезапускать весь сервер.<br><br>А вот гнать чушь про ПО, которым вы не пользуетесь - не надо.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#33 Tue, 16 Aug 2016 08:50:26 GMT Честно говоря, я не понимаю о ком вы. Разработчики Zabbix нигде не делают alter table add column. Разве что при миграции на новую версию.<br><br>Иногда структуру базы данных бывает нужно менять. И довольно часто делать это нужно над имеющимися данными, а не экспортом и реимпортом в новую структуру. Так что DDL плохому танцору мешают, а хорошему - нет. Не нравится - учётную запись можно ограничить так, чтобы никаких alter table. Чтобы учётная запись могла только select, insert, update и delete.<br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#32 Tue, 16 Aug 2016 07:38:42 GMT Очень даже не плохо. Панель сделана в духе Windows 7-10. Только непорадовало, что нет индикации, что приложение запущено.<br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#31 Mon, 15 Aug 2016 11:38:22 GMT &gt; Что ни придумают, лишь бы Nagios не пользоваться( <br><br>Чет я не находил, чтобы nagios мог получать 500 новых значений в секунду.<br>А вот zabbix с таким спокойно справляется.<br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#30 Mon, 15 Aug 2016 09:54:50 GMT заббикс имеет такой дикий говнокод в фронтэнде на пхп, что волосы под мышками становятся дыбом. Этот невинный баг баловство. Там и покруче вещи накопать можно, если нужно.<br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#29 Mon, 15 Aug 2016 09:35:57 GMT Я посмотрел на эту уязвимость. Не знаю, почему, но у меня на 2.4.0 выдаёт такую ошибку:<br>Error in query [INSERT INTO profiles (profileid, userid, idx, value_int, type, idx2) VALUES (800800175701336, 1001000000000075, 'web.latest.toggle', '1', 2, 1);select * from users (1=1)] [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select * from users (1=1)' at line 1]<br><br>Ну то есть этот дописанный сбоку запрос не выполняется. Пробовал что-нибудь придумать, как этим воспользоваться. Вставить вместо числа результат из подзапроса, например, или какой-нибудь union изобразить. Ничего не придумал. Может быть фантазия бедная, но сдаётся мне, что проблема преувеличена.<br><br>На 3.0.0 выдаёт:<br>Zabbix получил некорректный запрос.<br>Детали<br>Операция не может быть выполнена из-за несанкционированного запроса.<br>Операция не может быть выполнена из-за несанкционированного запроса.<br>Операция не может быть выполнена из-за несанкционированного запроса. https://www.opennet.dev/openforum/vsluhforumID3/108830.html#28 Mon, 15 Aug 2016 09:32:32 GMT Вброс или не вброс, но кушайте сами. Меня Zabbix устраивает вполне. В "ём" есть сложные выражения для триггеров, графики, оповещения, действия, API, разграничение доступа. Ядро умеет очень много. В Nagios что ни надо замониторить, всё внешним плагином делается, который может только сказать хорошо или плохо сейчас. Предыдущее состояние в плагине взять неоткуда. Попробуйте в вашем нагиосе сделать триггер "если среднее значение на хосте A за сутки больше, чем 10% от среднего значения на хосте Б за час, то проблема". Своё хранилище придётся придумывать для хранения данных предыдущих опросов.<br> https://www.opennet.dev/openforum/vsluhforumID3/108830.html#27 Mon, 15 Aug 2016 09:29:57 GMT SQL умеет столько, сколько нужно для работы с множествами. А что большинство ниасиляторов использует РСУБД в качестве индексированого кеша - это проблемы ниасиляторов.<br><br>Хотя, казалось бы, достаточно сделать прослоечку из хранимых процыдурок, которую и отдавать наружу в пхп, но нет же, непременно нужно лезть в часы хлебным ножом. <br>