iT邦幫忙

2021 iThome 鐵人賽

DAY 25
0
Security

監控大挑戰 - 以 Zabbix 為例系列 第 25

Day 25. Zabbix 實際報警案例分享 - 帳號資料被異動

Hi 大家,我的技術分享已經告一個段落了,會以一天一個案例跟大家分享,不過相對外面企業應該是小巫見大巫 XD

其實原本標題是要下 密碼被調整啦 XD,但是為了製造這警報去改密碼,才恍然大悟,把書還老師了,密碼是存在 /etc/shadow ,哭笑不得。

那我們先介紹 /etc/passswd 是拿來紀錄使用者帳務資訊的,其實我有對一半啦(硬柪),早期是真的紀錄在 /etc/passwd ,但因這個檔案每人都能讀,所以演變成移到 只有 root 能看的 /etc/shadow。

離題啦,警報訊息是 Problem: /etc/passwd has been changed ,意思就是帳號資料被調整了。

發生這個原因:

  • 第一種情境,當開始實施管理制度時,只要新建帳號就被發現了,瞭解原因後,原來是當遇到問題,要請學長姐幫忙看問題就會建帳號,所以建立新規矩,建帳號要在共同群組告知。(PS. 後記是怕跳警報,所以偷渡了共用帳號 [翻白眼] ,當然發現後也被禁止了...)
  • 第二種情境,安裝服務的時候會自動新增使用者,zabbix 本身就會了, mysql 也會自動建帳號 ,所以也都會跳警報。

總之 跳警報 只要釐清原因,把問題排除就可以了唷~ (警報只是提醒,不代表真的有問題。)

設定的位置
Template Module Linux generic by Zabbix agent -> APPLICATIONS -> Security ->Checksum of /etc/passwd

揭曉謎底 只要有異動內容 checksum 出來的值就不一樣了。
科普 https://zh.wikipedia.org/wiki/%E6%A0%A1%E9%AA%8C%E5%92%8C (網際網路概論應該都有上過吧)

如果怕密碼被改 也可以 clone 改成 /etc/shadow

內容如有介紹不周的地方,再麻煩大家提點,感激不盡。
同步發表 行雲部落格 再麻煩大家多多指教 謝謝
行雲者研發基地官網 粉絲專頁


上一篇
Day 24. Zabbix 通知設定 - Webhook - Telegram
下一篇
Day 26. Zabbix 實際報警案例分享 - 機器服務被關機
系列文
監控大挑戰 - 以 Zabbix 為例30

尚未有邦友留言

立即登入留言