ich würde gerne wissen, ob es eine Möglichkeit gibt, den Check_mk Agent mithilfe der check_mk.ini abzusichern.
So das man dort vorgeben kann, welche Checks erlaubt sind.
Ebenfalls würde ich es gerne so umsetzten. Das auch die Lokalchecks, welch ausgeführt werden dürfen, in der Check_mk.ini vorgegeben werden und das diese ihren Status als Parameter von der ini vorgegeben bekommen in Form eines Alias Eintrags.
In Nagios gibt es eine solche Möglichkeit der Beschränkung über die NsClinet.ini, aber ich hab im Handbuch von Check_mk nichts Derartiges finden können.
Vielleicht hat von euch wer damit Erfahrung oder eine Idee, wie man hier vorgehen kann?
Grüße,
Petra
Hallo Petra,
es gibt einige Möglichkeiten den Agenten zu konfigurieren. Hierzu solltest du dir mal die example INI ansehen.Das einfachste ist aber, bestimmte checks via Regel zu entfernen.
Víele Grüße,
Christian
Hallo,
der wichtigste Eintrag wäre den Agent nur auf bestimmte IP-Adressen reagieren zu lassen.
Zum Thema Sicherheit gibt es aber auch ältere Videos von früheren Konferenzen.
Dies kann ab Version 1.6 erfolgen. Das dort bentutzte YAML Configfile biete wesentlich mehr Möglichkeiten als die 1.5 INI Datei.
Das wiederum ist nicht so einfach machbar. Hier ist es immer notwendig, dass die lokal laufenden Scripte irgend eine Art von Config Datei selbst einlesen um Parameter zu bekommen.
Achtung hier gibt es sehr grundlegenden Unterschied zwischen NsClient und CMK Client. Der NsClient nimmt Befehle von außerhalb an und führt diese aus. Deshalb ist es dort notwendig zu definieren was er überhaupt machen darf. Dies führt ganz schnell zu Security Problemen.
Beim CMK Client wird halt nur automatisch ausgeführt was auch lokal definiert ist (Ich nehme hier mal die Enterprise Bakery raus). Damit gilt um etwas anderes ausführen zu lassen brauche ich lokalen Admin Zugriff auf dem Zielgerät.
Im Endeffekt gilt was auch schon @ChristianM und @kdeutsch geschrieben haben was dann wirklich ausgeführt wird, wird in der ini/yml Datei definiert. Hierbei ist die ab 1.6 benutzte yml Datei wesentlich mächtiger wie die alte ini. Ausgeführt wird immer alles was in dieser Datei definiert ist. Falls die Plugins Konfigurationen haben sollen so sind diese am besten in eigenen Config Dateien zu verwalten (siehe mssql.vbs Script und mk_oracle.ps1).
Unter Windows sollte möglichst kein MRPE verwendet werden da dies aus leidlicher Erfahrung ein ein Pain in the A… ist
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.
