系统脚本添加功能未做限制,导致可添加任意命令并执行。
1、登录系统后,在“管理-脚本”功能添加test脚本。
2、脚本内容为任意的系统命令,如读取系统用户管理文件命令cat /etc/passwd。
3、在“监测-主机”选中任意主机,执行test脚本。
4、回显执行结果,打印出用户管理文件。
5、添加脚本“whoami”查看当前用户,执行如下:
6.问题
是否可以限制输入的脚本命令获取相关数据。
我这里的目的是,禁止前端通过执行这样的脚本指令获取相关数据,
不然很容易通过前端获取我服务器的数据。
之前尝试过限制agent检查:
https://www.zabbix.com/documentation/5.0/zh/manual/config/items/restrict_checks
没成功,看是否有人指导一下