Bug 57478

Summary: Небезопасная зависимость от zabbix-agent-sudo
Product: Branch p11 Reporter: Nikolay <khromoy>
Component: zabbix-agentAssignee: Alexei Takaseev <taf>
Status: CLOSED NOTABUG QA Contact: qa-p11 <qa-p11>
Severity: critical    
Priority: P5 CC: aen, amakeenk, antohami, rider, safiulinalr, sem, zerg
Version: unspecified   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 46625    

Description Nikolay 2026-01-13 15:40:57 MSK
Зачем включена зависимость от zabbix-agent-sudo? Просьба отключить принудительную зависимость, которая вызывает потенциальную угрозу.
Comment 1 Sergey V Turchin 2026-01-13 16:09:25 MSK
Это не только принудительная зависимость, но и принудительное форсирование небезопасной настройки sudo.
Comment 2 Repository Robot 2026-03-20 19:35:29 MSK
zabbix-1:7.0.24-alt0.p11.1 -> p11:

Thu Mar 19 2026 Alexei Takaseev <taf@altlinux> 1:7.0.24-alt0.p11.1
- 7.0.24 (Fixes: CVE-2026-23925)
- Remove Requires: zabbix-agent-sudo in zabbix-agent and zabbix-agent2 (ALT #57478)
Comment 3 Sergey V Turchin 2026-03-23 11:16:08 MSK
Т.е. функциональность zabbix-agent при этом не страдает, я правильно понял?
* Если так, то zabbix-agent-sudo _нужно_ вообще удалить с такой настройкой.
* Если функциональность нарушается, то баг остаётся. Лишь "принудительно" превращается в "добровольно-принудительно".
Comment 4 Alexei Takaseev 2026-03-23 12:09:24 MSK
(Ответ для Sergey V Turchin на комментарий #3)
> Т.е. функциональность zabbix-agent при этом не страдает, я правильно понял?
> * Если так, то zabbix-agent-sudo _нужно_ вообще удалить с такой настройкой.
> * Если функциональность нарушается, то баг остаётся. Лишь "принудительно"
> превращается в "добровольно-принудительно".

Если релиз-менеджер решил что наличие этого пакета в дистрибутиве это небезопасно, это его решение, наличие же этой настройки на локальной машине это решение владельца этой системы.
Comment 5 Sergey V Turchin 2026-03-23 14:38:27 MSK
Я задавал вопрос в comment#3 , чтобы разобраться, конкретно понять суть и выяснить, существует проблема вообще.

Вы не мой вопрос не ответили. Судя по вашему посту я пока вижу явную попытку сокрыть проблему в безопасности путём перекладывания на некомпетентного пользователя. Может, вы хотя бы поделитесь деталями, почему необходимо именно такое решение?
Comment 6 Alexei Takaseev 2026-03-23 14:47:10 MSK
(Ответ для Sergey V Turchin на комментарий #5)
> Я задавал вопрос в comment#3 , чтобы разобраться, конкретно понять суть и
> выяснить, существует проблема вообще.
> 
> Вы не мой вопрос не ответили. Судя по вашему посту я пока вижу явную попытку
> сокрыть проблему в безопасности путём перекладывания на некомпетентного
> пользователя. Может, вы хотя бы поделитесь деталями, почему необходимо
> именно такое решение?

Подробности тут: https://www.zabbix.com/documentation/current/en/manual/config/notifications/action/operation/remote_command
Comment 7 Anton Farygin 2026-03-23 14:49:55 MSK
 1 zabbix ALL = (root) NOPASSWD:  ALL

ну я понимаю что авторы zabbix так советуют, но конечно лучше хотя бы закомментировать такую строчку.
Comment 8 Alexei Takaseev 2026-03-23 14:51:18 MSK
(Ответ для Anton Farygin на комментарий #7)
>  1 zabbix ALL = (root) NOPASSWD:  ALL
> 
> ну я понимаю что авторы zabbix так советуют, но конечно лучше хотя бы
> закомментировать такую строчку.

Зачем, если пакет теперь по зависимости не вытягивается.
Comment 9 Sergey V Turchin 2026-03-23 16:13:23 MSK
(Ответ для Alexei Takaseev на комментарий #6)
> https://www.zabbix.com/documentation/current/en/manual/config/notifications/
> action/operation/remote_command
Там написано, что так делать нужно только если пользователю плевать на безопасность.
Там написано, как сделать более правильно. Почему у вас не сделано более правильно?
Насколько я понял, вы теперь перекладываете проблему на пользователя и из коробки что-то не будет работать?

(Ответ для Alexei Takaseev на комментарий #8)
> Зачем, если пакет теперь по зависимости не вытягивается.
В идеале нужно, чтобы такой гадости у нас ни в пакетах ни в документации не было вообще.
Comment 10 Sergey V Turchin 2026-03-23 16:15:22 MSK
Задам конкретный вопрос: что из коробки теперь не будет работать без пакета zabbix-agent-sudo?
Comment 11 Alexei Takaseev 2026-03-23 16:19:09 MSK
Не будут работать опрос пользовательских метрик, для получения которых требуется повышение привилегий до root'а (к примеру опрос SMART носителей), так же не будет работать в режиме агента active выполнение команд, которые требуют для себя привелегий рута (по ссылке пример с перезапуском сервера http)
Comment 12 Sergey V Turchin 2026-03-23 16:39:56 MSK
(Ответ для Alexei Takaseev на комментарий #11)
> по ссылке пример с перезапуском сервера http
Именно там и написан специально пример, как совсем полное Г не делать.
Следовательно, zabbix-agent-sudo надо исправить, убрав оттуда
zabbix ALL = (root) NOPASSWD:  ALL
и вписав туда:
* одного пользователя, с правами которого работает zabbix-agent
* конкретные программы, а не всё подряд
Comment 13 Alexei Takaseev 2026-03-23 16:49:59 MSK
(Ответ для Sergey V Turchin на комментарий #12)
> (Ответ для Alexei Takaseev на комментарий #11)
> > по ссылке пример с перезапуском сервера http
> Именно там и написан специально пример, как совсем полное Г не делать.
> Следовательно, zabbix-agent-sudo надо исправить, убрав оттуда
> zabbix ALL = (root) NOPASSWD:  ALL
> и вписав туда:
> * одного пользователя, с правами которого работает zabbix-agent
> * конкретные программы, а не всё подряд

Соответственно пользователь сделает все эти настройки самостоятельно, не ставя пакет. Пакет поставит тот, кому он нужен.
Comment 14 Sergey V Turchin 2026-03-23 17:12:44 MSK
(Ответ для Alexei Takaseev на комментарий #13)
> Соответственно пользователь сделает все эти настройки самостоятельно, не
> ставя пакет. Пакет поставит тот, кому он нужен.
Такой пакет никому не нужен. Следовательно, его необходимо удалить из репозиториев.
Comment 15 Alexei Takaseev 2026-03-23 17:16:14 MSK
За всех говорить и решать не нужно.
Comment 16 Sergey V Turchin 2026-03-23 17:34:48 MSK
(Ответ для Alexei Takaseev на комментарий #15)
> За всех говорить и решать не нужно.
Вот и не решайте. Уберите эту настройку из пакета.

Пакет zabbix-agent входит в дистрибутивы на базе p11, следовательно, блокирует #46625 .
Или вы пытаетесь сокрыть проблему и от подписчиков #46625 ?

P.S.
При таком отношении я выкину этот пакет из Рабочей станции К. И переложу проблему при помощи вас на пользователя, т.к. придётся.
Comment 17 Alexei Takaseev 2026-03-23 17:41:12 MSK
(Ответ для Sergey V Turchin на комментарий #16)
> (Ответ для Alexei Takaseev на комментарий #15)
> > За всех говорить и решать не нужно.
> Вот и не решайте. Уберите эту настройку из пакета.
> 
> Пакет zabbix-agent входит в дистрибутивы на базе p11, следовательно,
> блокирует #46625 .
> Или вы пытаетесь сокрыть проблему и от подписчиков #46625 ?
> 
> P.S.
> При таком отношении я выкину этот пакет из Рабочей станции К. И переложу
> проблему при помощи вас на пользователя, т.к. придётся.

Это ваше решение.
Comment 18 Sergey V Turchin 2026-03-23 18:36:07 MSK
(Ответ для Alexei Takaseev на комментарий #17)
> Это ваше решение.
Да. Мусор включать в дистрибутив по возможности не хотелось бы.
Comment 19 Alexei Takaseev 2026-03-23 19:01:40 MSK
(Ответ для Sergey V Turchin на комментарий #18)
> (Ответ для Alexei Takaseev на комментарий #17)
> > Это ваше решение.
> Да. Мусор включать в дистрибутив по возможности не хотелось бы.

Все верно, не подключенный к серверу агент это не более чем мусор. Когда же действительно есть необходимость в агенте, администратор сам примет решение о его установке без оглядки на желание левой пятки кого-либо.
Comment 20 Sergey V Turchin 2026-03-23 19:51:39 MSK
(Ответ для Alexei Takaseev на комментарий #19)
> администратор сам примет решение
> о его установке без оглядки на желание левой пятки кого-либо.
А зачем вы в этой цепочке? Чтобы нагадить администратору?
Comment 21 Sergey V Turchin 2026-03-23 19:57:07 MSK
В общем, я главную цель достиг -- показал отношение к проблеме. Всех проинформировал, дальше решайте сами.
Comment 22 Sergey V Turchin 2026-03-24 09:24:53 MSK
Пакет всё ещё в дистрибутивах.