ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Небезопасная зависимость от zabbix-agent-sudo | ||
|---|---|---|---|
| Product: | Branch p11 | Reporter: | Nikolay <khromoy> |
| Component: | zabbix-agent | Assignee: | Alexei Takaseev <taf> |
| Status: | CLOSED NOTABUG | QA Contact: | qa-p11 <qa-p11> |
| Severity: | critical | ||
| Priority: | P5 | CC: | aen, amakeenk, antohami, rider, safiulinalr, sem, zerg |
| Version: | unspecified | ||
| Hardware: | all | ||
| OS: | Linux | ||
| Bug Depends on: | |||
| Bug Blocks: | 46625 | ||
|
Description
Nikolay
2026-01-13 15:40:57 MSK
Это не только принудительная зависимость, но и принудительное форсирование небезопасной настройки sudo. zabbix-1:7.0.24-alt0.p11.1 -> p11: Thu Mar 19 2026 Alexei Takaseev <taf@altlinux> 1:7.0.24-alt0.p11.1 - 7.0.24 (Fixes: CVE-2026-23925) - Remove Requires: zabbix-agent-sudo in zabbix-agent and zabbix-agent2 (ALT #57478) Т.е. функциональность zabbix-agent при этом не страдает, я правильно понял? * Если так, то zabbix-agent-sudo _нужно_ вообще удалить с такой настройкой. * Если функциональность нарушается, то баг остаётся. Лишь "принудительно" превращается в "добровольно-принудительно". (Ответ для Sergey V Turchin на комментарий #3) > Т.е. функциональность zabbix-agent при этом не страдает, я правильно понял? > * Если так, то zabbix-agent-sudo _нужно_ вообще удалить с такой настройкой. > * Если функциональность нарушается, то баг остаётся. Лишь "принудительно" > превращается в "добровольно-принудительно". Если релиз-менеджер решил что наличие этого пакета в дистрибутиве это небезопасно, это его решение, наличие же этой настройки на локальной машине это решение владельца этой системы. Я задавал вопрос в comment#3 , чтобы разобраться, конкретно понять суть и выяснить, существует проблема вообще. Вы не мой вопрос не ответили. Судя по вашему посту я пока вижу явную попытку сокрыть проблему в безопасности путём перекладывания на некомпетентного пользователя. Может, вы хотя бы поделитесь деталями, почему необходимо именно такое решение? (Ответ для Sergey V Turchin на комментарий #5) > Я задавал вопрос в comment#3 , чтобы разобраться, конкретно понять суть и > выяснить, существует проблема вообще. > > Вы не мой вопрос не ответили. Судя по вашему посту я пока вижу явную попытку > сокрыть проблему в безопасности путём перекладывания на некомпетентного > пользователя. Может, вы хотя бы поделитесь деталями, почему необходимо > именно такое решение? Подробности тут: https://www.zabbix.com/documentation/current/en/manual/config/notifications/action/operation/remote_command 1 zabbix ALL = (root) NOPASSWD: ALL ну я понимаю что авторы zabbix так советуют, но конечно лучше хотя бы закомментировать такую строчку. (Ответ для Anton Farygin на комментарий #7) > 1 zabbix ALL = (root) NOPASSWD: ALL > > ну я понимаю что авторы zabbix так советуют, но конечно лучше хотя бы > закомментировать такую строчку. Зачем, если пакет теперь по зависимости не вытягивается. (Ответ для Alexei Takaseev на комментарий #6) > https://www.zabbix.com/documentation/current/en/manual/config/notifications/ > action/operation/remote_command Там написано, что так делать нужно только если пользователю плевать на безопасность. Там написано, как сделать более правильно. Почему у вас не сделано более правильно? Насколько я понял, вы теперь перекладываете проблему на пользователя и из коробки что-то не будет работать? (Ответ для Alexei Takaseev на комментарий #8) > Зачем, если пакет теперь по зависимости не вытягивается. В идеале нужно, чтобы такой гадости у нас ни в пакетах ни в документации не было вообще. Задам конкретный вопрос: что из коробки теперь не будет работать без пакета zabbix-agent-sudo? Не будут работать опрос пользовательских метрик, для получения которых требуется повышение привилегий до root'а (к примеру опрос SMART носителей), так же не будет работать в режиме агента active выполнение команд, которые требуют для себя привелегий рута (по ссылке пример с перезапуском сервера http) (Ответ для Alexei Takaseev на комментарий #11) > по ссылке пример с перезапуском сервера http Именно там и написан специально пример, как совсем полное Г не делать. Следовательно, zabbix-agent-sudo надо исправить, убрав оттуда zabbix ALL = (root) NOPASSWD: ALL и вписав туда: * одного пользователя, с правами которого работает zabbix-agent * конкретные программы, а не всё подряд (Ответ для Sergey V Turchin на комментарий #12) > (Ответ для Alexei Takaseev на комментарий #11) > > по ссылке пример с перезапуском сервера http > Именно там и написан специально пример, как совсем полное Г не делать. > Следовательно, zabbix-agent-sudo надо исправить, убрав оттуда > zabbix ALL = (root) NOPASSWD: ALL > и вписав туда: > * одного пользователя, с правами которого работает zabbix-agent > * конкретные программы, а не всё подряд Соответственно пользователь сделает все эти настройки самостоятельно, не ставя пакет. Пакет поставит тот, кому он нужен. (Ответ для Alexei Takaseev на комментарий #13) > Соответственно пользователь сделает все эти настройки самостоятельно, не > ставя пакет. Пакет поставит тот, кому он нужен. Такой пакет никому не нужен. Следовательно, его необходимо удалить из репозиториев. За всех говорить и решать не нужно. (Ответ для Alexei Takaseev на комментарий #15) > За всех говорить и решать не нужно. Вот и не решайте. Уберите эту настройку из пакета. Пакет zabbix-agent входит в дистрибутивы на базе p11, следовательно, блокирует #46625 . Или вы пытаетесь сокрыть проблему и от подписчиков #46625 ? P.S. При таком отношении я выкину этот пакет из Рабочей станции К. И переложу проблему при помощи вас на пользователя, т.к. придётся. (Ответ для Sergey V Turchin на комментарий #16) > (Ответ для Alexei Takaseev на комментарий #15) > > За всех говорить и решать не нужно. > Вот и не решайте. Уберите эту настройку из пакета. > > Пакет zabbix-agent входит в дистрибутивы на базе p11, следовательно, > блокирует #46625 . > Или вы пытаетесь сокрыть проблему и от подписчиков #46625 ? > > P.S. > При таком отношении я выкину этот пакет из Рабочей станции К. И переложу > проблему при помощи вас на пользователя, т.к. придётся. Это ваше решение. (Ответ для Alexei Takaseev на комментарий #17) > Это ваше решение. Да. Мусор включать в дистрибутив по возможности не хотелось бы. (Ответ для Sergey V Turchin на комментарий #18) > (Ответ для Alexei Takaseev на комментарий #17) > > Это ваше решение. > Да. Мусор включать в дистрибутив по возможности не хотелось бы. Все верно, не подключенный к серверу агент это не более чем мусор. Когда же действительно есть необходимость в агенте, администратор сам примет решение о его установке без оглядки на желание левой пятки кого-либо. (Ответ для Alexei Takaseev на комментарий #19) > администратор сам примет решение > о его установке без оглядки на желание левой пятки кого-либо. А зачем вы в этой цепочке? Чтобы нагадить администратору? В общем, я главную цель достиг -- показал отношение к проблеме. Всех проинформировал, дальше решайте сами. Пакет всё ещё в дистрибутивах. |
