Day 25. Zabbix 实际报警案例分享 - 帐号资料被异动

Hi 大家，我的技术分享已经告一个段落了，会以一天一个案例跟大家分享，不过相对外面企业应该是小巫见大巫 XD

其实原本标题是要下 密码被调整啦 XD，但是为了制造这警报去改密码，才恍然大悟，把书还老师了，密码是存在 /etc/shadow ，哭笑不得。

那我们先介绍 /etc/passswd 是拿来纪录使用者帐务资讯的，其实我有对一半啦(硬柪)，早期是真的纪录在 /etc/passwd ，但因这个档案每人都能读，所以演变成移到 只有 root 能看的 /etc/shadow。

离题啦，警报讯息是 Problem: /etc/passwd has been changed ，意思就是帐号资料被调整了。

发生这个原因：

• 第一种情境，当开始实施管理制度时，只要新建帐号就被发现了，了解原因後，原来是当遇到问题，要请学长姐帮忙看问题就会建帐号，所以建立新规矩，建帐号要在共同群组告知。(PS. 後记是怕跳警报，所以偷渡了共用帐号 [翻白眼] ，当然发现後也被禁止了...)
• 第二种情境，安装服务的时候会自动新增使用者，zabbix 本身就会了， mysql 也会自动建帐号 ，所以也都会跳警报。

总之 跳警报 只要厘清原因，把问题排除就可以了唷～ (警报只是提醒，不代表真的有问题。)

设定的位置
Template Module Linux generic by Zabbix agent -> APPLICATIONS -> Security ->Checksum of /etc/passwd

揭晓谜底 只要有异动内容 checksum 出来的值就不一样了。
科普 https://zh.wikipedia.org/wiki/%E6%A0%A1%E9%AA%8C%E5%92%8C （网际网路概论应该都有上过吧）

如果怕密码被改 也可以 clone 改成 /etc/shadow

内容如有介绍不周的地方，再麻烦大家提点，感激不尽。
同步发表 行云部落格 再麻烦大家多多指教 谢谢
行云者研发基地官网 粉丝专页