docker上に構築したZabbixのauditログに127.0.0.1から大量にFailed loginが出る件

オフィシャルdockerイメージでzabbixを構築した後に、大量に以下画面のような「Failed login」が出力されました。dockerイメージの10秒おきの死活監視がログに出ているだけなのですが、初めて見ると「何処か不正アクセス受けている?」となるので、以下は「Failed」の文言を取るだけのお内容です。

ログを見ると・・・・dockerの死活監視が原因で、guestアカウントをデフォルトで無効化している為に出力されていました。

docker logs -f zabbix-docker_zabbix-web-nginx-mysql_1

127.0.0.1 - - [06/May/2022:10:06:06 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:06:16 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:06:27 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:06:38 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:06:48 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:06:58 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:07:08 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:07:19 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:07:29 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:07:39 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:07:50 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:08:01 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:08:11 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:08:22 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:08:32 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:08:42 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:08:52 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:09:03 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:09:13 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:09:23 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:09:35 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:09:45 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:09:55 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:10:06 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:10:16 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:10:26 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:10:38 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"
127.0.0.1 - - [06/May/2022:10:10:48 +0900] "GET / HTTP/1.1" 200 3942 "-" "curl/7.68.0" "-"

Users>guestから、GroupsのGuestsを削除(×ボタンを押して保存)することで、「Failed login」が「Login」になりました。なお「No Access to the frontend」も設定しました。

guestユーザーの無効化を解除した状態であれば、「Failed login」が「Login」にはなりました。

上記設定で、ゲストでzabbixへログインしようとすると「GUIアクセスが無効になっています。」となるので、イントラネット下でアクセス可能な人が確実に限定されているのであればこのままでも良いかと思います。

反対に、インターネットにさらしていて、不特定多数がログイン可能な場合には、guestアカウント有効で運用するのは危険なので、やめた方が良いと思います。(よくある脆弱性で、ログインした後の各種部品がAjaxアクセスしていた部分が、実は認証を行っておらず、guestでも取れたり、設定出来たりする等のバグが残っていたら怖いですから)

バグではない些細な問題なのかもしれませんが、1分間に6回であれば、1日当たり、6回/分×60×24=8640回/日のDB書き込みです。SSDへデータを書き込んでいる都合上、出来るだけ書き込みは減らしたいところでもある為、出来れば改善して欲しい問題ではあります。

タグ , . ブックマークする パーマリンク.

docker上に構築したZabbixのauditログに127.0.0.1から大量にFailed loginが出る件 への1件のフィードバック

  1. 匿名 の発言:

    こんにちは

    Ubuntu20.04 + Zabbix6.0の環境だと「Guests」を削除ではなく「Disabled」を削除しないとログインできないようです。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください