Documentation

Esta es una traducción de la página de documentación original en español. Ayúdanos a mejorarla.
1 Estructura manual
2 Qué es Zabbix
3 Características de Zabbix
4 Descripción general de Zabbix
5 Novedades de Zabbix 6.0.0
6 Novedades de Zabbix 6.0.1
7 Novedades de Zabbix 6.0.2
8 Novedades de Zabbix 6.0.3
9 Novedades de Zabbix 6.0.4
10 Novedades de Zabbix 6.0.5
11 Novedades de Zabbix 6.0.6
12 Novedades de Zabbix 6.0.7
13 Novedades de Zabbix 6.0.8
14 Novedades de Zabbix 6.0.9
15 Novedades de Zabbix 6.0.10
16 Novedades de Zabbix 6.0.11
17 Novedades de Zabbix 6.0.12
18 Novedades de Zabbix 6.0.13
19 Novedades de Zabbix 6.0.14
20 Novedades de Zabbix 6.0.15
21 Novedades de Zabbix 6.0.16
22 Novedades de Zabbix 6.0.17
23 Novedades de Zabbix 6.0.18
24 Novedades de Zabbix 6.0.19
25 Novedades de Zabbix 6.0.20
26 Novedades de Zabbix 6.0.21
27 Novedades de Zabbix 6.0.22
28 Novedades de Zabbix 6.0.23
29 Novedades de Zabbix 6.0.24
30 Novedades de Zabbix 6.0.25
31 Novedades de Zabbix 6.0.26
32 Novedades de Zabbix 6.0.27
33 What's new in Zabbix 6.0.28
34 What's new in Zabbix 6.0.29
35 What's new in Zabbix 6.0.30
2 Definiciones
1 Clúster de alta disponibilidad
2 Agente
3 Agente 2
4 Proxy
1 Configuración desde fuentes
2 Configuración desde paquetes RHEL
3 Configuración desde paquetes Debian/Ubuntu
6 Remitente
7 Obtener
8 JS
9 Servicio web
1 Obtener Zabbix
1 Dependencias del complemento PostgreSQL
2 Dependencias del complemento MongoDB
2 Mejores prácticas para la configuración segura de Zabbix
1 Compilando el agente Zabbix en Windows
2 Compilando Zabbix agent 2 en Windows
3 Compilando el agente Zabbix en macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Servidor empresarial Linux
4 Instalación del agente Windows desde MSI
5 Instalación del agente de Mac OS desde PKG
6 Versiones inestables
5 Instalación desde contenedores
1 instalación de la interfaz en Debian/Ubuntu
1 Actualizar desde las fuentes
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
1 Problemas de compilación
9 Cambios en las plantillas
10 Notas de actualización para 6.0.0
11 Notas de actualización para 6.0.1
12 Notas de actualización para 6.0.2
13 Notas de actualización para 6.0.3
14 Notas de actualización para 6.0.4
15 Notas de actualización para 6.0.5
16 Notas de actualización para 6.0.6
17 Notas de actualización para 6.0.7
18 Notas de actualización para 6.0.8
19 Notas de actualización para 6.0.9
21 Notas de actualización para 6.0.11
22 Notas de actualización para 6.0.10
22 Notas de actualización para 6.0.12
23 Notas de actualización para 6.0.13
24 Notas de actualización para 6.0.14
25 Notas de actualización para 6.0.15
26 Notas de actualización para 6.0.16
27 Notas de actualización para 6.0.17
28 Notas de actualización para 6.0.18
29 Notas de actualización para 6.0.19
30 Notas de actualización para 6.0.20
31 Notas de actualización para 6.0.21
32 Notas de actualización para 6.0.22
33 Notas de actualización para 6.0.23
34 Notas de actualización para 6.0.24
35 Notas de actualización para 6.0.25
36 Notas de actualización para 6.0.26
37 Notas de actualización para 6.0.27
38 Notas de actualización para 6.0.28
39 Notas de actualización para 6.0.29
1 Iniciar sesión y configurar usuario
2 Nuevo equipo
3 Nueva métrica
4 Nuevo iniciador
5 Recibir notificaciones de problemas
6 Nueva plantilla
6. Zabbix Appliance
1 Configuración de un equipo
2 Inventario
3 Actualización masiva
1 Formato de clave de métrica
2 Intervalos personalizados
1 Ejemplos de uso
2 Detalles de preprocesamiento
1 Escapar caracteres especiales de valores de macro LLD en JSONPath
1 Objetos JavaScript adicionales
5 Preprocesamiento de CSV a JSON
1 Claves de métrica específicas para el agente 2
2 Claves de métricas específicas de Windows
1 Índices dinámicos
2 OID especiales
3 Archivos MIB
3 Capturador SNMP
4 Comprobaciones de IPMI
1 Claves de métricas de monitoreo de VMware
6 Monitoreo de archivos de registro
1 Cálculos agregados
8 Comprobaciones internas
9 Comprobaciones SSH
10 Comprobaciones de Telnet
11 Comprobaciones externas
12 Métricas de captura
13 Monitoreando JMX
1 Configuración recomendada de UnixODBC para MySQL
2 Configuración recomendada de UnixODBC para PostgreSQL
3 Configuración recomendada de UnixODBC para Oracle
4 Configuración recomendada de UnixODBC para MSSQL
15 elementos dependientes
16 Agente HTTP
17 Revisiones Prometheus
18 Métricas scripts
4 Historial y tendencias
1 Ampliación de agentes de Zabbix
6 Módulos cargables
7 Contadores de rendimiento de Windows
8 Actualización masiva
9 Mapeo de valores
10 Cola
11 Caché de valores
12 Ejecutar ahora
13 Controles de agentes restrictivos
1 Creación de complementos cargables
1 Configurando un iniciador
2 Expresión de activación
3 Dependencias del iniciador
4 Gravedad del iniciador
5 Personalización de la gravedad de los iniciadores
6 Actualización masiva
7 Funciones predictivas de iniciador
1 Generación de eventos de iniciador
2 Otras fuentes de eventos
3 Cierre manual de problemas
1 Correlación de eventos basada en iniciadores
2 Correlación de eventos globales
6 Etiquetado
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad-hoc
4 Agregación en gráficas
1 Configurando un mapa de red
2 Elementos de grupo de equipos
3 Indicadores de enlace
3 Tableros
4 Tableros de equipo
1 Configurando una plantilla
2 Vincular/desvincular
3 Anidamiento
4 Actualización masiva
1 Funcionamiento de plantillas de agente Zabbix
2 Funcionamiento de plantillas del agente 2 de Zabbix
3 Funcionamiento de plantillas HTTP
4 Funcionamiento de plantillas IPMI
5 Funcionamiento de plantillas JMX
6 Funcionamiento de plantillas ODBC
7 Plantillas estandarizadas para dispositivos de red
1 Correo electrónico
2 SMS
3 Scripts de alerta personalizados
1 Ejemplos de script de webhook
1 Condiciones
1 Enviando mensaje
2 Comandos remotos
3 Operaciones adicionales
4 Usar macros en los mensajes
3 Operaciones de recuperación
4 Operaciones de actualización
5 Escaladas
3 Recibir notificación sobre elementos no admitidos
1 Funciones macro
2 Macros de usuario
3 Macros de usuario con contexto
4 Macros de descubrimiento de bajo nivel
5 Macros de expresión
1 Configurar un usuario
2 Permisos
3 Grupos de usuarios
13 Almacenamiento de secretos
14 Informes programados
1 Árbol de servicios
2 Acciones de servicio
3 Acuerdo de Nivel de Servicio
4 Ejemplo de configuración
1 Métricas de monitoreo web
2 Escenario de la vida real
1 Campos clave para el descubrimiento de máquinas virtuales
11 Mantenimiento
12 Expresiones regulares
13. Reconocimiento del problema
1 Grupos de equipos
2 Plantillas
3 Equipos
4 Mapas de red
5 Tipos de medios
1 Configurar una regla de descubrimiento de red
2 Autorregistro de agente activo
1 Item prototypes
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Notas sobre el descubrimiento de bajo nivel
1 Descubrimiento de sistemas de archivos montados
2 Descubrimiento de interfaces de red
3 Descubrimiento de CPU y núcleos de CPU
4 Descubrimiento de OID SNMP
5 Descubrimiento de objetos JMX
6 Descubrimiento de sensores IPMI
7 Descubrimiento de los servicios systemd
8 Descubrimiento de los servicios de Windows
9 Descubrimiento de instancias de contadores de rendimiento de Windows
10 Descubrimiento mediante consultas WMI
11 Descubrimiento mediante consultas SQL ODBC
12 Descubrimiento utilizando datos de Prometheus
13 Descubrimiento de dispositivos de bloque
14 Descubrimiento de interfaces de equipos en Zabbix
6 Reglas LLD personalizadas
1 Proxies
1 Usando certificados
2 Usando claves precompartidas
1 Problemas de tipo de conexión o permisos
2 Problemas con el certificado
3 Problemas de PSK
1 Menú
1 Registro de acciones
2 Reloj
3 Resumen de datos
4 Estado de descubrimiento
5 Gráficos favoritos
6 Mapas favoritos
7 Geomapa
8 Gráficos
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Disponibilidad del equipo
12 Valor de la métrica
13 Mapa
14 Árbol de navegación del mapa
15 Texto sin formato
16 Equipos con problemas
17 Problemas
18 Problemas por gravedad
19 Informe SLA
20 Información del sistema
21 Equipos principales
22 Vista general de iniciadores
23 URL
24 Monitoreo web
2 Problemas
1 Gráficos
2 Escenarios web
4 Últimos datos
5 Mapas
6 Descubrimiento
1 Servicios
2 Acciones de servicio
3 Acuerdo de Nivel de Servicio
4 Informe SLA
1 Información general
2 Equipos
1 Información del sistema
2 Informes programados
3 Informe de disponibilidad
4 Iniciadores top 100
5 Auditoría
6 Registro de acciones
7 Notificaciones
1 Grupos de equipos
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Escenarios web
1 Items
2 Iniciadores
3 Graphs
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Host prototypes
5 Escenarios web
4 Mantenimiento
5 Actions
6 Event correlation
7 Discovery
1 General
2 Proxies
3 Autenticación
4 User groups
5 User roles
6 Users
7 Tipos de medios
8 Scripts
9 Cola
1 Notificaciones globales
2 Sonido en navegadores
4 Búsqueda global
5 Modo de mantenimiento frontend
6 Parámetros de la página
7 Definiciones
8 Creando tu propio tema
9 Modo de depuración
10 Cookies utilizadas por Zabbix
11 Zonas horarias
12 Restablecer contraseña
> Objeto de acción
action.create
action.delete
action.get
action.update
> Objeto de configuración
settings.get
settings.update
> Objeto Alerta
alert.get
> Objeto de autenticación
authentication.get
authentication.update
configuration.export
configuration.import
configuration.importcompare
> Objeto de correlación
correlación.eliminar
correlation.create
correlation.get
correlation.update
> Objeto de escenario web
httptest.crear
httptest.eliminar
httptest.get
httptest.update
> Objeto de evento
event.acknowledge
event.get
> Objeto de expresión regular
regexp.create
regexp.delete
regexp.get
regexp.update
> Objeto de gráficas
graph.create
graph.delete
graph.get
graph.update
> Objeto de grupo de hosts
grupodehost.get
grupohost.massadd
hostgroup.create
hostgroup.delete
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Objeto de grupo de usuarios
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objeto de secuencia de comandos
script.actualizar
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
> Objeto de historial
history.clear
history.get
> Objeto de host
host.actualizar
host.create
host.eliminar
host.get
host.massadd
host.massremove
host.massupdate
> Objeto prototipo de host
hostprototype.delete
hostprototype.get
hostprototype.update
prototipodehost.crear
> Objeto de host reconocido
dhost.get
> Objeto Alerta
image.borrar
imagen.actualización
imagen.crear
imagen.obtener
apiinfo.version
> Objeto de informe
report.create
report.delete
report.get
report.update
> Objeto trigger
trigger.adddependencies
trigger.create
trigger.delete
trigger.eliminardependencias
trigger.get
trigger.update
> Objeto de interfaz de host
hostinterface.create
hostinterface.get
hostinterface.massadd
hostinterface.replacehostinterfaces
interfazdehost.deletar
interfazdehost.eliminarenmasa
interfazequipo.actualización
> Objeto de artículo
imagen.crear
item.actualización
item.eliminar
obtener.item
> Objeto de item gráfico
graphitem.get
> Objeto de limpieza
limpieza.actualización
limpieza.obtener
> Objeto de registro de auditoría
auditlog.get
> Objeto de macro de usuario
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objeto de mantenimiento
maintenance.create
maintenance.delete
maintenance.update
mantenimiento.obtener
> Objeto de mapa
map.create
map.delete
map.get
map.update
> Objeto de mapa de iconos
iconmap.delete
mapadeicono.crear
mapadeicono.obtener
mapadeiconos.actualización
> Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objeto de nodo de alta disponibilidad
hanode.get
> Objeto de template
template.crear
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Objeto de problema
problem.get
> Objeto prototipo de gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objeto prototipo de item
itemprototype.update
prototipodeitem.borrar
prototipodeitem.crear
prototipodeitem.obtener
> Objeto de prototipo de iniciador
prototipodetrigger.eliminar
triggerprototype.create
triggerprototype.get
triggerprototype.update
> Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objeto de autorregistro
autoregistration.get
autoregistration.update
> Objeto de regla de reconocimiento
drule.create
drule.delete
drule.get
drule.update
> objeto de regla LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objeto de rol
role.create
role.delete
role.get
role.update
> Objeto de servicio
service.create
service.delete
service.get
service.update
> Objeto de servicio reconocido
dservice.get
> Objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objeto del tablero
1 Action log
2 Reloj
3 Resumen de datos
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomapa
8 Gráficos
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Host availability
12 Valor de la métrica
13 Mapa
14 Árbol de navegación del mapa
15 Texto sin formato
16 Equipos con problemas
17 Problemas
18 Problemas por gravedad
19 Informe SLA
20 System information
21 Mejores anfitriones
22 Vista general de iniciadores
23 URL
24 Monitoreo web
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objeto de plantilla de tablero
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Task object
task.create
task.get
> Objeto de tendencia
trend.get
> Objeto de tipo de medio
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objeto token
token.create
token.delete
token.generate
token.get
token.update
> Objeto de usuario
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Objeto de verificación de descubrimiento
dcheck.get
Apéndice 1. Comentario de referencia
Apéndice 2. Cambios de 5.4 a 6.0
Cambios en la interfaz de programación de aplicaciones de Zabbix en 6.0
20 Módulos
1 Preguntas frecuentes y solución de problemas
1 Creación de base de datos
2 Reparar el juego de caracteres y collation de la base de datos Zabbix
3 Actualización de la base de datos a claves primarias
1 Configuración de cifrado en MySQL
2 Configuración de cifrado en PostgreSQL
5 Configuración de TimescaleDB
6 Configuración de Elasticsearch
7 Exportación en tiempo real de eventos, valores de métricas y tendencias
8 Notas específicas de la distribución sobre la configuración de Nginx para Zabbix
9 Ejecutar agente como root
10 Agente Zabbix en Microsoft Windows
11 Configuración de SAML con Okta
12 Configuración de la base de datos Oracle
13 Configurar informes programados
14 Idiomas de interfaz adicionales
1 Servidor Zabbix
2 Proxy de Zabbix
3 Agente Zabbix (UNIX)
4 Zabbix agente 2 (UNIX)
5 Agente Zabbix (Windows)
6 Agente Zabbix 2 (Windows)
1 Complemento de Ceph
2 Complemento Docker
3 Complemento Ember+
4 Complemento Memcached
5 Complemento Modbus
6 Complemento MongoDB
7 Complemento MQTT
8 Complemento MSSQL
9 Complemento MySQL
10 Complemento Oracle
11 Complemento PostgreSQL
12 Complemento Redis
13 Complemento Smart
8 Pasarela Zabbix Java
9 Servicio web Zabbix
10 Inclusión
1 Protocolo de intercambio de datos servidor-proxy
2 Protocolo del Zabbix agente
3 Protocolo del agente 2 de Zabbix
4 Protocolo del plugin Zabbix Agent 2
5 Protocolo de remitente Zabbix
6 Encabezado
7 Protocolo de exportación en tiempo real
1 Métricas soportadas por plataforma
2 Parámetros vm.memory.size
3 Comprobaciones pasivas y activas del agente
4 Métricas de captura
5 Nivel mínimo de permiso para métricas del agente de Windows
6 Codificación de valores devueltos
7 Compatibilidad con archivos grandes
8 Sensor
9 Notas sobre el parámetro memtype en las métricas proc.mem
10 Notas sobre la selección de procesos en las métricas proc.mem y proc.num
11 Detalles de implementación de las comprobaciones de net.tcp.service y net.udp.service
12 Configuración de interfaz de equipo inalcanzable/no disponible
13 Monitoreo remoto de las estadísticas de Zabbix
14 Configurando Kerberos con Zabbix
15 Parámetros modbus.get
16 Creación de nombres de contadores de rendimiento personalizados para VMware
1 Funciones Foreach
2 Funciones bit a bit
3 Funciones de fecha y hora
4 Funciones de historial
4 Funciones de predicción
5 Funciones de tendencia
6 Funciones matemáticas
7 Funciones de operador
9 Funciones de cadena
1 Macros compatibles
2 Macros de usuario soportadas por localización
8 Símbolos de unidad
9 Sintaxis del período de tiempo
10 Ejecución de comandos
11 Compatibilidad de versiones
12 Manejo de errores de la base de datos
13 Biblioteca de enlaces dinámicos de remitente de Zabbix para Windows
14 Biblioteca Python para API Zabbix
15 Actualización del monitoreo de servicios
16 Otros temas
17 Comparación entre agente y agente 2
18 Ejemplos de escape
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

2 Mejores prácticas para la configuración segura de Zabbix

Descripción general

Esta sección contiene las mejores prácticas que deben observarse para configurar Zabbix de forma segura.

Las prácticas aquí contenidas no son necesarias para el funcionamiento de Zabbix. Se recomiendan para una mejor seguridad del sistema.

Control de acceso

Principio del menor privilegio

El principio de mínimo privilegio debe ser utilizado en todo momento para Zabbix. Este principio significa que las cuentas de usuario (en el frontend de Zabbix) o proceso de usuario (para el servidor/proxy o agente de Zabbix) tienen sólo aquellos privilegios que son esenciales para realizar las funciones previstas. En otras palabras, las cuentas de usuario cuentas de usuario en todo momento deben ejecutarse con el menor número de privilegios posible.

Dando permisos extra al usuario 'zabbix' se permitirle acceder a los archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad general de la infraestructura.

Al implementar el principio de mínimo privilegio para las cuentas de usuario, Zabbix frontend user types debe tenerse en cuenta. Es importante entender que mientras un usuario "Admin" tiene menos privilegios que el tipo de usuario "Super Admin", tiene permisos administrativos que permiten gestionar la configuración y ejecutar scripts personalizados.

Cierta información está disponible incluso para los usuarios sin privilegios. Por ejemplo, mientras que AdministraciónScripts no está disponible para los que no son superadministradores, los propios scripts están disponibles para ser recuperados por utilizando la API de Zabbix. Limitar los permisos de los scripts y no añadir información sensible (como credenciales de acceso, etc.) debe ser utilizado para evitar la exposición de la información sensible disponible en los scripts globales.

Usuario seguro para el agente Zabbix

En la configuración por defecto, el servidor Zabbix y los procesos del agente Zabbix comparten un usuario 'zabbix'. Si desea asegurarse de que el agente no puede acceder a detalles sensibles en la configuración del servidor (por ejemplo, información de inicio de sesión de la base de datos base de datos), el agente debe ejecutarse como un usuario diferente:

    • Cree un usuario seguro
    • Especifique este usuario en el fichero [configuration
  • archivo](/manual/apéndice/config/zabbix_agentd) (parámetro 'User')
    • Reinicie el agente con privilegios de administrador. Los privilegios serán
  • se le quitarán al usuario especificado.

Codificación UTF-8

UTF-8 es la única codificación soportada por Zabbix. Se sabe que funciona sin ningún fallo de seguridad. Los usuarios deben ser conscientes de que hay problemas de seguridad si se utilizan algunas de las otras codificaciones.

Rutas del instalador de Windows

Al utilizar instaladores de Windows, se recomienda utilizar las rutas predeterminadas proporcionadas por el instalador, ya que el uso de rutas personalizadas sin los permisos adecuados podría comprometer la seguridad de la instalación.

Consejos de seguridad de Zabbix y base de datos CVE

Ver Zabbix Security Advisories and CVE database.

Configuración de SSL para la interfaz de Zabbix

En sistemas basados en RHEL, instale el paquete mod_ssl:

dnf install mod_ssl

Cree un directorio para claves SSL:

mkdir -p /etc/httpd/ssl/private
       chmod 700 /etc/httpd/ssl/private

Cree el certificado SSL:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/private/apache-selfsigned.key -out /etc/httpd/ssl/apache-selfsigned.crt

Complete las indicaciones adecuadamente. La línea más importante es la que solicita el Nombre común. Debe ingresar el nombre de dominio que desea asociar con su servidor. En su lugar, puede ingresar la dirección IP pública si no tiene un nombre de dominio.

Country Name (2 letter code) [XX]:
       State or Province Name (full name) []:
       Locality Name (eg, city) [Default City]:
       Organization Name (eg, company) [Default Company Ltd]:
       Organizational Unit Name (eg, section) []:
       Common Name (eg, your name or your server's hostname) []:example.com
       Email Address []:

Edite el archivo de configuración de Apache SSL (/etc/httpd/conf.d/ssl.conf):

DocumentRoot "/usr/share/zabbix"
       ServerName example.com:443
       SSLCertificateFile /etc/httpd/ssl/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/httpd/ssl/private/apache-selfsigned.key

Reinicie el servicio Apache para aplicar los cambios:

systemctl restart httpd.service

Refuerzo del servidor web

Habilitando Zabbix en el directorio raíz de la URL

En sistemas basados en RHEL, agregue un equipo virtual a la configuración de Apache (/etc/httpd/conf/httpd.conf) y establezca una redirección permanente para la raíz del documento a la URL SSL de Zabbix. Tenga en cuenta que example.com debe reemplazarse con el nombre real del servidor.

# Agregar líneas:
       
       <Host virtual *:*>
           ServerName example.com
           Redirect permanent / https://example.com
       </VirtualHost>

Reinicie el servicio Apache para aplicar los cambios:

systemctl restart httpd.service

Habilitación de la seguridad de transporte estricta HTTP (HSTS) en el servidor web

Para proteger la interfaz de Zabbix contra ataques de degradación de protocolo, recomendamos habilitar la política HSTS en el servidor web.

Para habilitar la política HSTS para su interfaz Zabbix en la configuración de Apache, siga estos pasos:

1. Localice el archivo de configuración de su host virtual:

  • /etc/httpd/conf/httpd.conf en sistemas basados en RHEL
  • /etc/apache2/sites-available/000-default.conf en Debian/Ubuntu

2. Agregue la siguiente directiva al archivo de configuración de su host virtual:

<Host virtual *:*>
           Header set Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

3. Reinicie el servicio Apache para aplicar los cambios:

# En sistemas basados en RHEL:
       systemctl restart httpd.service
       
       # En Debian/Ubuntu
       systemctl restart apache2.service

Enabling Content Security Policy (CSP) on the web server

To protect Zabbix frontend against Cross Site Scripting (XSS), data injection, and similar attacks, we recommend enabling Content Security Policy on the web server. To do so, configure the web server to return the HTTP header.

The following CSP header configuration is only for the default Zabbix frontend installation and for cases when all content originates from the site's domain (excluding subdomains). A different CSP header configuration may be required if you are, for example, configuring the URL widget to display content from the site's subdomains or external domains, switching from OpenStreetMap to another map engine, or adding external CSS or widgets.

To enable CSP for your Zabbix frontend in Apache configuration, follow these steps:

1. Locate your virtual host's configuration file:

  • /etc/httpd/conf/httpd.conf on RHEL-based systems
  • /etc/apache2/sites-available/000-default.conf on Debian/Ubuntu

2. Add the following directive to your virtual host's configuration file:

<VirtualHost *:*>
           Header set Content-Security-Policy: "default-src 'self' *.openstreetmap.org; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src 'self' data: *.openstreetmap.org; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self';"
       </VirtualHost>

3. Restart the Apache service to apply the changes:

# On RHEL-based systems:
       systemctl restart httpd.service
       
       # On Debian/Ubuntu
       systemctl restart apache2.service

Desactivar la exposición de la información del servidor web

Se recomienda deshabilitar todas las firmas del servidor web como parte del proceso de endurecimiento del servidor web. El servidor web expone el software firma por defecto:

La firma puede desactivarse añadiendo dos líneas al archivo de configuración de Apache (utilizado como ejemplo) archivo de configuración:

· ServerSignature Off · ServerTokens Prod

La firma de PHP (cabecera HTTP X-Powered-By) puede ser desactivada cambiando el archivo de configuración de archivo de configuración php.ini (la firma está desactivada por defecto):

· expose_php = Off

Es necesario reiniciar el servidor web para que los cambios en el archivo de configuración se apliquen.

Se puede conseguir un nivel de seguridad adicional utilizando el mod_security (paquete libapache2-mod-security2) con Apache. mod_security permite eliminar la firma del servidor en lugar de sólo eliminar la versión del servidor. La firma puede ser alterada a cualquier valor cambiando "SecServerSignature" a cualquier valor deseado después de instalar mod_security.

Por favor, consulte la documentación de su servidor web para encontrar ayuda sobre cómo eliminar/cambiar las firmas de software.

Desactivar las páginas de error del servidor web por defecto

Se recomienda deshabilitar las páginas de error por defecto para evitar la exposición de la información exposición. El servidor web utiliza páginas de error incorporadas por defecto:

Las páginas de error por defecto deben ser reemplazadas/eliminadas como parte del proceso de endurecimiento. La directiva "ErrorDocument" puede utilizarse para definir una página/texto de error personalizado para el servidor web Apache (utilizado como ejemplo).

Por favor, consulte la documentación de su servidor web para encontrar ayuda sobre cómo reemplazar/eliminar las páginas de error por defecto.

Eliminación de la página de prueba del servidor web

Se recomienda eliminar la página de prueba del servidor web para evitar la exposición de la información. Por defecto, el servidor webroot contiene una página de prueba de prueba llamada index.html (Apache2 en Ubuntu se utiliza como ejemplo):

La página de prueba debe ser eliminada o no debe estar disponible como parte del proceso de endurecimiento del servidor web.

Establecer encabezado de respuesta HTTP X-Frame-Options

De forma predeterminada, Zabbix está configurado con el encabezado HTTP X-Frame-Options establecido en SAMEORIGIN. Esto significa que el contenido solo se puede cargar en un marco que tiene el mismo origen que la propia página.

Los elementos de la interfaz de Zabbix que extraen contenido de URLs externas (es decir, la URL del widget del tablero), muestra el contenido recuperado en una "sandbox" con todas las restricciones de la "sandbox" activadas.

Estas configuraciones mejoran la seguridad de la interfaz de Zabbix y brindan protección contra ataques XSS y de clickjacking. Los superadministradores pueden modificar los parámetros usar sandboxing de iframe y usar encabezado HTTP X-Frame-Options según sea necesario. Sopese cuidadosamente los riesgos y beneficios antes de cambiar la configuración predeterminada. No se recomienda desactivar por completo el sandboxing o el encabezado HTTP X-Frame-Options.

Revocar el acceso de escritura al archivo de configuración SSL en Windows

El agente de Windows Zabbix compilado con OpenSSL intentará alcanzar el archivo de configuración SSL en c:\openssl-64bit. El directorio "openssl-64bit" en el disco C: puede ser creados por usuarios sin privilegios.

Entonces, para reforzar la seguridad, es necesario crear este directorio. manualmente y revocar el acceso de escritura de usuarios que no sean administradores.

Tenga en cuenta que los nombres de los directorios serán diferentes en sistemas de 32 bits y versiones de 64 bits de Windows.

Criptografía

Ocultar el archivo con la lista de contraseñas comunes

Para aumentar la complejidad de los ataques de fuerza bruta a contraseñas, se sugiere limitar el acceso al archivo ui/data/top_passwords.txt modificando la configuración del servidor web. Este archivo contiene una lista de las contraseñas más comunes y específicas del contexto, y se utiliza para evitar que los usuarios establezcan dichas contraseñas si el parámetro Evitar contraseñas fáciles de adivinar está habilitado en la política de contraseñas.

Por ejemplo, en NGINX el acceso a archivos se puede limitar usando la directiva location:

location = /data/top_passwords.txt {
           deny all;
           return 404;
       }

En Apache, usando el archivo .htaccess:

<Files "top_passwords.txt">
           Order Allow,Deny
           Deny from all
       </Files>
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy