Documentation

This is a translation of the original English documentation page. Help us make it better.
1 Struttura manuale
2 Cos'è Zabbix
3 Funzionalità di Zabbix
4 Panoramica di Zabbix
5 Novità di Zabbix 6.4.0
6 Novità di Zabbix 6.4.1
7 Novità di Zabbix 6.4.2
8 Novità di Zabbix 6.4.3
9 Novità di Zabbix 6.4.4
10 Novità di Zabbix 6.4.5
11 Novità di Zabbix 6.4.6
12 Novità di Zabbix 6.4.7
13 Novità di Zabbix 6.4.8
14 Novità di Zabbix 6.4.9
15 Novità di Zabbix 6.4.10
16 Novità di Zabbix 6.4.11
17 What's new in Zabbix 6.4.12
18 What's new in Zabbix 6.4.13
19 What's new in Zabbix 6.4.14
2 Definizioni
1 Alta disponibilità
2 Agente
3 Agente 2
4 Proxy
1 Installazione da sorgenti
2 Installazione dai pacchetti RHEL
3 Installazione dai pacchetti Debian/Ubuntu
6 Sender
7 Get
8 JS
9 Web service
1 Ottenere Zabbix
1 Dipendenze del plugin PostgreSQL
2 Dipendenze del plugin MongoDB
2 Migliori pratiche per la configurazione sicura di Zabbix
1 Creazione dell'agente Zabbix su Windows
2 Creazione dell'agente Zabbix 2 su Windows
Creazione dell'agente Zabbix su macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Installazione dell'agente Windows da MSI
5 Installazione dell'agente Mac OS da PKG
6 Rilasci instabili
5 Installazione da container
6 Installazione dell'interfaccia web
1 Aggiornamento dai sorgenti
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Upgrade dai container
1 Problemi di compilazione
9 Modifiche al Template
10 Upgrade notes for 6.4.0
11 Note di aggiornamento per 6.4.1
12 Note di aggiornamento per 6.4.2
13 Note di aggiornamento per 6.4.3
14 Note di aggiornamento per 6.4.4
15 Note di aggiornamento per 6.4.5
16 Note di aggiornamento per 6.4.6
17 Note di aggiornamento per 6.4.7
18 Note di aggiornamento per 6.4.8
19 Note di aggiornamento per 6.4.9
20 Note di aggiornamento per 6.4.10
21 Note di aggiornamento per 6.4.11
22 Upgrade notes for 6.4.12
23 Upgrade notes for 6.4.13
24 Upgrade notes for 6.4.14
1 Login e configurazione utente
2 Nuovo Host
3 Nuovo elemento
4 Nuovi trigger
5 Ricezione della notifica del problema
6 Nuovo template
6 Appliance Zabbix
1 Configurazione di un host
2 Inventario
3 Aggiornamento di massa
1 Item key format
2 Intervalli personalizzati
1 Esempi di utilizzo
2 Dettagli di preelaborazione
Escaping special characters from LLD macro values in JSONPath
1 Oggetti JavaScript aggiuntivi
5 Preelaborazione da CSV a JSON
1 Agente Zabbix 2
2 Agente Windows Zabbix
1 Indici dinamici
2 Special OIDs
3 file MIB
3 trappole SNMP
4 controlli IPMI
1 Elementi chiave di monitoraggio VMware
6 Monitoraggio del file di registro
1 Calcoli aggregati
8 Controlli interni
9 controlli SSH
10 controlli Telnet
11 Controlli esterni
12 oggetti Trapper
13 Monitoraggio JMX
1 Impostazioni UnixODBC consigliate per MySQL
2 Impostazioni UnixODBC consigliate per PostgreSQL
3 Impostazioni UnixODBC consigliate per Oracle
4 Impostazioni UnixODBC consigliate per MSSQL
15 Elementi dipendenti
16 Agente HTTP
17 Controlli Prometheus
18 Elementi di script
4 Storia e tendenze
1 Extending Zabbix agents
6 Contatori delle prestazioni di Windows (Windows performance counters)
7 Aggiornamento di massa
8 Mappatura dei valori
9 Coda
10 Cache dei valori
11 Esegui ora
12 Limitazione dei controlli degli agenti
1 Configurazione di un trigger
2 Trigger expression
3 Dipendenze dei Trigger
4 Trigger severity
5 Customizing trigger severities
6 Aggiornamento di massa
7 Funzioni di trigger predittive
1 Generazione di eventi trigger
2 Altre fonti di eventi
3 Chiusura manuale dei problemi
1 Correlazione di eventi basata su trigger
2 Correlazione globale degli eventi
6 Etichettatura
1 Grafici semplici
2 Grafici personalizzati
3 Grafici ad hoc
4 Aggregazione nei grafici
1 Configurazione di una mappa di rete
2 Elementi del gruppo host
3 Indicatori di collegamento
3 Dashboards
4 Dashboard dell'host
1 Configurazione di un modello
2 Collegamento/scollegamento
3 Nidificazione
4 Aggiornamento di massa
7 Modelli standardizzati per dispositivi di rete
HTTP template operation
IPMI template operation
JMX template operation
ODBC template operation
Zabbix agent 2 template operation
Zabbix agent template operation
1 E-mail
2 SMS
3 Script di avviso personalizzati
1 Esempi di script webhook
1 Condizioni
1 Invio messaggio
2 Comandi remoti
3 Operazioni aggiuntive
4 Utilizzo di macro nei messaggi
3 Operazioni di recupero
4 Operazioni di aggiornamento
5 Escalation
3 Ricezione di notifiche su elementi non supportati
1 Funzioni macro
2 Macro utente
3 Macro utente con contesto
4 Macro utente segrete
5 Macro di rilevamento di basso livello
6 Espressioni macro
1 Configurazione di un utente
2 Autorizzazioni
3 Gruppi di utenti
CyberArk configuration
HashiCorp configuration
14 Rapporti pianificati
1 Esporta su file
2 Streaming verso sistemi esterni
1 Albero dei servizi
2 SLA
4 Esempio di configurazione
1 Elementi di monitoraggio Web
2 Scenario di vita reale
1 Campi chiave di discoverydella macchina virtuale
1 Elementi chiave di monitoraggio VMware
3 Esempi JSON per elementi VMware
4 Esempio di configurazione del monitoraggio VMware
11. Manutenzione
12. Espressioni regolari
1 Soppressione del problema
1 Template groups
2 Host groups
2 Template
3 host
4 Mappe di rete
5 Tipi di supporto
1 Configurazione di una regola di individuazione sulla rete
2 Registrazione automatica dell'agente attivo
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Prototipi degli host
5 Note sulla individuazione di basso livello
1 Scoperta dei filesystem montati
2 Discovery of network interfaces
3 Discovery of CPUs and CPU cores
4 Scoperta degli OID SNMP
5 Scoperta degli OID SNMP (legacy)
6 Scoperta di oggetti JMX
7 Scoperta dei sensori IPMI
8 Individuazione dei servizi systemd
9 Individuazione dei servizi Windows
10 Individuazione di istanze di contatori delle prestazioni di Windows
11 Individuazione tramite query WMI
12 Individuazione tramite query SQL ODBC
13 Discovery of block devices
13 Scoperta utilizzando i dati di Prometheus
15 Scoperta delle interfacce host in Zabbix
1 Sincronizzazione della configurazione del monitoraggio
1 Utilizzo dei certificati
2 Utilizzo delle chiavi precondivise
1 Tipo di connessione o problemi di autorizzazione
2 Problemi con i certificati
3 Problemi PSK
1 Event menu
1 Host menu
3 Item context menu
1 Registro delle azioni
2 Orologio
3 Panoramica dei dati
4 Discovery status
5 Grafici preferiti
6 Mappe preferite
7 Geomappa
8 Grafico
9 Grafico (classico)
10 Prototipo di grafico
11 Disponibilità dell'host
12 Valore dell'oggetto
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
1 Cause and symptom problems
1 Grafici
2 Scenari web
4 Ultimi dati
5 Maps
6 Discovery
1 Services
3 SLA
4 Rapport degli SLA
1. Panoramica
2 Host
1 Informazioni di sistema
2 Report programmati
3 Rapporto sulla disponibilità
4 Triggers top 100
5 Audit log
6 Registro delle azioni
7 Notifiche
1 Gruppi host
1 Template groups
1 Items
2 Trigger
3 Grafici
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Prototipi degli host
5 Scenari web
1 Items
2 Trigger
3 Grafici
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Prototipi degli host
5 Scenari web
5 Maintenance
6 Event correlation
7 Discovery
1 Azioni
2 tipi di supporto
3 Script
3 Users
4 API tokens
4 Gruppi di utenti
1 HTTP
2 LDAP
3 SAML
5 Ruoli utente
1. Generale
2 Registro di controllo
3 Pulizia
4 Proxy
5 Macro
6 Coda
1 Notifiche globali
2 Suono nei browser
4 Ricerca globale
5 Modalità di manutenzione del frontend
6 Parametri di pagina
7 Definizioni
8 Creare il tuo tema
9 Modalità di debug
10 Cookie utilizzati da Zabbix
11 Fusi orari
13 Resetting password
> Oggetto di avviso
alert.get
> Oggetto registro di controllo
auditlog.get
> Oggetto di autenticazione
authentication.get
authentication.update
> Autoregistrazione di un oggetto
autoregistration.get
autoregistration.update
> Oggetto azione
action.create
action.delete
action.get
action.update
configuration.export
configuration.import
configuration.importcompare
> Connector object
connector.create
connector.delete
connector.get
connector.update
> Oggetto Discovery check
dcheck.get
> Oggetto di correlazione
correlation.create
correlation.delete
correlation.get
correlation.update
> Oggetto regola di rilevamento
drule.create
drule.delete
drule.get
drule.update
> Oggetto elemento grafico
graphitem.get
> Oggetto evento
event.acknowledge
event.get
> Oggetto grafico
graph.create
graph.delete
graph.get
graph.update
> Oggetto prototipo grafico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Oggetto host
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Oggetto gruppo host
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Oggetto interfaccia host
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Oggetto prototipo host
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Oggetto host rilevato
dhost.get
> Housekeeping object
housekeeping.get
housekeeping.update
> Icon map object
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Oggetto immagine
image.create
image.delete
image.get
image.update
apiinfo.version
> Item object
item.create
item.delete
item.get
item.update
> Item prototype object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Oggetto regola LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Oggetto manutenzione
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Oggetto mappa
map.create
map.delete
map.get
map.update
> Oggetto tipo di supporto
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Oggetto modulo
module.create
module.delete
module.get
module.update
> Oggetto nodo ad alta disponibilità
hanode.get
> Oggetto dashboard
1 Registro delle azioni
2 Orologio
3 Panoramica dei dati
4 Stato del Rilevamento
5 Grafici preferiti
6 Mappe preferite
7 Geomappa
8 Grafico
9 Grafico (classico)
10 Prototipo di grafico
11 Disponibilità dell'host
12 Valore dell'oggetto
13 Mappa
14 Albero di navigazione della mappa
15 Testo semplice
16 Host problematici
17 Problemi
18 Problemi per gravità
19 report degli SLA
20 Informazioni di sistema
21 I migliori host
22 Panoramica dei trigger
23 URL
24 Monitoraggio web
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Problem object
problem.get
> Oggetto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Oggetto espressione regolare
regexp.create
regexp.delete
regexp.get
regexp.update
> Oggetto Report
report.create
report.delete
report.get
report.update
> Oggetto ruolo
role.create
role.delete
role.get
role.update
> Oggetto script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Oggetto di servizio
service.create
service.delete
service.get
service.update
> Oggetto di servizio rilevato
dservice.get
> Oggetto impostazioni
settings.get
settings.update
> oggetto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> History object
history.clear
history.get
> Task object
task.create
task.get
> Oggetto modello
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Oggetto modello dashboard
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Template group object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> Oggetto token
token.create
token.delete
token.generate
token.get
token.update
> Trend object
trend.get
> Oggetto trigger
trigger.create
trigger.delete
trigger.get
trigger.update
> Trigger prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Oggetto utente
Description
user.checkAuthentication
user.create
user.delete
user.get
user.logout
user.provision
user.unblock
user.update
> Oggetto directory utente
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> User group object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Oggetto macro utente
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value map object
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Oggetto scenario web
httptest.create
httptest.delete
httptest.get
httptest.update
Appendice 1. Commento di riferimento
Appendice 2. Modifiche da 6.2 a 6.4
Modifiche all'API Zabbix nella versione 6.4
1 Moduli caricabili
1 Creazione di plugin caricabili
3 moduli frontend
1 Frequently asked questions / Troubleshooting
1 Creazione del database
2 Riparazione del set di caratteri e delle regole di confronto del database Zabbix
3 Aggiornamento del database alle chiavi primarie
1 Configurazione della crittografia MySQL
2 Configurazione della crittografia PostgreSQL2
5 Installazione di TimescaleDB
6 Elasticsearch setup
7 Note specifiche della distribuzione sulla configurazione di Nginx per Zabbix
9 Agente Zabbix su Microsoft Windows
9 Running agent as root
10 Configurazione SAML con Microsoft Azure AD
11 Configurazione SAML con Okta
12 Configurazione SAML con OneLogin
13 Configurazione del database Oracle
14 Impostazione di report pianificati
15 Upgrading to numeric values of extended range
16 Lingue aggiuntive del frontend
1 server Zabbix
2 Proxy Zabbix
3 Agente Zabbix (UNIX)
4 Agente Zabbix 2 (UNIX)
5 Agente Zabbix (Windows)
6 Agente Zabbix 2 (Windows)
1 plug-in Ceph
2 plugin Docker
3 Plug-in Memcached
4 Plug-in Modbus
5 Plug-in MongoDB
6 plug-in MQTT
7 MSSQL plugin
7 MySQL plugin
8 Plugin Oracle
9 Plugin PostgreSQL
10 Plugin Redis
11 Plugin Smart
8 Zabbix Java gateway
9 Servizio web Zabbix
10 Inclusione
1 Protocollo di scambio dati server-proxy
2 Protocollo dell'agente Zabbix
3 Protocollo Zabbix agent 2
4 Zabbix agent 2 plugin protocol
5 Protocollo mittente Zabbix
5 Real-time export protocol
6 Intestazione
1 parametri vm.memory.size
2 Controlli degli agenti passivi e attivi
3 Oggetti Trapper
4 Livello di autorizzazione minimo per gli elementi dell'agente Windows
6 Encoding of returned values
7 Large file support
8 Note sul parametro memtype negli elementi proc.mem
8 Sensor
9 Note sulla selezione dei processi negli elementi proc.mem e proc.num
11 Implementation details of net.tcp.service and net.udp.service checks
11 parametri proc.get
12 Impostazioni dell'interfaccia host non raggiungibile/non disponibile
13 Monitoraggio remoto delle statistiche di Zabbix
14 Configurazione di Kerberos con Zabbix
15 parametri modbus.get
16 Creating custom performance counter names for VMware
17 Valori restituiti
1 Funzioni Foreach
2 Bitwise functions
3 Date and time functions
4 History functions
5 Mathematical functions
5 Trend functions
6 Operator functions
7 Prediction functions
8 String functions
1 Macro supportate
2 Macro utente supportate dalla posizione
8 Simboli delle unità
9 Sintassi periodo di tempo
10 Command execution
11 Compatibilità delle versioni
14 Database error handling
14 Libreria Python per API Zabbix
15 Aggiornamento del servizio di monitoraggio
15 Zabbix sender dynamic link library for Windows
16 Altri problemi
18 Agent vs agent 2 comparison
18 Escaping examples
1 Monitora Linux con l'agente Zabbix
2 Monitora Windows con l'agente Zabbix
3 Monitora Apache tramite HTTP
4 Monitora MySQL con l'agente Zabbix 2
5 Monitora VMware con Zabbix
manifest.json
Azioni
Views
Risorse
Registra un nuovo modulo
Configuration
Presentation
Crea un modulo (tutorial)
Crea un widget (tutorial)
Esempi
Esempi
Crea un plugin (tutorial)
Interfacce plugin
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

2 Migliori pratiche per la configurazione sicura di Zabbix

Panoramica

Questa sezione contiene le migliori pratiche che dovrebbero essere osservate per configurare Zabbix in modo sicuro.

Le pratiche qui contenute non sono necessarie per il funzionamento di Zabbix. Sono raccomandati per una migliore sicurezza del sistema.

Controllo di accesso

Principio del privilegio minimo

Il principio del privilegio minimo dovrebbe essere sempre utilizzato per Zabbix. Questo principio significa che l'account utente (nel frontend di Zabbix) o il processo utente (per server/proxy o agente Zabbix) dispone solo di quei privilegi che sono essenziali per svolgere le funzioni previste. In altre parole, gli account utente dovrebbero sempre essere eseguiti con il minor numero di privilegi possibile.

::: nota importante Dare autorizzazioni extra all'utente "zabbix" lo farà consentirgli di accedere ai file di configurazione ed eseguire operazioni che possono compromettere la sicurezza complessiva dell'infrastruttura. :::

Quando si implementa il principio del privilegio minimo per gli account utente, Zabbix utente frontend types. in considerazione. È importante capire che mentre un utente "Admin". type ha meno privilegi rispetto al tipo di utente "Super Admin", ha autorizzazioni amministrative che consentono di gestire la configurazione e l'esecuzione script personalizzati.

Alcune informazioni sono disponibili anche per gli utenti non privilegiati. Ad esempio, mentre AmministrazioneScript non è disponibile per non Super Admin, gli script stessi possono essere recuperati da utilizzando l'API di Zabbix. Limitare le autorizzazioni di script e non aggiungere informazioni sensibili (come credenziali di accesso, ecc.) dovrebbero essere utilizzate per evitare esposizione di informazioni sensibili disponibili negli script globali.

Utente sicuro per l'agente Zabbix

Nella configurazione predefinita, i processi del server Zabbix e dell'agente Zabbix condividono un utente 'zabbix'. Se desideri assicurarti che l'agente non possa accedere a dettagli sensibili nella configurazione del server (ad es. login al database informazioni), l'agente deve essere eseguito come un altro utente:

  1. Crea un utente sicuro
  2. Specificare questo utente nell'agente configuration file (parametro 'Utente')
  3. Riavviare l'agente con privilegi di amministratore. I privilegi saranno rilasciato all'utente specificato.

Codifica UTF-8

UTF-8 è l'unica codifica supportata da Zabbix. È nota per funzionare senza difetti di sicurezza. Gli utenti dovrebbero essere consapevoli che ci sono noti problemi di sicurezza se si utilizzano alcune delle altre codifiche.

Percorsi del programma di installazione di Windows

Quando si utilizzano i programmi di installazione di Windows, si consiglia di utilizzare i percorsi predefiniti forniti dal programma di installazione poiché l'utilizzo di percorsi personalizzati senza le autorizzazioni adeguate potrebbe compromettere la sicurezza dell'installazione.

Configurazione di SSL per il frontend di Zabbix

Su RHEL, installa il pacchetto mod_ssl:

yum installa mod_ssl

Crea directory per le chiavi SSL:

mkdir -p /etc/httpd/ssl/private
       chmod 700 /etc/httpd/ssl/private

Crea certificato SSL:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/private/apache-selfsigned.key -out /etc/httpd/ssl/apache-selfsigned.crt

Compila le richieste in modo appropriato. La linea più importante è quella che richiede il nome comune. Devi inserire il nome di dominio che vuoi che sia associato al tuo server. Puoi inserire l'IP pubblico indirizzo invece se non si dispone di un nome di dominio. Noi useremo example.com in questo articolo.

Nome Paese (codice di 2 lettere) [XX]:
       Nome dello stato o della provincia (nome completo) []:
       Nome località (es. città) [Città predefinita]:
       Nome organizzazione (ad es. azienda) [Default Company Ltd]:
       Nome unità organizzativa (ad es. sezione) []:
       Nome comune (ad esempio, il tuo nome o il nome host del tuo server) []:example.com
       Indirizzo e-mail []:

Modifica configurazione SSL Apache:

/etc/httpd/conf.d/ssl.conf
       
       DocumentRoot "/usr/share/zabbix"
       ServerName example.com:443
       SSLCertificateFile /etc/httpd/ssl/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/httpd/ssl/private/apache-selfsigned.key

Riavvia il servizio Apache per applicare le modifiche:

systemctl riavvia httpd.service

Rafforzamento del server web

Abilitazione di Zabbix nella directory principale dell'URL

Aggiungi un host virtuale alla configurazione di Apache e imposta il reindirizzamento permanente per la root del documento all'URL SSL di Zabbix. Non dimenticare di sostituire example.com con il nome effettivo del server.

/etc/httpd/conf/httpd.conf
       
       #Aggiungi linee
       
       <VirtualHost *:*>
           ServerName example.com
           Reindirizzamento permanente / https://example.com
       </VirtualHost>

Riavvia il servizio Apache per applicare le modifiche:

systemctl riavvia httpd.service

Abilitazione di HTTP Strict Transport Security (HSTS) sul server web

Per proteggere il frontend di Zabbix dagli attacchi di downgrade del protocollo, noi consiglio di abilitare HSTS politica sul server web.

Ad esempio, per abilitare la politica HSTS per il tuo frontend Zabbix nella configurazione Apache:

/etc/httpd/conf/httpd.conf

aggiungi la seguente direttiva alla configurazione del tuo host virtuale:

<host virtuale *:443>
          Set di intestazione Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

Riavvia il servizio Apache per applicare le modifiche:

systemctl riavvia httpd.service

Enabling Content Security Policy (CSP) on the web server

To protect Zabbix frontend against Cross Site Scripting (XSS), data injection, and similar attacks, we recommend enabling Content Security Policy on the web server. To do so, configure the web server to return the HTTP header.

The following CSP header configuration is only for the default Zabbix frontend installation and for cases when all content originates from the site's domain (excluding subdomains). A different CSP header configuration may be required if you are, for example, configuring the URL widget to display content from the site's subdomains or external domains, switching from OpenStreetMap to another map engine, or adding external CSS or widgets.

To enable CSP for your Zabbix frontend in Apache configuration, follow these steps:

1. Locate your virtual host's configuration file:

  • /etc/httpd/conf/httpd.conf on RHEL-based systems
  • /etc/apache2/sites-available/000-default.conf on Debian/Ubuntu

2. Add the following directive to your virtual host's configuration file:

<VirtualHost *:*>
           Header set Content-Security-Policy: "default-src 'self' *.openstreetmap.org; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src 'self' data: *.openstreetmap.org; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self';"
       </VirtualHost>

3. Restart the Apache service to apply the changes:

# On RHEL-based systems:
       systemctl restart httpd.service
       
       # On Debian/Ubuntu
       systemctl restart apache2.service

Disattivazione dell'esposizione delle informazioni del server web

Si consiglia di disabilitare tutte le firme del server Web come parte del processo di rafforzamento del server web. Il server Web sta esponendo il software firma per impostazione predefinita:

La firma può essere disabilitata aggiungendo due righe al file Apache (usato come un esempio) file di configurazione:

Firma del server disattivata
       ServerToken prod

La firma PHP (intestazione HTTP X-Powered-By) può essere disabilitata modificando il file File di configurazione php.ini (la firma è disabilitata per impostazione predefinita):

esporre_php = Disattivato

Il riavvio del server Web è necessario per le modifiche al file di configurazione applicato.

È possibile ottenere un livello di sicurezza aggiuntivo utilizzando il file mod_security (pacchetto libapache2-mod-security2) con Apache. mod_security consente di rimuovere la firma del server invece di rimuovere solo la versione dal server firma. La firma può essere modificata in qualsiasi valore cambiando "SecServerSignature" su qualsiasi valore desiderato dopo l'installazione mod_security.

Si prega di fare riferimento alla documentazione del proprio server web per trovare aiuto su come farlo rimuovere/modificare le firme del software.

Disabilitazione delle pagine di errore del server Web predefinito

Si consiglia di disabilitare le pagine di errore predefinite per evitare informazioni esposizione. Il server Web utilizza le pagine di errore integrate per impostazione predefinita:

Le pagine di errore predefinite devono essere sostituite/rimosse come parte del processo di indurimento del server web. La direttiva "ErrorDocument" può essere utilizzata per definire la pagina/testo di errore personalizzato per il server Web Apache (utilizzato come esempio).

Si prega di fare riferimento alla documentazione del proprio server web per trovare aiuto su come farlo sostituire/rimuovere le pagine di errore predefinite.

Rimozione della pagina di test del server web

Si consiglia di rimuovere la pagina di test del server web per evitare esposizione delle informazioni. Per impostazione predefinita, la webroot del server web contiene un test pagina chiamata index.html (Apache2 su Ubuntu è usato come esempio):

La pagina di test deve essere rimossa o resa non disponibile come parte di il processo di rafforzamento del server web.

Imposta l'intestazione della risposta HTTP X-Frame-Options

Per impostazione predefinita, Zabbix è configurato con la risposta HTTP X-Frame-Options header impostato su SAMEORIGIN, il che significa che il contenuto può essere caricato solo in un frame che ha la stessa origine della pagina stessa.

Elementi frontend di Zabbix che estraggono contenuti da URL esterni (vale a dire, l'URL dashboard widget) visualizzare il contenuto recuperato in una sandbox con tutte le restrizioni di sandboxing abilitato.

Queste impostazioni migliorano la sicurezza del frontend Zabbix e forniscono protezione contro attacchi XSS e clickjacking. I super amministratori possono modifica iframe sandboxing e intestazione di risposta HTTP X-Frame-Options parametri secondo necessità. Si prega di valutare attentamente i rischi e i benefici prima di modificare le impostazioni predefinite. Girando sandboxing o X-Frame-Options spento completamente non è raccomandato.

Revoca l'accesso in scrittura al file di configurazione SSL in Windows

L'agente Windows Zabbix compilato con OpenSSL proverà a raggiungere il file di configurazione SSL in c:\openssl-64bit. La directory "openssl-64bit". su disco C: può essere creato da utenti non privilegiati.

Quindi, per rafforzare la sicurezza, è necessario creare questa directory manualmente e revocare l'accesso in scrittura agli utenti non amministratori.

Tieni presente che i nomi delle directory saranno diversi su 32 bit e Versioni a 64 bit di Windows.

Crittografia

Nascondere il file con l'elenco delle password comuni

Per aumentare la complessità degli attacchi di forza bruta della password, è suggerito di limitare l'accesso al file ui/data/top_passwords.txt di modifica della configurazione del server web. Questo file contiene un elenco di password più comuni e specifiche del contesto e viene utilizzato per impedire agli utenti dall'impostazione di tali password se il parametro Evita password facili da indovinare è abilitato in password policy.

Ad esempio, su NGINX l'accesso ai file può essere limitato utilizzando la "posizione". direttiva:

posizione = /data/top_passwords.txt {​​​​​​​
           negare tutto;
           ritorno 404;
       }​​​​​​​

Su Apache - utilizzando il file .htacess:

<File "top_passwords.txt">
         Ordine Consenti, Nega
         Rifiutato da tutti
       </File>

Avvisi di sicurezza Zabbix e database CVE

Vedere Zabbix Security Advisories e database CVE.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy