Documentation

1 マニュアルの構成
2 Zabbixとは
3 Zabbixの機能
4 Zabbixの概要
5 Zabbix 6.4.0 の新機能
6 Zabbix 6.4.1 の新機能
7 Zabbix 6.4.2 の新機能
8 Zabbix 6.4.3 の新機能
9 Zabbix 6.4.4 の新機能
10 Zabbix 6.4.5 の新機能
11 Zabbix 6.4.6 の新機能
12 Zabbix 6.4.7 の新機能
13 Zabbix 6.4.8 の新機能
14 What's new in Zabbix 6.4.9
15 What's new in Zabbix 6.4.10
16 What's new in Zabbix 6.4.11
17 What's new in Zabbix 6.4.12
18 What's new in Zabbix 6.4.13
19 What's new in Zabbix 6.4.14
20 What's new in Zabbix 6.4.15
21 What's new in Zabbix 6.4.16
22 What's new in Zabbix 6.4.17
2. 定義
1 高可用性(HA)
2 Zabbixエージェント
3 Zabbixエージェント2
4 Zabbixプロキシ
1 ソースからのセットアップ
2 RHELパッケージでのセットアップ
3 Debian/Ubuntuパッケージでのセットアップ
6 zabbix_senderコマンド
7 zabbix_getコマンド
8 zabbix_jsコマンド
9 Zabbix Webサービス
1 Zabbixの入手
1 PostgreSQLプラグインの依存関係
2 MongoDBプラグインの依存関係
2 安全なZabbixセットアップのベストプラクティス
1 WindowsでのZabbixエージェントの構築
2 WindowsでのZabbixエージェント2の構築
3 macOSでのZabbixエージェントの構築
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 MSIファイルによるWindows用agentのインストール
5 PKGからMacOSエージェントのインストール
6 不安定版リリース
5 コンテナでのインストール
6 Webインタフェースのインストール
1 ソースからのアップグレード
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 コンテナからのアップグレード
1 コンパイルの問題
9 テンプレートの変更点
10 6.4.0へアップグレード時の注意点
11 6.4.1へアップグレード時の注意点
12 6.4.2へアップグレード時の注意点
13 6.4.3へアップグレード時の注意点
14 6.4.4へアップグレード時の注意点
15 6.4.5へアップグレード時の注意点
16 6.4.6へアップグレード時の注意点
17 6.4.7へアップグレード時の注意点
18 6.4.8へアップグレード時の注意点
19 6.4.9へアップグレード時の注意点
20 6.4.10へアップグレード時の注意点
21 6.4.11へアップグレード時の注意点
22 6.4.12へアップグレード時の注意点
23 6.4.13へアップグレード時の注意点
24 6.4.14へアップグレード時の注意点
25 6.4.15へアップグレード時の注意点
26 6.4.16へアップグレード時の注意点
27 Upgrade notes for 6.4.17
1 ログインとユーザー設定
2 新規ホスト
3 新規アイテム
4 新規トリガー
5 障害発生の通知
6 新規テンプレート
6. Zabbixアプライアンス
1 ホストの設定
2 インベントリ
3 一括アップデート
1 アイテムキーのフォーマット
2 監視間隔のカスタマイズ
1 使用例
2 プリプロセッシングの詳細
JSONPath における LLD マクロ値からの特殊文字のエスケープ
1 追加のJavaScriptオブジェクト
5 CSVからJSONへのプリプロセス
1 Zabbixエージェント2
2 Windows Zabbixエージェント
1 ダイナミックインデックス
2 特殊なOID
3 MIB ファイル
3 SNMP trap
4 IPMIチェック
1 VMware監視アイテムキー
6 Log file monitoring
1 集計計算
8 内部チェック
9 SSH チェック
10 Telnet チェック
11 外部からのチェック
12 Trapper item
13 JMX 監視
1 MySQL の推奨 UnixODBC 設定
2 PostgreSQLの推奨UnixODBC設定
3 Oracle の推奨 UnixODBC 設定
4 MSSQL の推奨 UnixODBC 設定
15 依存アイテム
16 HTTP agent
17 Prometheus チェック
18 スクリプト
4 ヒストリとトレンド
1 Zabbixエージェントの機能拡張
6 Windows パフォーマンスカウンタ
7 一括アップデート
8 値のマッピング
10 キュー
10 バリューキャッシュ
11 即時実行
13 agent チェックの制限
1 トリガーの設定
2 トリガー条件式
3 トリガーの依存関係
4 トリガーの深刻度
5 トリガー深刻度のカスタマイズ
6 一括アップデート
7 予兆 trigger 関数
1 トリガーイベントの生成
2 その他のイベントソース
3 問題の手動クローズ
1 トリガーによるイベント相関
2 グローバルイベント相関
6 タグ付け
1 シンプルグラフ
2 カスタムグラフ
3 アドホックグラフ
4 グラフの集計
1 ネットワークマップの設定
2 ホストグループの構成要素
3 リンクインジケーター
3 ダッシュボード
4 ホストダッシュボード
1 テンプレートの設定
2 リンク作成/リンク削除
3 ネスト
4 一括更新
HTTP template operation
IPMIテンプレートの操作
JMXテンプレートの操作
ODBC テンプレート操作
Zabbix agent 2 テンプレートの運用
Zabbix エージェント テンプレートの操作
ネットワークデバイス用の標準テンプレート
1 Email
2 SMS
3 カスタムアラートスクリプト
1 Webhookスクリプトの例
1 アクション
1 メッセージの送信
2 リモートコマンド
3 追加操作
4 メッセージでのマクロ使用
3 復旧時実行
4 更新時実行
5 エスカレーション
3 サポート対象外通知の受信
1 マクロ関数
2 ユーザーマクロ
3 コンテキストユーザーマクロ
4 Secretユーザーマクロ
4 ローレベルディスカバリマクロ
6 式マクロ
1 ユーザの設定
2 ユーザー権限
3 ユーザグループ
CyberArk configuration
HashiCorp configuration
14 スケジュールレポート
1 ファイルにエクスポート
2 外部システムへのストリーミング
1 サービスツリー
2 SLA
4 セットアップ例
1 Web監視アイテム
2 シナリオの実例
1 仮想マシンディスカバリキーフィールド
3 VMwareアイテムのJSONの例
4 VMware監視設定例
VMware監視アイテムキー
11. メンテナンス
12. 正規表現
1 障害の抑制
1 テンプレートグループ
2 Host groups
3 テンプレート
3 ホスト
4 ネットワークマップ
6 メディアタイプ
1 ネットワークディスカバリルールの設定
2 アクティブエージェントの自動登録
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
4 ローレベルディスカバリにおける注意
1 ファイルシステムマウントの検出
2 ネットワークインターフェースの検出
3 CPUとCPUコアの検出
4 SNMP OIDsの検出
4 SNMP OIDsの検出
5 JMXオブジェクトの検出
6 IPMIセンサーの検出
7 systemdサービスの検出
8 Windowsサービスの検出
9 Windowsパフォーマンスカウンターインスタンスの検出
10 WMIクエリを使用した検出
11 ODBCSQLクエリを使用した検出
12 Prometheusデータを使用した検出
13 ブロックデバイスの検出
14 Zabbixでのホストインターフェース検出
1 監視設定の同期
1 証明書の利用
2 事前共有鍵の使用
1 接続タイプまたは権限の問題
2 証明書の問題
3 PSK problems
1 Event menu
1 Host menu
3 Item context menu
1 アクションログ
2 時計
3 データの概要
4 ディスカバリのステータス
5 お気に入りのグラフ
6 お気に入りのマップ
7 地理マップ
8 グラフ
9 グラフ(クラシック)
10 グラフのプロトタイプ
11 ホスト稼働状況
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
1 Cause and symptom problems
1 グラフ
2 Web シナリオ
4 最新データ
5 Maps
6 ディスカバリ
1 Services
3 SLA
4 SLAレポート
1 ホストインベントリの概要
2 ホスト
1 システム情報
2 定期レポート
3 稼働レポート
4 障害発生数上位100項目
5 Audit log
6 アクションログ
7 通知レポート
1 Template groups
1 ホストグループ
1 Items
2 トリガー
3 グラフ
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 ホストのプロトタイプ
5 Webシナリオ
1 Items
2 トリガー
3 グラフ
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 ホストのプロトタイプ
5 Webシナリオ
5 Maintenance
6 Event correlation
7 Discovery
5 アクション
7 メディアタイプ
8 スクリプト
3 Users
4 API tokens
4 ユーザーグループ
1 HTTP
2 LDAP
3 SAML
5 ユーザーの役割
1 一般設定
2 監査ログ
3 ハウスキーピング
4 プロキシ
5 マクロ
9 キュー
1 グローバル通知
2 ブラウザのサウンド
4 グローバルサーチ
5 フロントエンドメンテナンスモード
6 ページパラメーター
7 定義
8 独自テーマ作成
9 デバッグモード
10 Zabbix用Cookie
11 タイムゾーン
13 Resetting password
> Actionオブジェクト
action.create
action.delete
action.get
action.update
> Alertオブジェクト
alert.get
apiinfo.version
> Audit logオブジェクト
auditlog.get
> Authenticationオブジェクト
authentication.get
authentication.update
> Autoregistrationオブジェクト
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
> Connectorオブジェクト
connector.create
connector.delete
connector.get
connector.update
> Correlationオブジェクト
correlation.create
correlation.delete
correlation.get
correlation.update
> Dashboardオブジェクト
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Discovered hostオブジェクト
dhost.get
> Discovered serviceオブジェクト
dservice.get
> Discovery checkオブジェクト
dcheck.get
> Discovery ruleオブジェクト
drule.create
drule.delete
drule.get
drule.update
> Eventオブジェクト
event.acknowledge
event.get
> Graphオブジェクト
graph.create
graph.delete
graph.get
graph.update
> Graph itemオブジェクト
graphitem.get
> Graph prototypeオブジェクト
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> High availability nodeオブジェクト
hanode.get
> Historyオブジェクト
history.clear
history.get
> Hostオブジェクト
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Host groupオブジェクト
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Host interfaceオブジェクト
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototypeオブジェクト
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Housekeepingオブジェクト
housekeeping.get
housekeeping.update
> Icon mapオブジェクト
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Imageオブジェクト
image.create
image.delete
image.get
image.update
> Itemオブジェクト
item.create
item.delete
item.get
item.update
> Item prototypeオブジェクト
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> LLD ruleオブジェクト
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Maintenanceオブジェクト
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Mapオブジェクト
map.create
map.delete
map.get
map.update
> Media typeオブジェクト
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Moduleオブジェクト
module.create
module.delete
module.get
module.update
> Problem object
problem.get
> Proxyオブジェクト
proxy.create
proxy.delete
proxy.get
proxy.update
> Regular expressionオブジェクト
regexp.create
regexp.delete
regexp.get
regexp.update
> Reportオブジェクト
report.create
report.delete
report.get
report.update
> Roleオブジェクト
role.create
role.delete
role.get
role.update
> Scriptオブジェクト
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Serviceオブジェクト
service.create
service.delete
service.get
service.update
Settings
settings.get
settings.update
> SLAオブジェクト
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Task object
task.create
task.get
> Templateオブジェクト
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template dashboardオブジェクト
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Template groupオブジェクト
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> Tokenオブジェクト
token.create
token.delete
token.generate
token.get
token.update
> Trendオブジェクト
trend.get
> Triggerオブジェクト
trigger.create
trigger.delete
trigger.get
trigger.update
> Trigger prototypeオブジェクト
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Userオブジェクト
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
> User directoryオブジェクト
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> User groupオブジェクト
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> User macroオブジェクト
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value mapオブジェクト
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Web scenarioオブジェクト
httptest.create
httptest.delete
httptest.get
httptest.update
Zabbix APIの6.4での変更点
付録1. 参考文献の解説
付録2. 6.2から6.4での変更点
1 ローダブルモジュール
1 ローダブルプラグインのビルド
3 フロントエンドモジュール
1 FAQ / トラブルシューティング
1 データベースの作成
2 Zabbixデータベースのキャラクターセットと照合の修正
3 データベースの主キーのアップグレード
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
5 TimescaleDBのセットアップ
6 Elasticsearch のセットアップ
7 Zabbix用Nginxのセットアップに関するディストリビューション固有の注意事項
9 rootユーザーでのエージェントの実行
10 MicrosoftWindows上のZabbixエージェント
11 Oktaを使用したSAMLセットアップ
11 SAML setup with Microsoft Azure AD
12 OneLoginを使用したSAMLセットアップ
13 Oracleデータベースセットアップ
14 フロントエンドへの言語追加
14 定期レポートの設定
15 Upgrading to numeric values of extended range
1 Zabbix サーバー
2 Zabbix プロキシ
3 Zabbix エージェント (UNIX)
4 Zabbix エージェント 2 (UNIX)
5 Zabbix エージェント (Windows)
6 Zabbix エージェント 2 (Windows)
1 Ceph プラグイン
2 Docker プラグイン
3 Memcached プラグイン
4 Modbus プラグイン
5 MongoDB プラグイン
6 MQTT プラグイン
7 MSSQLプラグイン
7 MySQL plugin
9 Oracleプラグイン
10 PostgreSQLプラグイン
11 Redisプラグイン
12 Smartプラグイン
8 Zabbix Java ゲートウェイ
9 Zabbix Webサービス
10 インクルード
1 サーバープロキシデータ交換プロトコル
2 Zabbix エージェントのプロトコル
3 Zabbix エージェント 2 プロトコル
4 Zabbixエージェント2プラグインプロトコル
5 Zabbix sender プロトコル
6 ヘッダー
7 リアルタイムエクスポートプロトコル
2 vm.memory.size parameters
3 パッシブおよびアクティブ エージェント チェック
4 Trapper items
5 Minimum permission level for Windows agent items
6 Encoding of returned values
7 Large file support
8 Sensor
9 Notes on memtype parameter in proc.mem items
10 Notes on selecting processes in proc.mem and proc.num items
11 Implementation details of net.tcp.service and net.udp.service checks
11 proc.getパラメーター
12 到達不能または使用不可のホストインターフェイス設定
13 Zabbix統計のリモートモニタリング
14 Zabbixを使用したKerberosの設定
15 modbus.getパラメーター
16 VMware のカスタム パフォーマンス カウンター名作成
17 Return values
1 Foreach 関数
2 Bitwise functions
3 日時関数
4 ヒストリ関数
5 Mathematical functions
5 Trend functions
6 Operator functions
7 Prediction functions
8 String functions
1 Supported macros
2 ロケーションでサポートされているユーザーマクロ
8 単位と記号
9 日時フォーマット
10 コマンドの実行
11 バージョン間の互換性
12 データベースエラーハンドリング
13 Windows用のZabbix sender ダイナミックリンクライブラリ
14 Zabbix APIのPythonライブラリ
15 サービス監視のアップグレード
16 Agent と agent 2 の比較
16 その他の問題
18 エスケープの例
1 ZabbixエージェントでLinuxを監視する
2 Monitor Windows with Zabbix agent
3 HTTP経由でApacheを監視する
4 Zabbixエージェント2でMySQLを監視する
5 ZabbixでVMwareを監視する
manifest.json
Actions
Views
Assets
Register a new module
Configuration
Presentation
Create a module (tutorial)
Create a widget (tutorial)
Examples
Build a plugin (tutorial)
Plugin interfaces
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

2 安全なZabbixセットアップのベストプラクティス

概要

このセクションには、Zabbix を安全な方法で設定するために遵守すべきベスト プラクティスが含まれています。

ここに含まれるプラクティスは、Zabbix の機能には必要ありません。 システムのセキュリティを強化するために推奨されます。

アクセス制御

最小権限の原則

Zabbixでは常に最小権限の原則を使用する必要があります。 この原則は、ユーザーアカウント(Webインターフェース) またはプロセスユーザー(Zabbixサーバー/プロキシ/エージェント) が、意図した機能を実行するために必要な権限のみを持つことを意味します。 言い換えると、ユーザーアカウントは常に、できるだけ少ない権限で実行する必要があります。

'zabbix'ユーザーに追加の権限を与えると、設定ファイルにアクセスし、インフラストラクチャ全体のセキュリティを侵害する可能性のある操作を実行できるようになります。

ユーザー アカウントに最小権限の原則を実装する場合、Zabbix Webインターフェースのユーザータイプを考慮する必要があります。 "Admin"ユーザータイプの権限は"Super Admin"ユーザータイプよりも低いですが、設定の管理やカスタムスクリプトの実行を許可する管理権限があることを理解することが重要です。

一部の情報は、権限を持たないユーザーでも利用できます。 たとえば、アラートスクリプト はSuper Admin以外は利用できませんが、スクリプト自体はZabbix APIを使用して取得できます。 グローバルスクリプトで利用可能な機密情報の公開を避けるために、スクリプトのアクセス許可を制限し、機密情報 (アクセス資格情報など) を追加しないようにする必要があります。

Zabbixエージェントのセキュアユーザー

デフォルト構成では、ZabbixサーバーとZabbixエージェントのプロセスは単一の'zabbix'ユーザーを共有します。 エージェントがサーバー設定の機密情報 (データベースのログイン情報など) にアクセスできないようにしたい場合は、エージェントを別のユーザーとして実行する必要があります。

  1. セキュアユーザーを作成します。
  2. このユーザーをエージェントの設定ファイル('User'パラメータ)で指定します。
  3. 管理者権限でエージェントを再起動します。指定したユーザーに権限が与えられます。

UTF-8 エンコーディング

Zabbix がサポートするエンコーディングは UTF-8 のみです。 セキュリティ上の欠陥なく動作することが知られています。 ユーザーは他のエンコーディングを使用する場合、既知のセキュリティ上の問題があることを留意してください。

Windowsインストーラーのパス

Windowsインストーラーを使用する場合は、適切なアクセス許可なしでカスタムパスを使用すると、インストールのセキュリティが損なわれる可能性があるため、インストーラーによって提供されるデフォルトのパスを使用することをお勧めします。

ZabbixのWebインターフェースのSSLのセットアップ

RHELベースのシステムでは、mod_sslパッケージをインストールします :

dnf install mod_ssl

SSL鍵用のディレクトリを作成します :

mkdir -p /etc/httpd/ssl/private
       chmod 700 /etc/httpd/ssl/private

SSL証明書を作成します :

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/private/apache-selfsigned.key -out /etc/httpd/ssl/apache-selfsigned.crt

プロンプトに適切に入力します。 最も重要な行は、Common Nameを指定する行です。 サーバーに関連付けるドメイン名を入力する必要があります。 ドメイン名がない場合は、代わりにパブリックIPアドレスを入力することができます。

Country Name (2 letter code) [XX]:
       State or Province Name (full name) []:
       Locality Name (eg, city) [Default City]:
       Organization Name (eg, company) [Default Company Ltd]:
       Organizational Unit Name (eg, section) []:
       Common Name (eg, your name or your server's hostname) []:example.com
       Email Address []:

Apache SSL設定ファイル (/etc/httpd/conf.d/ssl.conf) を編集します :

DocumentRoot "/usr/share/zabbix"
       ServerName example.com:443
       SSLCertificateFile /etc/httpd/ssl/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/httpd/ssl/private/apache-selfsigned.key

変更を反映させるためApacheのサービスを再起動します :

systemctl restart httpd.service

Web サーバーの強化

URLのルートディレクトリでZabbixを有効にする

RHEL ベースのシステムでは、仮想ホストをApache構成 (/etc/httpd/conf/httpd.conf)に追加し、ドキュメントルートの永続的なリダイレクトをZabbix SSL URLに設定します。 example.com は実際のサーバー名に置き換えてください。

# Add lines:
       
       <VirtualHost *:*>
           ServerName example.com
           Redirect permanent / https://example.com
       </VirtualHost>

変更を適用するため、Apacheサービスを再起動します。

systemctl restart httpd.service

WebサーバーでHTTP Strict Transport Security (HSTS)を有効にする

Zabbix Webコンソールをプロトコルダウングレード攻撃から保護するには、WebサーバーでHSTSポリシーを有効にすることをお勧めします。

Apache構成でZabbixフロントエンドのHSTSポリシーを有効にするには、次の手順に従います。

1. 仮想ホストの構成ファイルを見つけます。

  • RHELベースのシステムの場合、/etc/httpd/conf/httpd.conf
  • Debian/Ubuntuの場合、/etc/apache2/sites-available/000-default.conf

2. 次のディレクティブを仮想ホストの設定ファイルに追加します。

<VirtualHost *:*>
           Header set Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

3. 変更を適用させるため、Apacheサービスを再起動します。

# On RHEL-based systems:
       systemctl restart httpd.service
       
       # On Debian/Ubuntu
       systemctl restart apache2.service

Webサーバーでコンテンツセキュリティポリシー (CSP)を有効にする

Zabbix Webインターフェースをクロスサイトスクリプティング (XSS)、データ インジェクション、および同様の攻撃から保護するには、Webサーバーでコンテンツセキュリティポリシーを有効にすることをお勧めします。 これを行うには、HTTPヘッダーを返すようにWeb サーバーを設定します。

次のCSPヘッダー設定は、デフォルトのZabbix Webインターフェースインストールおよびすべてのコンテンツがサイトのドメイン (サブドメインを除く) から発信されている場合にのみ適用されます。 たとえば、サイトのサブドメインまたは外部ドメインのコンテンツを表示するように URL ウィジェットを構成している場合、別のCSPヘッダー構成が必要になる場合があります。 OpenStreetMapを別のマップエンジンに追加するか、外部CSSまたはウィジェットを追加します。

Apache構成でZabbix WebインターフェースのCSPを有効にするには、次の手順に従います。

1. 仮想ホストの設定ファイルを見つけます。

  • RHELベースのシステムの場合、/etc/httpd/conf/httpd.conf
  • Debian/Ubuntuの場合、/etc/apache2/sites-available/000-default.conf

2. 次のディレクティブを仮想ホストの設定ファイルに追加します。

<VirtualHost *:*>
           Header set Content-Security-Policy: "default-src 'self' *.openstreetmap.org; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src 'self' data: *.openstreetmap.org; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self';"
       </VirtualHost>

3. 変更を適用させるため、Apacheサービスを再起動します。

# On RHEL-based systems:
       systemctl restart httpd.service
       
       # On Debian/Ubuntu
       systemctl restart apache2.service

Webサーバー情報の公開を無効にする

Webサーバーの強化プロセスの一環として、すべてのWebサーバーの署名を無効にすることをお勧めします。 Webサーバーはデフォルトでソフトウェア署名を公開します。

署名を無効にするには、例えばApacheならば構成ファイルに2行を追加します。

ServerSignature Off
       ServerTokens Prod

PHP署名 (X-Powered-By HTTPヘッダー) は、php.ini構成ファイルを変更することで無効にできます (署名はデフォルトで無効になっています)。

expose_php = Off

構成ファイルの変更を適用するには、Web サーバーの再起動が必要です。

Apacheでmod_security (libapache2-mod-security2パッケージ)を使用すると、追加のセキュリティレベルを達成できます。 mod_securityを使用すると、サーバー署名からバージョンを削除するだけでなく、サーバー署名を削除できます。mod_securityをインストールした後、"SecServerSignature"を任意の値に変更することで、署名を任意の値に変更できます。

ソフトウェア署名を削除/変更する方法については、Web サーバーのドキュメントを参照してください。

Webサーバーのデフォルトエラーページを無効にする

情報漏洩を避けるため、デフォルトのエラーページを無効にすることをお勧めします。 Webサーバーはデフォルトで組み込みエラーページを使用します。

デフォルトのエラーページは、Webサーバーの強化プロセスの一環として置き換えまたは削除する必要があります。 例えばApache Webサーバーならば、"ErrorDocument"ディレクティブを使用してカスタムエラーページ/テキストを定義できます。

デフォルトのエラーページを置き換えたり削除したりする方法については、Webサーバーのドキュメントを参照してください。

Webサーバーのテストページを削除する

情報漏洩を避けるため、Webサーバのテストページを削除することをお勧めします。 デフォルトでは、WebサーバーのWebrootには、index.htmlと呼ばれるテストページが含まれています (UbuntuのApache2を例としています)。

Webサーバーの強化プロセスの一環として、テストページを削除するか、使用できないようにする必要があります。

X-Frame-Options HTTP応答ヘッダーを設定する

デフォルトでは、ZabbixはX-Frame-Options HTTPヘッダー* がSAMEORIGINに設定されて構成されています。 つまり、ページ自体と同じオリジンを持つフレームにのみコンテンツをロードできます。

外部URLからコンテンツをプルするZabbixフロントエンド要素 (つまり、URLダッシュボードウィジェット) は、すべてのサンドボックス制限が有効になった状態で、取得したコンテンツをサンドボックスに表示します。

これらの設定により、Zabbixフロントエンドのセキュリティが強化され、XSSおよびクリックジャッキング攻撃に対する保護が提供されます。 Super adminユーザーは、必要に応じてUse iframe sandboxingおよびUse X-Frame-Options HTTP headerパラメータを変更できます。 デフォルト設定を変更する前に、リスクとメリットを慎重に比較検討してください。 iframeサンドボックスまたはX-Frame-Options HTTPヘッダーを完全にオフにすることはお勧めできません。

WindowsでSSL構成ファイルへの書き込みアクセスを取り消す

OpenSSLでコンパイルされたZabbix Windowsエージェントは、c:\openssl-64bit にあるSSL構成ファイルにアクセスしようとします。 ディスクC:の"openssl-64bit"ディレクトリは、非権限ユーザーでも作成できます。

そのため、セキュリティ強化のため、このディレクトリを手動で作成し、管理者以外のユーザーからの書き込みアクセスを取り消す必要があります。

32ビット版と64ビット版のWindowsでは、ディレクトリ名が異なることに注意してください。

暗号化

一般的なパスワードリストのファイルを非表示にする

パスワードのブルートフォース攻撃の複雑さを増すために、Webサーバーの設定を変更してファイルui/data/top_passwords.txtへのアクセスを制限することをお勧めします。 このファイルには、最も一般的なパスワードとコンテキスト固有のパスワードのリストが含まれており、パスワードポリシー推測されやすいパスワードを避けるパラメーターが有効になっている場合に、ユーザーがそのようなパスワードを設定できないようにするために使用されます。

たとえばNGINXでは、locationディレクティブを使用してファイルアクセスを制限できます。

location = /data/top_passwords.txt {
           deny all;
           return 404;
       }

Apacheの場合は.htaccessファイルを使用します。

<Files "top_passwords.txt">
           Order Allow,Deny
           Deny from all
       </Files>

ZabbixセキュリティアドバイザリとCVEデータベース

ZabbixセキュリティアドバイザリとCVEデータベースを参照してください。

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy