1 Control d'accés

Visió general

Aquesta secció conté les bones pràctiques per configurar el control d'accés de manera segura.

Principi del mínim privilegi

Els comptes d'usuari, en tot moment, haurien d'executar-se amb el mínim de privilegis possible. Això vol dir que els comptes d'usuari al frontend de Zabbix, els usuaris de la base de dades o l'usuari per als processos del servidor/proxy/agent de Zabbix només haurien de tindre els privilegis que són essencials per dur a terme les funcions previstes.

Donar privilegis addicionals a l'usuari 'zabbix' li permetrà accedir als fitxers de configuració i executar operacions que poden comprometre la seguretat de la infraestructura.

A l'hora de configurar els privilegis dels comptes d'usuari, s'hauria de tindre en compte els tipus d'usuari de la interfície de Zabbix. Tingueu en compte que, tot i que el tipus d'usuari Admin té menys privilegis que el tipus d'usuari SuperAdmin, encara pot gestionar la configuració i executar scripts personalitzats.

Hi ha informació disponible fins i tot per a usuaris sense privilegis. Per exemple, mentre que AlertesScripts només és disponible per a usuaris de Superadministrador, els scripts també es poden recuperar a través de l'API de Zabbix. En aquest cas, limitar els permisos dels scripts i excloure informació sensible dels scripts (per exemple, les credencials d'accés) pot ajudar a evitar exposar informació sensible disponible als scripts globals.

Usuari securitzat per l'agent Zabbix

Per defecte, el servidor Zabbix i els processos de l'agent Zabbix comparteixen un usuari 'zabbix'. Per assegurar-vos que l'agent Zabbix no pot accedir als detalls sensibles de la configuració del servidor (com ara la informació d'inici de sessió de la base de dades), l'agent s'ha d'executar com un usuari diferent:

  1. Creeu un usuari segur.
  2. Especifiqueu aquest usuari al paràmetre User de configuració de l'agent.
  3. Reinicieu l'agent amb privilegis d'administrador. Els privilegis seran cedits a l'usuari especificat.

Revoca l'accés d'escriptura a la configuració SSL (Windows)

Si heu compilat l'agent Zabbix a Windows, amb OpenSSL ubicat en un directori no protegit (per exemple, c:\openssl-64bit, C:\OpenSSL-Win64-111-static, o C:\dev\openssl), assegureu-vos de revocar l'accés d'escriptura dels usuaris que no són administradors a aquest directori. En cas contrari, l'agent carrega la configuració SSL des d'una ruta que poden modificar els usuaris sense privilegis, cosa que pot donar lloc a una vulnerabilitat de seguretat.

Millora de la seguretat dels components Zabbix

Algunes funcionalitats es poden desactivar per reforçar la seguretat dels components Zabbix:

  • L'execució global d'scripts al servidor Zabbix es pot desactivar si estableix EnableGlobalScripts=0 a la configuració del servidor;
  • L'execució global d'scripts al proxy Zabbix és desactivada per defecte (es pot activar configurant EnableRemoteCommands=1 a la configuració del proxy);
  • L'execució d'script global als agents Zabbix és desactivada per defecte (es pot activar afegint un paràmetre AllowKey=system.run[<command>,*] per a cada ordre permesa a la configuració de l'agent);
  • L'autenticació HTTP de l'usuari es pot desactivar configurant `$ALLOW_HTTP_AUTH=false' al fitxer de configuració de la interfície (zabbix.conf.php). Tingueu en compte que la reinstal·lació de la interfície (executant setup.php) esborrarà aquest paràmetre.