1 Control d'accés

Visió general

Aquesta secció conté les bones pràctiques per configurar el control d'accés de manera segura.

Principi del mínim privilegi

Els comptes d'usuari, en tot moment, haurien d'executar-se amb el mínim de privilegis possible. Això vol dir que els comptes d'usuari al frontend de Zabbix, els usuaris de la base de dades o l'usuari per als processos del servidor/proxy/agent de Zabbix només haurien de tindre els privilegis que són essencials per dur a terme les funcions previstes.

Donar privilegis addicionals a l'usuari 'zabbix' li permetrà accedir als fitxers de configuració i executar operacions que poden comprometre la seguretat de la infraestructura.

A l'hora de configurar els privilegis dels comptes d'usuari, s'hauria de tindre en compte els tipus d'usuari de la interfície de Zabbix. Tingueu en compte que, tot i que el tipus d'usuari Admin té menys privilegis que el tipus d'usuari SuperAdmin, encara pot gestionar la configuració i executar scripts personalitzats.

Hi ha informació disponible fins i tot per a usuaris sense privilegis. Per exemple, mentre que AlertesScripts només és disponible per a usuaris de Superadministrador, els scripts també es poden recuperar a través de l'API de Zabbix. En aquest cas, limitar els permisos dels scripts i excloure informació sensible dels scripts (per exemple, les credencials d'accés) pot ajudar a evitar exposar informació sensible disponible als scripts globals.

Usuari segur per a l'agent Zabbix

Per defecte, els processos del servidor, el proxy i l'agent (o agent 2) de Zabbix comparteixen un usuari zabbix. Per evitar que l'agent/agent 2 de Zabbix (que s'executa a la mateixa màquina que el servidor/proxy) accedeixi a detalls confidencials de la configuració del servidor/proxy (per exemple, les credencials de la base de dades), l'agent s'ha d'executar amb un usuari diferent:

Per a l'agent Zabbix:

  1. Creeu un grup i usuari segur (per exemple, zabbix-agent).

  2. Definiu aquest usuari al paràmetre del fitxer de configuració de l'agent Usuari.

  3. Reinicieu l'agent per arrossegar privilegis al nou usuari.

Per a l'agent 2 de Zabbix, la configuració s'ha d'aplicar a nivell de servei, perquè el fitxer de configuració de l'agent 2 no admet el paràmetre Usuari.

Per obtenir un exemple, vegeu ZBX-26442.

Revoca l'accés d'escriptura a la configuració SSL (Windows)

Si heu compilat l'agent Zabbix a Windows, amb OpenSSL ubicat en un directori no protegit (per exemple, C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static, o C:\dev\openssl), assegureu-vos de revocar l'accés d'escriptura dels usuaris que no són administradors a aquest directori. En cas contrari, l'agent carrega la configuració SSL des d'una ruta que poden modificar els usuaris sense privilegis, cosa que pot donar lloc a una vulnerabilitat de seguretat.

Millora de la seguretat dels components Zabbix

Algunes funcionalitats es poden desactivar per reforçar la seguretat dels components Zabbix:

  • L'execució global d'scripts al servidor Zabbix es pot desactivar si estableix EnableGlobalScripts=0 a la configuració del servidor;
  • L'execució global d'scripts al proxy Zabbix és desactivada per defecte (es pot activar configurant EnableRemoteCommands=1 a la configuració del proxy);
  • L'execució d'script global als agents Zabbix és desactivada per defecte (es pot activar afegint un paràmetre AllowKey=system.run[<command>,*] per a cada ordre permesa a la configuració de l'agent);
  • L'autenticació HTTP de l'usuari es pot desactivar configurant `$ALLOW_HTTP_AUTH=false' al fitxer de configuració de la interfície (zabbix.conf.php). Tingueu en compte que la reinstal·lació de la interfície (executant setup.php) esborrarà aquest paràmetre.