Aquesta secció conté les bones pràctiques per configurar el control d'accés de manera segura.
Els comptes d'usuari, en tot moment, haurien d'executar-se amb el mínim de privilegis possible. Això vol dir que els comptes d'usuari al frontend de Zabbix, els usuaris de la base de dades o l'usuari per als processos del servidor/proxy/agent de Zabbix només haurien de tindre els privilegis que són essencials per dur a terme les funcions previstes.
Donar privilegis addicionals a l'usuari 'zabbix' li permetrà accedir als fitxers de configuració i executar operacions que poden comprometre la seguretat de la infraestructura.
A l'hora de configurar els privilegis dels comptes d'usuari, s'hauria de tindre en compte els tipus d'usuari de la interfície de Zabbix. Tingueu en compte que, tot i que el tipus d'usuari Admin té menys privilegis que el tipus d'usuari SuperAdmin, encara pot gestionar la configuració i executar scripts personalitzats.
Hi ha informació disponible fins i tot per a usuaris sense privilegis. Per exemple, mentre que Alertes → Scripts només és disponible per a usuaris de Superadministrador, els scripts també es poden recuperar a través de l'API de Zabbix. En aquest cas, limitar els permisos dels scripts i excloure informació sensible dels scripts (per exemple, les credencials d'accés) pot ajudar a evitar exposar informació sensible disponible als scripts globals.
Per defecte, el servidor Zabbix i els processos de l'agent Zabbix comparteixen un usuari 'zabbix'. Per assegurar-vos que l'agent Zabbix no pot accedir als detalls sensibles de la configuració del servidor (com ara la informació d'inici de sessió de la base de dades), l'agent s'ha d'executar com un usuari diferent:
User
de configuració de l'agent.Si heu compilat l'agent Zabbix a Windows, amb OpenSSL ubicat en un directori no protegit (per exemple, c:\openssl-64bit
, C:\OpenSSL-Win64-111-static
, o C:\dev\openssl
), assegureu-vos de revocar l'accés d'escriptura dels usuaris que no són administradors a aquest directori. En cas contrari, l'agent carrega la configuració SSL des d'una ruta que poden modificar els usuaris sense privilegis, cosa que pot donar lloc a una vulnerabilitat de seguretat.
Algunes funcionalitats es poden desactivar per reforçar la seguretat dels components Zabbix: