Aquesta secció conté les bones pràctiques per configurar el control d'accés de manera segura.
Els comptes d'usuari, en tot moment, haurien d'executar-se amb el mínim de privilegis possible. Això vol dir que els comptes d'usuari al frontend de Zabbix, els usuaris de la base de dades o l'usuari per als processos del servidor/proxy/agent de Zabbix només haurien de tindre els privilegis que són essencials per dur a terme les funcions previstes.
Donar privilegis addicionals a l'usuari 'zabbix' li permetrà accedir als fitxers de configuració i executar operacions que poden comprometre la seguretat de la infraestructura.
A l'hora de configurar els privilegis dels comptes d'usuari, s'hauria de tindre en compte els tipus d'usuari de la interfície de Zabbix. Tingueu en compte que, tot i que el tipus d'usuari Admin té menys privilegis que el tipus d'usuari SuperAdmin, encara pot gestionar la configuració i executar scripts personalitzats.
Hi ha informació disponible fins i tot per a usuaris sense privilegis. Per exemple, mentre que Alertes → Scripts només és disponible per a usuaris de Superadministrador, els scripts també es poden recuperar a través de l'API de Zabbix. En aquest cas, limitar els permisos dels scripts i excloure informació sensible dels scripts (per exemple, les credencials d'accés) pot ajudar a evitar exposar informació sensible disponible als scripts globals.
Per defecte, els processos del servidor, el proxy i l'agent (o agent 2) de Zabbix comparteixen un usuari zabbix
. Per evitar que l'agent/agent 2 de Zabbix (que s'executa a la mateixa màquina que el servidor/proxy) accedeixi a detalls confidencials de la configuració del servidor/proxy (per exemple, les credencials de la base de dades), l'agent s'ha d'executar amb un usuari diferent:
Per a l'agent Zabbix:
Creeu un grup i usuari segur (per exemple, zabbix-agent
).
Definiu aquest usuari al paràmetre del fitxer de configuració de l'agent Usuari.
Reinicieu l'agent per arrossegar privilegis al nou usuari.
Per a l'agent 2 de Zabbix, la configuració s'ha d'aplicar a nivell de servei, perquè el fitxer de configuració de l'agent 2 no admet el paràmetre Usuari
.
Per obtenir un exemple, vegeu ZBX-26442.
Si heu compilat l'agent Zabbix a Windows, amb OpenSSL ubicat en un directori no protegit (per exemple, C:\zabbix
, c:\openssl-64bit
, C:\OpenSSL-Win64-111-static
, o C:\dev\openssl
), assegureu-vos de revocar l'accés d'escriptura dels usuaris que no són administradors a aquest directori. En cas contrari, l'agent carrega la configuració SSL des d'una ruta que poden modificar els usuaris sense privilegis, cosa que pot donar lloc a una vulnerabilitat de seguretat.
Algunes funcionalitats es poden desactivar per reforçar la seguretat dels components Zabbix: