Aquesta secció conté les bones pràctiques per configurar el control d'accés de manera segura.
Els comptes d'usuari, en tot moment, s'han d'executar amb el mínim de privilegis possible. Això vol dir que els comptes d'usuari a la interfície Zabbix, els usuaris de bases de dades o l'usuari dels processos de servidor/proxy/agent de Zabbix només haurien de tindre els privilegis que són essencials per dur a terme les funcions previstes.
Donar privilegis addicionals a l'usuari 'zabbix' li permetrà accedir als fitxers de configuració i executar operacions que poden comprometre la seguretat de la infraestructura.
Quan es configuren els privilegis del compte d'usuari, s'ha de tindre en compte el tipus d'usuari de la interfície de Zabbix. Tingueu en compte que, tot i que el tipus d'usuari Admin té menys privilegis que el tipus d'usuari Super Admin, encara pot gestionar la configuració i executar scripts personalitzats.
Alguna informació és disponible fins i tot per a usuaris no privilegiats. Per exemple, mentre que Alertes → Scripts només és disponible per als usuaris Super Admin, els scripts també es poden recuperar mitjançant l'API Zabbix. En aquest cas, limitar els permisos dels scripts i excloure informació sensible dels scripts (per exemple, les credencials d'accés) pot ajudar a evitar exposar la informació sensible disponible als scripts globals.
Per defecte, el servidor Zabbix i els processos de l'agent Zabbix comparteixen un usuari 'zabbix'. Per assegurar-vos que l'agent Zabbix no pot accedir als detalls sensibles de la configuració del servidor (com ara la informació d'inici de sessió de la base de dades), l'agent s'ha d'executar com un usuari diferent:
User
de configuració de l'agent.L'agent de Windows Zabbix compilat amb OpenSSL mirarà de trobar el fitxer de configuració SSL a c:\\openssl-64bit
. El directori openssl-64bit
de la unitat C
el poden crear usuaris sense privilegis.
Per reforçar la seguretat, cal crear aquest directori manualment i revocar l'accés d'escriptura als usuaris que no són administradors.
Tingueu en compte que els noms dels directoris seran diferents a les versions de Windows de 32 i 64 bits.
Algunes funcionalitats es poden desactivar per reforçar la seguretat dels components Zabbix: