Aquesta secció conté les bones pràctiques per configurar el servidor web de manera segura.
Afegiu l'equip virtual a la configuració d'Apache (/etc/httpd/conf/httpd.conf
) i configureu la redirecció permanent per al document arrel a l'URL SSL de Zabbix. No oblideu substituir exemple.com
pel nom real del servidor.
#Afegiu les línies:
<VirtualHost *:*>
ServerName exemple.cat
Redirect permanent / https://exemple.cat
</VirtualHost>
Reinicieu el servei Apache per aplicar les modificacions:
Per protegir la interfície de Zabbix dels atacs de baixada de nivell de protocol, us recomanem que habiliteu la política HSTS al servidor web.
Per exemple, per habilitar la política HSTS per a la vostra interfície Zabbix a la configuració d'Apache:
1. Busqueu l'arxiu de configuració de l'equip virtual: - /etc/httpd/conf/httpd.conf
a sistemes basats en RHEL - /etc/apache2/sites-available/000-default.conf
a Debian/Ubuntu
2. Afegiu la següent directiva a l'arxiu de configuració del vostre equip virtual:
3. Reinicieu el servei Apache per aplicar els canvis:
# A sistemes basats en RHEL:
systemctl restart httpd.service
# A Debian/Ubuntu
systemctl restart httpd.service
Per protegir la interfície de Zabbix contra Cross Site Scripting (XSS), injecció de dades i atacs similars, us recomanem que activeu la Política de seguretat de contingut al servidor web. Per fer-ho, configureu el servidor web perquè retorni la capçalera HTTP.
La següent configuració de la capçalera del CSP només és per a la instal·lació d'interfície predeterminada de Zabbix i per als casos en què tot el contingut prové del domini del lloc (excepte els subdominis). És possible que es requereixi una configuració de capçalera CSP diferent si, per exemple, esteu configurant el giny URL per mostrar contingut dels subdominis o dominis externs del lloc, canviant de OpenStreetMap a un altre motor de mapes o afegint CSS o widgets externs. Si empreu el mètode Duo Universal Prompt autenticació multifactor, assegureu-vos d'afegir "duo.com" a la directiva CSP al fitxer de configuració del vostre equip virtual.
Per habilitar CSP per a la vostra interfície Zabbix a la configuració d'Apache, seguiu aquestes passes:
1. Localitzeu el fitxer de configuració del vostre equip virtual:
/etc/httpd/conf/httpd.conf
a sistemes basats en RHEL/etc/apache2/sites-available/000-default.conf
a Debian/Ubuntu2. Afegiu la directiva següent al fitxer de configuració del vostre host virtual:
<VirtualHost *:*>
Header set Content-Security-Policy: "default-src 'self' *.openstreetmap.org; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src 'self' data: *.openstreetmap.org; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self';"
</VirtualHost>
3. Reinicieu el servei Apache per aplicar els canvis:
# A sistemes basats en RHEL:
systemctl restart httpd.service
# A Debian/Ubuntu
systemctl restart apache2.service
Per millorar la seguretat, es recomana desactivar totes les signatures del servidor web.
De manera predeterminada, el servidor web exposa la signatura del programari:
La signatura es pot desactivar afegint els paràmetres següents al fitxer de configuració d'Apache:
La signatura PHP (capçalera HTTP X-Powered-By) es pot desactivar canviant el fitxer de configuració php.ini
(per defecte, la signatura és desactivada):
Cal reiniciar el servidor web perquè s'apliquin els canvis al fitxer de configuració.
Per a més seguretat, podeu emprar l'eina mod_security amb Apache (paquet libapache2-mod-security2). Aquesta eina permet esborrar la signatura del servidor en lloc d'eliminar només la versió de la signatura del servidor. La signatura del servidor es pot canviar a qualsevol valor configurant "SecServerSignature" a qualsevol valor desitjat després d'instal·lar mod_security.
Consulteu la documentació del vostre servidor web per trobar ajuda sobre com eliminar/canviar signatures de programari.
Per evitar l'exposició de la informació, es recomana desactivar les pàgines d'error predeterminades.
De manera predeterminada, un servidor web empra pàgines d'error integrades:
Aquestes pàgines d'error predeterminades s'han de substituir/esborrar. Per exemple, la directiva "ErrorDocument" es pot emprar per definir una pàgina/text d'error personalitzat per al servidor web Apache.
Consulteu la documentació del vostre servidor web per trobar ajuda sobre com substituir/esborrar les pàgines d'error predeterminades.
Per evitar l'exposició de la informació, es recomana esborrar la pàgina de prova del servidor web.
Per defecte, l'arrel web del servidor web Apache conté la pàgina de prova index.html
:
Consulteu la documentació del vostre servidor web per trobar ajuda sobre com esborrar les pàgines de prova predeterminades.
De manera predeterminada, Zabbix és configurat amb la capçalera HTTP X-Frame-Options establerta a SAMEORIGIN
. Això vol dir que el contingut només es pot carregar en un marc que tingui el mateix origen que la pròpia pàgina.
Els elements d'interfície de Zabbix que extreuen contingut d'URL externs (és a dir, l'URL giny del tauler de control) mostren el contingut recuperat en un sandbox amb totes les restriccions de sandbox activades.
Aquests paràmetres milloren la seguretat de la interfície Zabbix i proporcionen protecció contra atacs XSS i clickjacking. Els usuaris superadministradors poden modificar l'iframe sandboxing i la capçalera de resposta HTTP X-Frame-Options segons calgui. Penseu acuradament els riscos i els beneficis abans de canviar la configuració predeterminada. No es recomana desactivar completament la sandbox o X-Frame-Options.
Per pujar la complexitat dels atacs de força bruta amb mots de pas, es recomana limitar l'accés al fitxer ui/data/top_passwords.txt
. Aquest fitxer conté una llista dels mots de pas més comuns i específiques del context i impedeix que els usuaris estableixin aquests mots de pas (si el paràmetre Evitar mots de pas fàcils d'endevinar és habilitat a la política de mots de pas).
Per limitar l'accés al fitxer top_passwords.txt
, modifiqueu la configuració del vostre servidor web.
A Apache, l'accés al fitxer es pot limitar mitjançant el fitxer .htaccess
:
A NGINX, l'accés als fitxers es pot limitar mitjançant la directiva location
: