Esta sección contiene las mejores practicas para configurar un control de acceso de forma segura.
Las cuentas de usuario, en todo momento, deben ejecutarse con la menor cantidad de privilegios posible. Esto significa que las cuentas de usuario en la interfaz de Zabbix, los usuarios de la base de datos o el usuario de los procesos de servidor/proxy/agente de Zabbix solo deben tener los privilegios que son esenciales para realizar las funciones previstas.
Dar privilegios adicionales al usuario 'zabbix' le permitirá acceder a archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad de la infraestructura.
Al configurar los privilegios de la cuenta de usuario, se debe considerar los tipos de usuarios de la interfaz Zabbix. Tenga en cuenta que, aunque el tipo de usuario Admin tiene menos privilegios que el tipo de usuario Super Admin, aún puede administrar la configuración y ejecutar scripts personalizados.
Parte de la información está disponible incluso para usuarios sin privilegios. Por ejemplo, aunque Alertas → Scripts está disponible solo para usuarios de Super Admin, los scripts también se pueden recuperar a través de la API de Zabbix. En este caso, limitar los permisos de los scripts y excluir información confidencial de los scripts (por ejemplo, credenciales de acceso) puede ayudar a evitar la exposición de información confidencial disponible en los scripts globales.
De forma predeterminada, los procesos del servidor Zabbix y del agente Zabbix comparten un usuario 'zabbix'. Para garantizar que el agente Zabbix no pueda acceder a detalles confidenciales en la configuración del servidor (por ejemplo, información de inicio de sesión de la base de datos), el agente debe ejecutarse como un usuario diferente:
User
del archivo de configuración del agente.El agente de Windows Zabbix compilado con OpenSSL intentará acceder al archivo de configuración SSL en c:\\openssl-64bit
. El directorio openssl-64bit
en el disco C:
puede ser creado por usuarios sin privilegios.
Para mejorar la seguridad, cree este directorio manualmente y revoque el acceso de escritura a los usuarios que no sean administradores.
Tenga en cuenta que los nombres de los directorios diferirán en las versiones de Windows de 32 y 64 bits.
Algunas funciones se pueden desactivar para reforzar la seguridad de los componentes de Zabbix:
$ALLOW_HTTP_AUTH=false
en el archivo de configuración de la interfaz (zabbix.conf.php). Tenga en cuenta que reinstalar la interfaz (ejecutando setup.php) eliminará este parámetro.