1 アクセス制御

概要

このセクションでは、アクセス制御を安全に設定するためのベストプラクティスについて説明します。

最小権限の原則

ユーザーアカウントは常に、できるだけ少ない権限で実行する必要があります。 これは、Zabbix Webインターフェースのユーザーアカウント、データベースユーザー、Zabbixサーバー/プロキシ/エージェントのプロセスユーザーには、目的の機能を実行するために必要な権限のみが与えられる必要があることを意味します。

ユーザーアカウントの権限を設定するときは、Zabbix Webインターフェースのユーザータイプを考慮する必要があります。 Adminユーザータイプは、Super Adminユーザータイプより権限が少ないにもかかわらず、設定を管理し、カスタムスクリプトを実行できることに注意してください。

Zabbixエージェント用のセキュアなユーザー

デフォルトでは、Zabbixサーバー、プロキシ、およびエージェント（またはエージェント 2）のプロセスは、1つの zabbix ユーザーを共有します。
Zabbixエージェント/エージェント 2（サーバー/プロキシと同じマシン上で実行される場合）が、サーバー/プロキシ設定内の機密情報（たとえば、データベース認証情報）にアクセスすることを防ぐため、エージェントは別のユーザーで実行する必要があります。

Zabbixエージェントの場合:

1. セキュアなグループとユーザー（例: zabbix-agent）を作成します。
2. エージェント設定ファイルの User パラメータにこのユーザーを設定します。
3. エージェントを再起動して、新しいユーザーに権限を切り替えます。

Zabbixエージェント 2 の場合、agent 2 configuration file は User パラメータをサポートしていないため、設定は service レベルで適用する必要があります。
例については、ZBX-26442 を参照してください。

SSL設定への書き込みアクセスを取り消す（Windows）

保護されていないディレクトリ（例: C:\zabbix、c:\openssl-64bit、C:\OpenSSL-Win64-111-static、または C:\dev\openssl）に配置された OpenSSL を使用して Windows 上で Zabbix エージェントをコンパイルした場合は、このディレクトリに対する非管理者ユーザーの書き込みアクセスを必ず取り消してください。 そうしないと、エージェントが権限のないユーザーによって変更可能なパスから SSL 設定を読み込み、潜在的なセキュリティ脆弱性につながる可能性があります。

Zabbixコンポーネントのセキュリティ強化

Zabbixコンポーネントのセキュリティを強化するために、一部の機能を無効化できます。

• Zabbix サーバー上のグローバルスクリプト実行は、サーバー設定で EnableGlobalScripts=0 を設定することで無効化できます。
• Zabbix プロキシ上のグローバルスクリプト実行は、既定で無効です（プロキシ設定で EnableRemoteCommands=1 を設定すると有効化できます）。
• Zabbix エージェント上のグローバルスクリプト実行は、既定で無効です（エージェント設定で、許可する各コマンドごとに AllowKey=system.run[<command>,*] パラメータを追加すると有効化できます）。
• ユーザーの HTTP 認証は、Webインターフェース設定ファイル (zabbix.conf.php) で $ALLOW_HTTP_AUTH=false を設定することで無効化できます。なお、Webインターフェースを再インストール（setup.php を実行）すると、このパラメータは削除されます。

Windows上のZabbixエージェントによるUNCパスへのアクセス

Windows上のZabbixエージェントは、vfs.file.*、vfs.dir.*、modbus.get、perf_counter* などのアイテムでUNCパス（\\server\share\file.txt のようなSMB共有）をたどります。これは、状況によってはセキュリティリスクとなる可能性があります。

WindowsがUNCパスへのアクセスを要求されると、そのサーバーに対して認証を試みます。これは、Zabbixエージェントに対する悪意のあるリクエストによって、NTLMハッシュがリクエスト元のサーバーに漏洩する可能性があることを意味します。必要に応じて、ユーザーは AllowKey および DenyKey 設定パラメータを使用して、これを軽減できます。