1 Piekļuves kontrole

Pārskats

Šajā sadaļā ir ietvertas labākās prakses, kā drošā veidā iestatīt piekļuves kontroli.

Vismazāko privilēģiju princips

Lietotāju kontiem vienmēr jādarbojas ar pēc iespējas mazāku privilēģiju skaitu. Tas nozīmē, ka lietotāju kontiem Zabbix lietotāja saskarnē, datubāzes lietotājiem vai lietotājam Zabbix servera/starpniekservera/aģenta procesos vajadzētu būt tikai tām privilēģijām, kas ir būtiskas paredzēto funkciju veikšanai.

Papildu privilēģiju piešķiršana lietotājam 'zabbix' ļaus tam piekļūt konfigurācijas failiem un izpildīt darbības, kas var apdraudēt infrastruktūras drošību.

Konfigurējot lietotāju kontu privilēģijas, jāņem vērā Zabbix lietotāja saskarnes lietotāju tipi. Ņemiet vērā, ka, lai gan Admin lietotāja tipam ir mazāk privilēģiju nekā Super Admin lietotāja tipam, tas joprojām var pārvaldīt konfigurāciju un izpildīt pielāgotus skriptus.

Daļa informācijas ir pieejama arī lietotājiem bez privilēģijām. Piemēram, lai gan AlertsScripts ir pieejams tikai Super Admin lietotājiem, skriptus var iegūt arī, izmantojot Zabbix API. Šādā gadījumā skriptu atļauju ierobežošana un sensitīvas informācijas izslēgšana no skriptiem (piemēram, piekļuves akreditācijas dati) var palīdzēt izvairīties no sensitīvas informācijas atklāšanas globālajos skriptos.

Drošs lietotājs Zabbix aģentam

Pēc noklusējuma Zabbix servera, starpniekservera un aģenta (vai agent 2) procesi izmanto vienu zabbix lietotāju. Lai novērstu to, ka Zabbix aģents/agent 2 (kas darbojas tajā pašā datorā, kur serveris/starpniekserveris) piekļūst sensitīvai informācijai servera/starpniekservera konfigurācijā (piemēram, datubāzes akreditācijas datiem), aģents jāpalaiž ar citu lietotāju:

Zabbix aģentam:

  1. Izveidojiet drošu grupu un lietotāju (piem., zabbix-agent).
  2. Iestatiet šo lietotāju aģenta konfigurācijas faila User parametrā.
  3. Pārstartējiet aģentu, lai tas pārietu uz jaunā lietotāja privilēģijām.

Zabbix agent 2 gadījumā konfigurācija jāpiemēro pakalpojuma līmenī, jo agent 2 konfigurācijas fails neatbalsta User parametru. Piemēru skatiet ZBX-26442.

Atsaukt rakstīšanas piekļuvi SSL konfigurācijai (Windows)

Ja esat kompilējis Zabbix aģentu operētājsistēmā Windows un OpenSSL atrodas neaizsargātā direktorijā (piem., C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static vai C:\dev\openssl), pārliecinieties, ka lietotājiem, kas nav administratori, ir atsaukta rakstīšanas piekļuve šim direktorijam. Pretējā gadījumā aģents ielādē SSL iestatījumus no ceļa, ko var modificēt lietotāji bez paaugstinātām tiesībām, tādējādi radot iespējamu drošības ievainojamību.

Zabbix komponentu drošības pastiprināšana

Dažas funkcijas var izslēgt, lai pastiprinātu Zabbix komponentu drošību:

  • Globālo skriptu izpildi Zabbix serverī var atspējot, iestatot EnableGlobalScripts=0 servera konfigurācijā.
  • Globālo skriptu izpilde Zabbix starpniekserverī pēc noklusējuma ir atspējota (to var iespējot, iestatot EnableRemoteCommands=1 starpniekservera konfigurācijā).
  • Globālo skriptu izpilde Zabbix aģentos pēc noklusējuma ir atspējota (to var iespējot, katrai atļautajai komandai aģenta konfigurācijā pievienojot parametru AllowKey=system.run[<command>,*]).
  • Lietotāja HTTP autentifikāciju var atspējot, iestatot $ALLOW_HTTP_AUTH=false lietotāja saskarnes konfigurācijas failā (zabbix.conf.php). Ņemiet vērā, ka lietotāja saskarnes atkārtota instalēšana (palaižot setup.php) noņems šo parametru.

UNC ceļa piekļuve Windows sistēmā, izmantojot Zabbix aģents

Zabbix aģenti Windows sistēmā seko UNC ceļiem (SMB koplietojumiem, piemēram, \\server\share\file.txt) tādos vienumos kā vfs.file.*, vfs.dir.*, modbus.get un perf_counter*. Dažos gadījumos tas var radīt drošības risku.

Kad Windows tiek lūgts piekļūt UNC ceļam, tā mēģina autentificēties šajā serveris. Tas nozīmē, ka ļaunprātīgs pieprasījums Zabbix aģents var atklāt NTLM jaucējvērtību pieprasījuma serveris. Lietotāji var mazināt šo risku, ja nepieciešams, izmantojot AllowKey un DenyKey konfigurācijas parametrus.