1. Наилучшие практики по безопасности
Обзор
В этом разделе содержатся рекомендации по настройке Zabbix безопасным образом.
Рекомендации в этом разделе не требуются для работы Zabbix, но рекомендуются для лучшей безопасности системы.
Кодировка UTF-8
UTF-8 является единственной кодировкой, которая поддерживается Zabbix. Известно, что она работает без каких-либо проблем с безопасностью. Пользователи должны знать, что существуют известные проблемы с безопасностью при использовании некоторых других кодировок.
Пути инсталлятора Windows
При использовании инсталлятора Windows рекомендуется использовать предоставляемые инсталлятором пути по умолчанию. Использование пользовательских путей без надлежащим образом назначенных прав может скомпрометировать безопасность вашей инсталляции.
Макросы в определяемых пользователем глобальных скриптах
Для повышения безопасности рекомендуется в определяемых пользователем глобальных скриптах использовать функции макросов вместо обычных макросов, поскольку макросы не экранируются автоматически.
Рекомендации по безопасности Zabbix и база данных CVE
См. Рекомендации по безопасности Zabbix и базу данных CVE.
Шаблон электронных писем в формате HTML
При создании или редактировании шаблонов сообщений, используемых для электронных писем в формате HTML, всегда заключайте каждый макрос в функцию макросов htmlencode().
Например:
<b>Начало проблемы:</b> {{EVENT.TIME}.htmlencode()} {{EVENT.DATE}.htmlencode()} числа<br><b>Имя проблемы:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Узел сети:</b> {{HOST.NAME}.htmlencode()}
<br><b>Важность:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Оперативные данные:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Идентификатор исходной проблемы:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}Применение htmlencode() обеспечивает экранирование любых HTML-символов в значениях макросов, что предотвращает несанкционированную вставку HTML в уведомление (например, вставку атакующим в оповещение зловредной/фишинговой ссылки).
Обратите внимание: email сообщения в формате HTML по умолчанию, предоставленные компанией Zabbix, уже применяют htmlencode() к макросам.
Эти рекомендации применимы при редактировании существующих шаблонов или создании новых — убедитесь, что макросы закодированы, прежде чем использовать шаблон для отправки электронных писем в формате HTML.