Овај одељак садржи најбоље праксе за подешавање контроле приступа на безбедан начин.
Кориснички налози, у сваком тренутку, треба да раде са што мање привилегија. То значи да кориснички налози у Zabbix корисничком интерфејсу, корисници базе података или корисник за Zabbix сервер/прокси/агент процесе треба да има само привилегије које су неопходне за обављање предвиђених функција.
Давање додатних привилегија 'zabbix' кориснику омогући ће му приступ конфигурационим датотекама и извршавање операција које могу угрозити безбедност инфраструктуре.
Приликом конфигурисања привилегија корисничког налога, треба узети у обзир Zabbix типове корисника корисничког интерфејса. Имајте на уму да иако тип корисника Администратор има мање привилегија од типа корисника Супер администратор, он и даље може да управља конфигурацијом и извршава прилагођене скрипте.
Неке информације су доступне чак и за кориснике без привилегија. На пример, иако је опција Упозорења → Скрипте доступна само за кориснике са статусом Супер администратора, скрипте се такође могу преузети путем Zabbix API-ја. У овом случају, ограничавање дозвола за скрипте и искључивање осетљивих информација из скрипти (на пример, креденцијала за приступ) може помоћи у избегавању откривања осетљивих информација доступних у глобалним скриптама.
Подразумевано, процеси Zabbix сервера, проксија и агента (или агента 2) деле једног zabbix
корисника. Да бисте спречили Zabbix агента/агента 2 (који ради на истој машини као и сервер/прокси) да приступа осетљивим детаљима у конфигурацији сервера/проксија (на пример, креденцијали базе података), агент треба да се покреће под другим корисником:
За Zabbix агента:
zabbix-agent
).За Zabbix агента 2, конфигурација мора бити примењена на нивоу сервиса, јер конфигурациона датотека агента 2 не подржава параметар User
. На пример, погледајте ZBX-26442.
Ако сте компајлирали Zabbix агента на Windows-у, са OpenSSL-ом који се налази у незаштићеном директоријуму (нпр. c:\openssl-64bit
, C:\OpenSSL-Win64-111-static
или C:\dev\openssl
), обавезно опозовите приступ за писање корисницима који нису администратори у овом директоријуму. У супротном, агент учитава SSL подешавања са путање коју могу изменити непривилеговани корисници, што резултира потенцијалном безбедносном рањивошћу.
Неке функције се могу искључити да би се појачала безбедност Zabbix компоненти:
$ALLOW_HTTP_AUTH=false
у конфигурационој датотеци корисничког интерфејса (zabbix.conf.php). Имајте на уму да ће поновна инсталација корисничког интерфејса (покретање setup.php) уклонити овај параметар.