Овај одељак садржи најбоље праксе за подешавање контроле приступа на безбедан начин.
Кориснички налози, у сваком тренутку, треба да раде са што мање привилегија. То значи да кориснички налози у Zabbix корисничком интерфејсу, корисници базе података или корисник за Zabbix сервер/прокси/агент процесе треба да има само привилегије које су неопходне за обављање предвиђених функција.
Давање додатних привилегија 'zabbix' кориснику омогући ће му приступ конфигурационим датотекама и извршавање операција које могу угрозити безбедност инфраструктуре.
Приликом конфигурисања привилегија корисничког налога, треба узети у обзир Zabbix типове корисника корисничког интерфејса. Имајте на уму да иако тип корисника Администратор има мање привилегија од типа корисника Супер администратор, он и даље може да управља конфигурацијом и извршава прилагођене скрипте.
Неке информације су доступне чак и за кориснике без привилегија. На пример, иако је опција Упозорења → Скрипте доступна само за кориснике са статусом Супер администратора, скрипте се такође могу преузети путем Zabbix API-ја. У овом случају, ограничавање дозвола за скрипте и искључивање осетљивих информација из скрипти (на пример, креденцијала за приступ) може помоћи у избегавању откривања осетљивих информација доступних у глобалним скриптама.
Подразумевано, процеси Zabbix сервера и Zabbix агента деле једног 'zabbix' корисника. Да би се осигурало да Zabbix агент не може да приступи осетљивим детаљима у конфигурацији сервера (на пример, информацијама за пријаву на базу података), агент треба да се покрене као други корисник:
User
.Ако сте компајлирали Zabbix агента на Windows-у, са OpenSSL-ом који се налази у незаштићеном директоријуму (нпр. c:\openssl-64bit
, C:\OpenSSL-Win64-111-static
или C:\dev\openssl
), обавезно опозовите приступ за писање корисницима који нису администратори у овом директоријуму. У супротном, агент учитава SSL подешавања са путање коју могу изменити непривилеговани корисници, што резултира потенцијалном безбедносном рањивошћу.
Неке функције се могу искључити да би се појачала безбедност Zabbix компоненти:
$ALLOW_HTTP_AUTH=false
у конфигурационој датотеци корисничког интерфејса (zabbix.conf.php). Имајте на уму да ће поновна инсталација корисничког интерфејса (покретање setup.php) уклонити овај параметар.