1 Контрола приступа

Преглед

Овај одељак садржи најбоље праксе за подешавање контроле приступа на безбедан начин.

Принцип са најмање привилегија

Кориснички налози, у сваком тренутку, треба да раде са што мање привилегија. То значи да кориснички налози у Zabbix корисничком интерфејсу, корисници базе података или корисник за Zabbix сервер/прокси/агент процесе треба да има само привилегије које су неопходне за обављање предвиђених функција.

Давање додатних привилегија 'zabbix' кориснику омогући ће му приступ конфигурационим датотекама и извршавање операција које могу угрозити безбедност инфраструктуре.

Приликом конфигурисања привилегија корисничког налога, треба узети у обзир Zabbix типове корисника корисничког интерфејса. Имајте на уму да иако тип корисника Администратор има мање привилегија од типа корисника Супер администратор, он и даље може да управља конфигурацијом и извршава прилагођене скрипте.

Неке информације су доступне чак и за кориснике без привилегија. На пример, иако је опција УпозорењаСкрипте доступна само за кориснике са статусом Супер администратора, скрипте се такође могу преузети путем Zabbix API-ја. У овом случају, ограничавање дозвола за скрипте и искључивање осетљивих информација из скрипти (на пример, креденцијала за приступ) може помоћи у избегавању откривања осетљивих информација доступних у глобалним скриптама.

Безбедан корисник за Zabbix агент

Подразумевано, процеси Zabbix сервера и Zabbix агента деле једног 'zabbix' корисника. Да би се осигурало да Zabbix агент не може да приступи осетљивим детаљима у конфигурацији сервера (на пример, информацијама за пријаву на базу података), агент треба да се покрене као други корисник:

  1. Креирајте безбедног корисника.
  2. Наведите овог корисника у параметру конфигурационе датотеке агента User.
  3. Поново покрените агента са администраторским привилегијама. Привилегије ће бити пренете наведеном кориснику.

Опозовите приступ за писање SSL конфигурације (Windows)

Ако сте компајлирали Zabbix агента на Windows-у, са OpenSSL-ом који се налази у незаштићеном директоријуму (нпр. c:\openssl-64bit, C:\OpenSSL-Win64-111-static или C:\dev\openssl), обавезно опозовите приступ за писање корисницима који нису администратори у овом директоријуму. У супротном, агент учитава SSL подешавања са путање коју могу изменити непривилеговани корисници, што резултира потенцијалном безбедносном рањивошћу.

Појачавање безбедности Zabbix компоненти

Неке функције се могу искључити да би се појачала безбедност Zabbix компоненти:

  • глобално извршавање скрипте на Zabbix серверу се може онемогућити постављањем EnableGlobalScripts=0 у конфигурацији сервера;
  • глобално извршавање скрипте на Zabbix прокси серверу је подразумевано онемогућено (може се омогућити подешавањем EnableRemoteCommands=1 у конфигурацији проксија);
  • глобално извршавање скрипте на Zabbix агентима је подразумевано онемогућено (може се омогућити додавањем параметра AllowKey=system.run[<command>,*] за сваку дозвољену команду у конфигурацији агента);
  • HTTP аутентификација корисника се може онемогућити постављањем $ALLOW_HTTP_AUTH=false у конфигурационој датотеци корисничког интерфејса (zabbix.conf.php). Имајте на уму да ће поновна инсталација корисничког интерфејса (покретање setup.php) уклонити овај параметар.