Aquesta secció conté les bones pràctiques per configurar el control d'accés de manera segura.
Els comptes d'usuari, en tot moment, s'han d'executar amb el mínim de privilegis possible. Això vol dir que els comptes d'usuari a la interfície Zabbix, els usuaris de bases de dades o l'usuari dels processos de servidor/proxy/agent de Zabbix només haurien de tindre els privilegis que són essencials per dur a terme les funcions previstes.
Donar privilegis addicionals a l'usuari 'zabbix' li permetrà accedir als fitxers de configuració i executar operacions que poden comprometre la seguretat de la infraestructura.
Quan es configuren els privilegis del compte d'usuari, s'ha de tindre en compte Zabbix tipus d'usuari frontal. Tingueu en compte que, tot i que el tipus d'usuari Admin té menys privilegis que el tipus d'usuari Super Admin, encara pot gestionar la configuració i executar scripts personalitzats.
Alguna informació és disponible fins i tot per a usuaris no privilegiats. Per exemple, mentre que Alertes → Scripts només és disponible per als usuaris Super Admin, els scripts també es poden recuperar mitjançant l'API Zabbix. En aquest cas, limitar els permisos dels scripts i excloure informació sensible dels scripts (per exemple, les credencials d'accés) pot ajudar a evitar exposar la informació sensible disponible als scripts globals.
Per defecte, els processos del servidor, el proxy i l'agent (o agent 2) de Zabbix comparteixen un usuari zabbix
. Per evitar que l'agent/agent 2 de Zabbix (que s'executa a la mateixa màquina que el servidor/proxy) accedeixi a detalls sensibles de la configuració del servidor/proxy (per exemple, les credencials de la base de dades), l'agent s'ha d'executar amb un usuari diferent:
Per a l'agent Zabbix:
Creeu un grup i usuari segurs (per exemple, zabbix-agent
).
Definiu aquest usuari al paràmetre del fitxer de configuració de l'agent Usuari.
Reinicieu l'agent per deixar anar privilegis al nou usuari.
Per a l'agent 2 de Zabbix, la configuració s'ha d'aplicar al nivell de servei, perquè el fitxer de configuració de l'agent 2 no admet el paràmetre Usuari
.
Per obtenir un exemple, vegeu ZBX-26442.
Si heu compilat l'agent Zabbix a Windows, amb OpenSSL ubicat en un directori no protegit (per exemple, C:\zabbix
, c:\openssl-64bit
, C:\OpenSSL-Win64-111-static
, o C:\dev\openssl
), assegureu-vos de revocar l'accés d'escriptura dels usuaris que no són administradors a aquest directori. En cas contrari, l'agent carrega la configuració SSL des d'una ruta que poden modificar els usuaris sense privilegis, cosa que pot donar lloc a una vulnerabilitat de seguretat.
Algunes funcionalitats es poden desactivar per reforçar la seguretat dels components Zabbix: