Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

1 Control de acceso

Descripción general

Esta sección contiene las mejores prácticas para configurar el control de acceso de forma segura.

Principio de menor privilegio

Las cuentas de usuario, en todo momento, deben ejecutarse con la menor cantidad de privilegios posible. Esto significa que las cuentas de usuario en la interfaz de Zabbix, los usuarios de la base de datos o el usuario para los procesos de servidor/proxy/agente de Zabbix solo deben tener los privilegios esenciales para realizar las funciones previstas.

Otorgar privilegios adicionales al usuario 'zabbix' le permitirá acceder a archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad de la infraestructura.

Al configurar los privilegios de las cuentas de usuario, se deben considerar los tipos de usuario de la interfaz de Zabbix. Tenga en cuenta que, aunque el tipo de usuario Admin tiene menos privilegios que el tipo de usuario Super Admin, aún puede gestionar la configuración y ejecutar scripts personalizados.

Algunas informaciones están disponibles incluso para usuarios sin privilegios. Por ejemplo, aunque AlertasScripts está disponible solo para usuarios Super Admin, los scripts también pueden recuperarse a través de la API de Zabbix. En este caso, limitar los permisos de los scripts y excluir información sensible de los mismos (por ejemplo, credenciales de acceso) puede ayudar a evitar la exposición de información confidencial disponible en los scripts globales.

Usuario seguro para el agente Zabbix

Por defecto, los procesos del servidor Zabbix y del agente Zabbix comparten un usuario 'zabbix'. Para garantizar que el agente Zabbix no pueda acceder a detalles sensibles en la configuración del servidor (por ejemplo, información de inicio de sesión de la base de datos), el agente debe ejecutarse como un usuario diferente:

  1. Cree un usuario seguro.
  2. Especifique este usuario en el parámetro User del archivo de configuración del agente.
  3. Reinicie el agente con privilegios de administrador. Los privilegios se reducirán al usuario especificado.

Revocar el acceso de escritura a la configuración SSL (Windows)

Si ha compilado el agente Zabbix en Windows, con OpenSSL ubicado en un directorio no protegido (por ejemplo, c:\openssl-64bit, C:\OpenSSL-Win64-111-static o C:\dev\openssl), asegúrese de revocar el acceso de escritura a los usuarios que no sean administradores para este directorio. De lo contrario, el agente carga la configuración SSL desde una ruta que puede ser modificada por usuarios sin privilegios, lo que resulta en una posible vulnerabilidad de seguridad.

Reforzando la seguridad de los componentes de Zabbix

Algunas funcionalidades pueden desactivarse para reforzar la seguridad de los componentes de Zabbix:

  • la ejecución de scripts globales en el servidor Zabbix puede deshabilitarse estableciendo EnableGlobalScripts=0 en la configuración del servidor;
  • la ejecución de scripts globales en el proxy Zabbix está deshabilitada por defecto (puede habilitarse estableciendo EnableRemoteCommands=1 en la configuración del proxy);
  • la ejecución de scripts globales en los agentes Zabbix está deshabilitada por defecto (puede habilitarse añadiendo un parámetro AllowKey=system.run[<comando>,*] para cada comando permitido en la configuración del agente);
  • la autenticación HTTP de usuario puede deshabilitarse estableciendo $ALLOW_HTTP_AUTH=false en el archivo de configuración del frontend (zabbix.conf.php). Tenga en cuenta que reinstalar el frontend (ejecutar setup.php) eliminará este parámetro.