1 Контрола приступа

Преглед

Овај одељак садржи најбоље праксе за подешавање контроле приступа на безбедан начин.

Принцип најмање привилегија

Кориснички налози, у сваком тренутку, треба да раде са што мање привилегија. То значи да кориснички налози у Zabbix фронтенду, корисници базе података или корисник за Zabbix сервер/прокси/агент процесе треба да имају само привилегије које су неопходне за обављање предвиђених функција.

Давање додатних привилегија кориснику „zabbix“ омогућиће му приступ конфигурационим датотекама и извршавање операција које могу угрозити безбедност инфраструктуре.

Приликом конфигурисања привилегија корисничког налога, треба узети у обзир Zabbix типове корисника фронтенда. Имајте на уму да иако тип корисника Admin има мање привилегија од типа корисника Super Admin, он и даље може да управља конфигурацијом и извршава прилагођене скрипте.

Неке информације су доступне чак и за кориснике без привилегија. На пример, иако је опција УпозорењаСкрипте доступна само за кориснике са статусом Супер администратора, скрипте се такође могу преузети путем Zabbix API-ја. У овом случају, ограничавање дозвола за скрипте и искључивање осетљивих информација из скрипти (на пример, акредитива за приступ) може помоћи у избегавању откривања осетљивих информација доступних у глобалним скриптама.

Безбедан корисник за Zabbix агента

Подразумевано, процеси Zabbix сервера, проксија и агента (или агента 2) деле једног zabbix корисника. Да бисте спречили Zabbix агента/агента 2 (који ради на истој машини као и сервер/прокси) да приступа осетљивим детаљима у конфигурацији сервера/проксија (на пример, акредитиви базе података), агент треба да се покреће под другим корисником:

За Zabbix агента:

  1. Направите безбедну групу и корисника (нпр., zabbix-agent).

  2. Поставите овог корисника у параметру Корисник конфигурационе датотеке агента.

  3. Поново покрените агента да бисте препустили привилегије новом кориснику.

За Zabbix агента 2, конфигурација мора бити примењена на нивоу сервиса, јер конфигурациона датотека агента 2 не подржава параметар User. За пример, погледајте ZBX-26442.

Опозовите приступ за писање SSL конфигурације (Windows)

Ако сте компајлирали Zabbix агента на Windows-у, са OpenSSL-ом који се налази у незаштићеном директоријуму (нпр., C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static, или C:\dev\openssl), обавезно опозовите приступ за писање корисницима који нису администратори у овом директоријуму. У супротном, агент учитава SSL подешавања са путање коју могу изменити непривилеговани корисници, што резултира потенцијалном безбедносном рањивошћу.

Појачавање безбедности Zabbix компоненти

Неке функције се могу искључити да би се појачала безбедност Zabbix компоненти:

  • глобално извршавање скрипте на Zabbix серверу се може онемогућити постављањем EnableGlobalScripts=0 у конфигурацији сервера;
  • глобално извршавање скрипте на Zabbix прокси серверу је подразумевано онемогућено (може се омогућити подешавањем EnableRemoteCommands=1 у конфигурацији проксија);
  • глобално извршавање скрипте на Zabbix агентима је подразумевано онемогућено (може се омогућити додавањем параметра AllowKey=system.run[<command>,*] за сваку дозвољену команду у конфигурацији агента);
  • HTTP аутентикација корисника се може онемогућити постављањем $ALLOW_HTTP_AUTH=false у конфигурационој датотеци корисничког интерфејса (zabbix.conf.php). Имајте на уму да ће поновна инсталација корисничког интерфејса (покретање setup.php) уклонити овај параметар.