17 Mejores prácticas de seguridad
Resumen
Esta sección contiene las mejores prácticas para configurar Zabbix de forma segura.
Las prácticas de esta sección no son necesarias para el funcionamiento de Zabbix, pero se recomiendan para mejorar la seguridad del sistema.
Codificación UTF-8
UTF-8 es la única codificación compatible con Zabbix. Se sabe que funciona sin ninguna vulnerabilidad de seguridad. Los usuarios deben tener en cuenta que se conocen problemas de seguridad al usar algunas de las otras codificaciones.
Rutas del instalador de Windows
Al usar instaladores de Windows, se recomienda utilizar las rutas predeterminadas proporcionadas por el instalador. Usar rutas personalizadas sin los permisos adecuados podría comprometer la seguridad de la instalación.
Macros en scripts globales definidos por el usuario
Para mejorar la seguridad, se recomienda usar funciones de macro en lugar de macros simples en los scripts globales definidos por el usuario, ya que las macros no se escapan automáticamente.
Avisos de seguridad de Zabbix y base de datos CVE
Consulte Avisos de seguridad de Zabbix y base de datos CVE.
Plantillas de correo electrónico HTML
Al crear o editar plantillas de mensaje utilizadas para correos electrónicos HTML, envuelva siempre cada macro con la función de macro htmlencode().
Por ejemplo:
<b>Problem started</b> at {{EVENT.TIME}.htmlencode()} on {{EVENT.DATE}.htmlencode()}<br><b>Problem name:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Host:</b> {{HOST.NAME}.htmlencode()}
<br><b>Severity:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Operational
data:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Original problem ID:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}El uso de htmlencode() garantiza que cualquier carácter HTML en los valores de las macros se escape y evita la inyección de HTML en las notificaciones (por ejemplo, que un atacante inserte un enlace malicioso o de phishing en una notificación).
Nota: los mensajes de correo electrónico HTML predeterminados proporcionados por Zabbix ya aplican htmlencode() a las macros.
Esta recomendación se aplica al editar plantillas existentes o al crear nuevas: verifique que las macros estén codificadas antes de usar una plantilla para enviar correo electrónico HTML.