Table of Contents
1 Control de acceso
Descripción general
Esta sección contiene las mejores prácticas para configurar el control de acceso de forma segura.
Principio de privilegio mínimo
Las cuentas de usuario, en todo momento, deben ejecutarse con la menor cantidad de privilegios posible. Esto significa que las cuentas de usuario en la interfaz de Zabbix, los usuarios de la base de datos o el usuario para los procesos de Zabbix server/proxy/agent solo deben tener los privilegios esenciales para realizar las funciones previstas.
Otorgar privilegios adicionales al usuario 'zabbix' le permitirá acceder a archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad de la infraestructura.
Al configurar los privilegios de las cuentas de usuario, se deben considerar los tipos de usuario de la interfaz de Zabbix. Tenga en cuenta que, aunque el tipo de usuario Admin tiene menos privilegios que el tipo de usuario Super Admin, aún puede gestionar la configuración y ejecutar scripts personalizados.
Algunas informaciones están disponibles incluso para usuarios sin privilegios. Por ejemplo, aunque Alertas → Scripts está disponible solo para usuarios Super Admin, los scripts también pueden recuperarse a través de la API de Zabbix. En este caso, limitar los permisos de los scripts y excluir información sensible de los scripts (por ejemplo, credenciales de acceso) puede ayudar a evitar la exposición de información sensible disponible en scripts globales.
Usuario seguro para el agente de Zabbix
Por defecto, los procesos de Zabbix server, proxy y agent (o agent 2) comparten un único usuario zabbix. Para evitar que el agente/agent 2 de Zabbix (ejecutándose en la misma máquina que el servidor/proxy) acceda a detalles sensibles en la configuración del servidor/proxy (por ejemplo, credenciales de base de datos), el agente debe ejecutarse bajo un usuario diferente:
Para el agente de Zabbix:
- Cree un grupo y usuario seguro (por ejemplo,
zabbix-agent). - Establezca este usuario en el parámetro User del archivo de configuración del agente.
- Reinicie el agente para que los privilegios se reduzcan al nuevo usuario.
Para Zabbix agent 2, la configuración debe aplicarse a nivel de servicio, ya que el archivo de configuración de agent 2 no admite el parámetro User. Para un ejemplo, consulte ZBX-26442.
Revocar el acceso de escritura a la configuración SSL (Windows)
Si ha compilado el agente Zabbix en Windows, con OpenSSL ubicado en un directorio no protegido (por ejemplo, C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static o C:\dev\openssl), asegúrese de revocar el acceso de escritura a los usuarios que no sean administradores en este directorio. De lo contrario, el agente cargará la configuración SSL desde una ruta que puede ser modificada por usuarios sin privilegios, lo que resulta en una posible vulnerabilidad de seguridad.
Endurecimiento de la seguridad de los componentes de Zabbix
Se puede desactivar cierta funcionalidad para endurecer la seguridad de los componentes de Zabbix:
- la ejecución de scripts globales en el servidor Zabbix puede deshabilitarse estableciendo EnableGlobalScripts=0 en la configuración del servidor;
- la ejecución de scripts globales en el proxy Zabbix está deshabilitada por defecto (puede habilitarse estableciendo EnableRemoteCommands=1 en la configuración del proxy);
- la ejecución de scripts globales en los agentes Zabbix está deshabilitada por defecto (puede habilitarse añadiendo un parámetro AllowKey=system.run[<command>,*] para cada comando permitido en la configuración del agente);
- la autenticación HTTP de usuario puede deshabilitarse estableciendo
$ALLOW_HTTP_AUTH=falseen el archivo de configuración del frontend (zabbix.conf.php). Tenga en cuenta que reinstalar el frontend (ejecutar setup.php) eliminará este parámetro.