Esta sección contiene las mejores prácticas para configurar el control de acceso de forma segura.
Las cuentas de usuario, en todo momento, deben ejecutarse con la menor cantidad de privilegios posible. Esto significa que las cuentas de usuario en la interfaz de Zabbix, los usuarios de la base de datos o el usuario para los procesos de Zabbix server/proxy/agent solo deben tener los privilegios esenciales para realizar las funciones previstas.
Otorgar privilegios adicionales al usuario 'zabbix' le permitirá acceder a archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad de la infraestructura.
Al configurar los privilegios de las cuentas de usuario, se deben considerar los tipos de usuario de la interfaz de Zabbix. Tenga en cuenta que, aunque el tipo de usuario Admin tiene menos privilegios que el tipo de usuario Super Admin, aún puede gestionar la configuración y ejecutar scripts personalizados.
Algunas informaciones están disponibles incluso para usuarios sin privilegios. Por ejemplo, aunque Alertas → Scripts está disponible solo para usuarios Super Admin, los scripts también pueden recuperarse a través de la API de Zabbix. En este caso, limitar los permisos de los scripts y excluir información sensible de los scripts (por ejemplo, credenciales de acceso) puede ayudar a evitar la exposición de información sensible disponible en scripts globales.
Por defecto, los procesos de Zabbix server, proxy y agent (o agent 2) comparten un único usuario zabbix
. Para evitar que el agente/agent 2 de Zabbix (ejecutándose en la misma máquina que el servidor/proxy) acceda a detalles sensibles en la configuración del servidor/proxy (por ejemplo, credenciales de base de datos), el agente debe ejecutarse bajo un usuario diferente:
Para el agente de Zabbix:
zabbix-agent
).Para Zabbix agent 2, la configuración debe aplicarse a nivel de servicio, ya que el archivo de configuración de agent 2 no admite el parámetro User
. Para un ejemplo, consulte ZBX-26442.
Si ha compilado el agente Zabbix en Windows, con OpenSSL ubicado en un directorio no protegido (por ejemplo, C:\zabbix
, c:\openssl-64bit
, C:\OpenSSL-Win64-111-static
o C:\dev\openssl
), asegúrese de revocar el acceso de escritura a los usuarios que no sean administradores en este directorio. De lo contrario, el agente cargará la configuración SSL desde una ruta que puede ser modificada por usuarios sin privilegios, lo que resulta en una posible vulnerabilidad de seguridad.
Se puede desactivar cierta funcionalidad para endurecer la seguridad de los componentes de Zabbix:
$ALLOW_HTTP_AUTH=false
en el archivo de configuración del frontend (zabbix.conf.php). Tenga en cuenta que reinstalar el frontend (ejecutar setup.php) eliminará este parámetro.