Esta sección contiene las mejores prácticas para configurar el control de acceso de forma segura.
Las cuentas de usuario, en todo momento, deben ejecutarse con la menor cantidad de privilegios posible. Esto significa que las cuentas de usuario en la interfaz de Zabbix, los usuarios de la base de datos o el usuario para los procesos de Zabbix server/proxy/agent solo deben tener los privilegios esenciales para realizar las funciones previstas.
Otorgar privilegios adicionales al usuario 'zabbix' le permitirá acceder a archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad de la infraestructura.
Al configurar los privilegios de las cuentas de usuario, se deben considerar los tipos de usuario de la interfaz de Zabbix. Tenga en cuenta que, aunque el tipo de usuario Admin tiene menos privilegios que el tipo de usuario Super Admin, aún puede gestionar la configuración y ejecutar scripts personalizados.
Algunas informaciones están disponibles incluso para usuarios sin privilegios. Por ejemplo, aunque Alertas → Scripts está disponible solo para usuarios Super Admin, los scripts también pueden recuperarse a través de la API de Zabbix. En este caso, limitar los permisos de los scripts y excluir información sensible de los scripts (por ejemplo, credenciales de acceso) puede ayudar a evitar la exposición de información sensible disponible en scripts globales.
Por defecto, los procesos del servidor Zabbix y del agente Zabbix comparten un usuario 'zabbix'. Para garantizar que el agente Zabbix no pueda acceder a detalles sensibles en la configuración del servidor (por ejemplo, información de acceso a la base de datos), el agente debe ejecutarse como un usuario diferente:
User
del archivo de configuración del agente.Si ha compilado el agente Zabbix en Windows, con OpenSSL ubicado en un directorio no protegido (por ejemplo, C:\zabbix
, c:\openssl-64bit
, C:\OpenSSL-Win64-111-static
o C:\dev\openssl
), asegúrese de revocar el acceso de escritura a los usuarios que no sean administradores en este directorio. De lo contrario, el agente cargará la configuración SSL desde una ruta que puede ser modificada por usuarios sin privilegios, lo que resulta en una posible vulnerabilidad de seguridad.
Se puede desactivar cierta funcionalidad para endurecer la seguridad de los componentes de Zabbix:
$ALLOW_HTTP_AUTH=false
en el archivo de configuración del frontend (zabbix.conf.php). Tenga en cuenta que reinstalar el frontend (ejecutar setup.php) eliminará este parámetro.