Table of Contents
1 Control de acceso
Descripción general
Esta sección contiene las mejores prácticas para configurar el control de acceso de forma segura.
Principio de privilegio mínimo
Las cuentas de usuario, en todo momento, deben ejecutarse con la menor cantidad de privilegios posible. Esto significa que las cuentas de usuario en la interfaz de Zabbix, los usuarios de la base de datos o el usuario para los procesos de Zabbix server/proxy/agent solo deben tener los privilegios esenciales para realizar las funciones previstas.
Otorgar privilegios adicionales al usuario 'zabbix' le permitirá acceder a archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad de la infraestructura.
Al configurar los privilegios de las cuentas de usuario, se deben considerar los tipos de usuario de la interfaz de Zabbix. Tenga en cuenta que, aunque el tipo de usuario Admin tiene menos privilegios que el tipo de usuario Super Admin, aún puede gestionar la configuración y ejecutar scripts personalizados.
Algunas informaciones están disponibles incluso para usuarios sin privilegios. Por ejemplo, aunque Alertas → Scripts está disponible solo para usuarios Super Admin, los scripts también pueden recuperarse a través de la API de Zabbix. En este caso, limitar los permisos de los scripts y excluir información sensible de los scripts (por ejemplo, credenciales de acceso) puede ayudar a evitar la exposición de información sensible disponible en scripts globales.
Usuario seguro para el agente de Zabbix
Por defecto, los procesos del servidor Zabbix y del agente Zabbix comparten un usuario 'zabbix'. Para garantizar que el agente Zabbix no pueda acceder a detalles sensibles en la configuración del servidor (por ejemplo, información de acceso a la base de datos), el agente debe ejecutarse como un usuario diferente:
- Cree un usuario seguro.
- Especifique este usuario en el parámetro
Userdel archivo de configuración del agente. - Reinicie el agente con privilegios de administrador. Los privilegios se reducirán al usuario especificado.
Revocar el acceso de escritura a la configuración SSL (Windows)
Si ha compilado el agente Zabbix en Windows, con OpenSSL ubicado en un directorio no protegido (por ejemplo, C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static o C:\dev\openssl), asegúrese de revocar el acceso de escritura a los usuarios que no sean administradores en este directorio. De lo contrario, el agente cargará la configuración SSL desde una ruta que puede ser modificada por usuarios sin privilegios, lo que resulta en una posible vulnerabilidad de seguridad.
Endurecimiento de la seguridad de los componentes de Zabbix
Se puede desactivar cierta funcionalidad para endurecer la seguridad de los componentes de Zabbix:
- la ejecución de scripts globales en el servidor Zabbix puede deshabilitarse estableciendo EnableGlobalScripts=0 en la configuración del servidor;
- la ejecución de scripts globales en el proxy Zabbix está deshabilitada por defecto (puede habilitarse estableciendo EnableRemoteCommands=1 en la configuración del proxy);
- la ejecución de scripts globales en los agentes Zabbix está deshabilitada por defecto (puede habilitarse añadiendo un parámetro AllowKey=system.run[<command>,*] para cada comando permitido en la configuración del agente);
- la autenticación HTTP de usuario puede deshabilitarse estableciendo
$ALLOW_HTTP_AUTH=falseen el archivo de configuración del frontend (zabbix.conf.php). Tenga en cuenta que reinstalar el frontend (ejecutar setup.php) eliminará este parámetro.