17 Лучшие практики безопасности
Обзор
В этом разделе приведены рекомендации по безопасной настройке Zabbix.
Практики, описанные в этом разделе, не являются обязательными для работы Zabbix, но рекомендуются для повышения безопасности системы.
Кодировка UTF-8
UTF-8 — единственная кодировка, поддерживаемая Zabbix. Известно, что она работает без каких-либо уязвимостей безопасности. Пользователям следует учитывать, что при использовании некоторых других кодировок известны проблемы безопасности.
Пути установки Windows
При использовании установщиков Windows рекомендуется использовать пути по умолчанию, предлагаемые установщиком. Использование пользовательских путей без соответствующих разрешений может поставить под угрозу безопасность установки.
Макросы в пользовательских глобальных скриптах
Для повышения безопасности рекомендуется использовать функции макросов вместо обычных макросов в пользовательских глобальных скриптах, поскольку макросы не экранируются автоматически.
Уведомления о безопасности Zabbix и база данных CVE
См. Уведомления о безопасности Zabbix и база данных CVE.
HTML-шаблоны электронных писем
При создании или редактировании шаблонов сообщений, используемых для HTML-писем, всегда заключайте каждый макрос в функцию макроса htmlencode().
Например:
<b>Проблема началась</b> в {{EVENT.TIME}.htmlencode()} на {{EVENT.DATE}.htmlencode()}<br><b>Имя проблемы:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Узел сети:</b> {{HOST.NAME}.htmlencode()}
<br><b>Серьезность:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Операционные
данные:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Идентификатор исходной проблемы:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}Использование htmlencode() гарантирует, что любые HTML-символы в значениях макросов будут экранированы, и предотвращает внедрение HTML в уведомления (например, когда злоумышленник вставляет в уведомление вредоносную/фишинговую ссылку).
Примечание: стандартные HTML-сообщения электронной почты, предоставляемые Zabbix, уже применяют htmlencode() к макросам.
Это правило относится к редактированию существующих шаблонов или созданию новых — убедитесь, что макросы закодированы, прежде чем использовать шаблон для отправки HTML-писем.