1 Рекомендации по обеспечению безопасности
Обзор
Этот раздел содержит рекомендации по безопасной настройке Zabbix.
Практики, описанные в этом разделе, не являются обязательными для работы Zabbix, но рекомендуются для повышения безопасности системы.
Кодировка UTF-8
UTF-8 — единственная кодировка, поддерживаемая Zabbix. Известно, что она работает без каких-либо уязвимостей безопасности. Пользователям следует учитывать, что при использовании некоторых других кодировок существуют известные проблемы безопасности.
Пути установщика Windows
При использовании установщиков Windows рекомендуется использовать пути по умолчанию, предлагаемые установщиком. Использование пользовательских путей без надлежащих разрешений может поставить под угрозу безопасность установки.
Макросы в пользовательских глобальных скриптах
Для повышения безопасности рекомендуется использовать функции макросов вместо обычных макросов в пользовательских глобальных скриптах, так как макросы не экранируются автоматически.
Рекомендации по безопасности Zabbix и база данных CVE
См. Рекомендации по безопасности Zabbix и база данных CVE.
HTML-шаблоны электронной почты
При создании или редактировании шаблонов сообщений, используемых для HTML-писем, всегда оборачивайте каждый макрос в макрофункцию htmlencode().
Например:
<b>Problem started</b> at {{EVENT.TIME}.htmlencode()} on {{EVENT.DATE}.htmlencode()}<br><b>Problem name:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Host:</b> {{HOST.NAME}.htmlencode()}
<br><b>Severity:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Operational
data:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Original problem ID:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}Использование htmlencode() гарантирует, что любые HTML-символы в значениях макросов будут экранированы, и предотвращает внедрение HTML в уведомления (например, когда злоумышленник вставляет вредоносную/фишинговую ссылку в уведомление).
Примечание: в стандартных HTML-сообщениях электронной почты, предоставляемых Zabbix, htmlencode() уже применяется к макросам.
Эта рекомендация относится к редактированию существующих шаблонов и созданию новых — перед использованием шаблона для отправки HTML-писем убедитесь, что макросы закодированы.