1 Control d'accés
Vista general
Aquesta secció conté les bones pràctiques per configurar el control d'accés de manera segura.
Principi de privilegis mínims
Els comptes d'usuari, en tot moment, s'han d'executar amb el mínim de privilegis possible. Això vol dir que els comptes d'usuari a la interfície Zabbix, els usuaris de bases de dades o l'usuari dels processos de servidor/proxy/agent de Zabbix només haurien de tindre els privilegis que són essencials per dur a terme les funcions previstes.
Donar privilegis addicionals a l'usuari 'zabbix' li permetrà accedir als fitxers de configuració i executar operacions que poden comprometre la seguretat de la infraestructura.
Quan es configuren els privilegis del compte d'usuari, s'ha de tindre en compte Zabbix tipus d'usuari frontal. Tingueu en compte que, tot i que el tipus d'usuari Admin té menys privilegis que el tipus d'usuari Super Admin, encara pot gestionar la configuració i executar scripts personalitzats.
Alguna informació és disponible fins i tot per a usuaris no privilegiats. Per exemple, mentre que Alertes → Scripts només és disponible per als usuaris Super Admin, els scripts també es poden recuperar mitjançant l'API Zabbix. En aquest cas, limitar els permisos dels scripts i excloure informació sensible dels scripts (per exemple, les credencials d'accés) pot ajudar a evitar exposar la informació sensible disponible als scripts globals.
Usuari securitzat per l'agent Zabbix
Per defecte, el servidor Zabbix i els processos de l'agent Zabbix comparteixen un usuari 'zabbix'. Per assegurar-vos que l'agent Zabbix no pot accedir als detalls sensibles de la configuració del servidor (com ara la informació d'inici de sessió de la base de dades), l'agent s'ha d'executar com un usuari diferent:
- Creeu un usuari segur.
- Especifiqueu aquest usuari al paràmetre
Userde configuració de l'agent. - Reinicieu l'agent amb privilegis d'administrador. Els privilegis seran cedits a l'usuari especificat.
Revoca l'accés d'escriptura a la configuració SSL (Windows)
Si heu compilat l'agent Zabbix a Windows, amb OpenSSL ubicat en un directori no protegit (per exemple, c:\openssl-64bit, C:\OpenSSL-Win64-111-static, o C:\dev\openssl), assegureu-vos de revocar l'accés d'escriptura dels usuaris que no són administradors a aquest directori. En cas contrari, l'agent carrega la configuració SSL des d'una ruta que poden modificar els usuaris sense privilegis, cosa que pot donar lloc a una vulnerabilitat de seguretat.
Millora de la seguretat dels components Zabbix
Algunes funcionalitats es poden desactivar per reforçar la seguretat dels components Zabbix:
- L'execució global d'scripts al servidor Zabbix es pot desactivar si estableix
EnableGlobalScripts=0a la configuració del servidor. - L'execució global d'scripts al proxy Zabbix és desactivada per defecte (es pot activar configurant
EnableRemoteCommands=1a la configuració del proxy). - L'execució d'script global als agents Zabbix és desactivada per defecte (es pot activar afegint un paràmetre
AllowKey=system.run[<command>,\*]per a cada ordre permesa a la configuració de l'agent). - L'autenticació HTTP de l'usuari es pot desactivar configurant
$ALLOW_HTTP_AUTH=falseal fitxer de configuració de la interfície (zabbix.conf.php). Tingueu en compte que la reinstal·lació de la interfície (executantsetup.php) esborrarà aquest paràmetre.
Accés a la ruta UNC a Windows per part de l'agent Zabbix
Els agents Zabbix a Windows segueixen les rutes UNC (recursos SMB com \\server\share\file.txt) en elements com vfs.file.*, vfs.dir.*, modbus.get i perf_counter*. Això pot ser un risc de seguretat en alguns contextos.
Quan es demana a Windows que accedeixi a una ruta UNC, intenta autenticar-se en aquest servidor. Això significa que una petició maliciosa a l'agent Zabbix pot exposar el hash NTLM al servidor peticionari. Els usuaris poden amortir-ho amb els paràmetres de configuració AllowKey i DenyKey, si escau.