Documentation

Esta é uma tradução da página de documentação original em inglês. Ajude-nos a torná-la melhor.
1 Estrutura do manual
2 O que é o Zabbix
3 Funcionalidades do Zabbix
4 Visão geral do Zabbix
5 What's new in Zabbix 6.4.0
6 What's new in Zabbix 6.4.1
6 What's new in Zabbix 6.4.4
7 What's new in Zabbix 6.4.2
8 What's new in Zabbix 6.4.3
10 What's new in Zabbix 6.4.5
12 What's new in Zabbix 6.4.6
12 What's new in Zabbix 6.4.7
13 What's new in Zabbix 6.4.8
14 What's new in Zabbix 6.4.9
15 What's new in Zabbix 6.4.10
16 What's new in Zabbix 6.4.11
17 What's new in Zabbix 6.4.12
18 What's new in Zabbix 6.4.13
19 What's new in Zabbix 6.4.14
2. Definições
1 Cluster de alta disponibilidade
3 Agent 2
3 Agente
4 Proxy
1 Setup from sources
2 Setup from RHEL packages
3 Setup from Debian/Ubuntu packages
6 Sender
7 Get
8 JS
9 Serviço Web
1 Obtendo o Zabbix
1 PostgreSQL plugin dependencies
2 MongoDB plugin dependencies
Best practices for secure Zabbix setup
Construindo Agente Zabbix 2 no Windows
Criando agente Zabbix no Windows
Criando o agente Zabbix no macOS
1 Sistema operacional Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Instalação agente Windows por MSI
5 Instalação de agente Mac OS pelo PKG
6 Lançamentos instáveis
5 Instalação por containers
6 Instalação da interface web
7 Modificações nos Templates
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
Atualização a partir dos fontes
Upgrade from containers
1 Compilation issues
10 Upgrade notes for 6.4.0
11 Upgrade notes for 6.4.1
12 Upgrade notes for 6.4.2
13 Upgrade notes for 6.4.3
13 Upgrade notes for 6.4.4
14 Upgrade notes for 6.4.5
15 Upgrade notes for 6.4.6
17 Upgrade notes for 6.4.7
18 Upgrade notes for 6.4.8
19 Upgrade notes for 6.4.9
20 Upgrade notes for 6.4.10
21 Upgrade notes for 6.4.11
22 Upgrade notes for 6.4.12
23 Upgrade notes for 6.4.13
24 Upgrade notes for 6.4.14
1 Autenticando e configurando usuário
2 Novo host
3 Novo item
4 Nova trigger
5 Recebendo notificação de problema
6 Novo modelo (template)
6. Aplicação Zabbix
1 Configurando um host
2 Inventário
3 Atualização em massa
1 Agente Zabbix 2
Chaves de item específicas para Windows
1 Índices Dinâmicos
2 Special OIDs
3 Arquivos MIB
3 Traps SNMP
4 Verificações IPMI
1 Chaves de item de monitoramento VMware
6 Monitoramento de arquivo de log
Cálculos agregados
8 Verificações internas
9 Verificações SSH
10 Verificações telnet
11 Verificações externas
12 Itens de captura (trapper)
13 Monitoramento JMX
1 Configurações UnixODBC recomendadas para MySQL
2 Configurações UnixODBC recomendadas para PostgreSQL
3 Configurações UnixODBC recomendadas para Oracle
4 Configurações UnixODBC recomendadas para MSSQL
15 Itens dependentes
16 Agente HTTP
17 Verificações Prometheus
18 Script items
1 Formato da chave de item
2 Intervalos customizados
1 Exemplos de uso
2 Detalhes de pré-processamento
Escapando caracteres especiais de valores de macro LLD em JSONPath
Objetos JavaScript adicionais
5 Pré-processamento CSV para JSON
4 História e tendências
1 Estendendo agentes Zabbix
7 contadores de desempenho do Windows
8 Atualização em massa
8 Mapeamento de valores
10 Fila
11 Cache de valores
12 Execute agora
13 Restringindo verificações de agentes
1 Configurando um gatilho
2 Expressão de acionamento
3 Dependências dos gatilhos
4 Severidade de gatilho
5 Customizando severidades de gatilho
6 Atualização em massa
7 Funções de gatilho preditivas
1 Geração de evento de gatilho
2 Outras fontes de evento
3 Encerramento manual de problemas
1 Correlação de evento baseada em gatilho
2 Correlação de eventos global
6 Marcação
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad hoc
4 Agregação em gráficos
1 Configurando um mapa de rede
2 Elementos do grupo de hosts
3 Indicadores de links
3 Painéis
4 Painéis de host
1 Configurando um modelo
2 Vinculando/desvinculando
3 Aninhamento
4 Atualização em massa
HTTP template operation
Modelos padronizados para dispositivos de rede
operação de modelo ODBC
Operação de template do agente Zabbix 2
Operação do modelo do agente Zabbix
operação do modelo IPMI
Operação do modelo JMX
1 E-mail
2 SMS
3 Scripts de alerta customizados
Exemplos de script de webhook
1 Condições
1 Enviando mensagem
2 Comandos remotos
3 Operações adicionais
4 Usando macros em mensagens
3 Operações de recuperação
4 Operações de atualização
5 Escalações
3 Recebendo notificação sobre itens não suportados
1 Funções macro
2 Macros de usuário
2 Secret user macros
3 Macros de usuário com contexto
4 Macros de descoberta de baixo nível
6 Expression macros
1 Configurando um usuário
2 Permissões
3 Grupos de usuários
CyberArk configuration
HashiCorp configuration
14 Scheduled reports
1 Export to files
2 Streaming to external systems
1 Service tree
3 SLA
4 Setup example
1 Itens de monitoramento web
2 Cenário real de Monitoramento Web
1 Campos de chave de descoberta de máquina virtual
1 Chaves de item de monitoramento da VMware
4 VMware monitoring setup example
JSON examples for VMware items
11. Manutenção
12. Expressões regulares
1 Supressão de problemas
1 Grupos de Templates
2 Grupos de host
2 Templates
3 Hosts
5 Mapas de rede
5 Tipos de mídia
1 Configurando uma regra de descoberta de rede
2 Registro automático de agente ativo
1 Protótipos de itens
2 Protótipos de gatilho
3 Protótipos de gráficos
4 Host prototypes
4 Notas sobre descoberta de baixo nível
1 Descoberta de sistemas de arquivos montados
2 Descoberta de interfaces de rede
3 Descoberta de CPUs e núcleos de CPU
4 Descoberta de OIDs SNMP
4 Discovery of SNMP OIDs
5 Descoberta de objetos JMX
6 Descoberta de sensores IPMI
7 Descoberta de serviços systemd
8 Descoberta de serviços do Windows
9 Descoberta de instâncias do contador de desempenho do Windows
10 Descoberta usando consultas WMI
11 Descoberta usando consultas ODBC SQL
12 Descoberta usando dados do Prometheus
13 Descoberta de dispositivos de bloco
14 Descoberta de interfaces de host no Zabbix
1 Synchronization of monitoring configuration
1 Usando certificados
2 Usando chaves pré-compartilhadas
1 Tipo de conexão ou problemas de permissão
2 Problemas de certificado
3 PSK problems
1 Menu de contexto de evento
2 Menu de contexto de host
3 Menu de contexto de item
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
1 Cause and symptom problems
1 Gráficos
2 Cenários Web
4 Dados recentes
6 Descoberta
9 Mapas
1 Services
3 SLA
4 Relatório de SLA
1 Visão geral
2 Hosts
1 Informações do sistema
2 Relatórios agendados
3 Relatório de disponibilidade
4 Top 100 de triggers
5 Audit log
6 Log de ações
7 Notificações
1 Geral
2 Audit log
2 Proxies
3 Housekeeping
5 Macros
9 Fila
1 Grupos de Host
1 Template groups
1 Items
2 Triggers
3 Gráficos
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Host prototypes
5 Cenários Web
1 Items
2 Triggers
3 Gráficos
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Host prototypes
5 Cenários Web
5 Maintenance
6 Event correlation
7 Discovery
5 Ações
7 Tipos de mídia
8 Scripts
1 Grupos de usuários
3 Usuários
4 Tokens API
1 HTTP
2 LDAP
3 SAML (Linguagem de Marcação de Asserção de Segurança)
5 Funções do usuário
1 Notificações globais
2 Som nos navegadores
4 Pesquisa global
5 Modo de manutenção de front-end
6 Parâmetros da página
7 Definições
8 Criando seu próprio tema
9 Modo de depuração
10 Cookies usados pelo Zabbix
11 Fuso horário
12 Redefinindo senha
> Objeto de alerta
alerta.obter
> Objeto de autenticação
autenticação.get
authentication.update
> Objeto de registro automático
autoregistration.get
autoregistration.update
> Objeto de ação
action.update
ação.criar
ação.excluir
ação.obter
> Objeto de cenário Web
httptest.create
httptest.delete
httptest.get
httptest.update
configuration.export
configuration.import
configuração.importcompare
> Objeto de conexão
connector.create
connector.delete
Método connector.get
Método connector.update
> Objeto de correlação
correlation.get
correlation.update
Descrição
Método correlation.create
> Objeto de configurações
settings.get
settings.update
> Objeto de evento
event.acknowledge
event.get
> Objeto de expressão regular
regexp.create
regexp.delete
regexp.get
regexp.update
> Objeto de função
role.create
role.delete
role.get
role.update
> Objeto do grupo de hosts
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Objeto de grupo de usuários
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objeto gráfico
graph.create
graph.delete
graph.get
graph.update
> Objeto histórico
history.get
histórico.limpar
> Objeto host
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objeto host descoberto
dhost.get
> Objeto de imagem
image.create
image.delete
image.get
imagem.atualização
apiinfo.versão
> Objeto de interface do host
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objeto de item
item.create
item.delete
item.get
item.update
> Objeto de item de gráfico
graphitem.get
> User macro object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objeto de manutenção
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objeto de mapa
map.create
map.delete
map.get
map.update
> Objeto de mapa de ícones
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Module object
module.create
module.delete
module.get
module.update
> Objeto de nó de alta disponibilidade
hanode.get
> Objeto do painel
1 Log de ação
2 Relógio (clock)
3 Visão geral dos dados
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create (criar dashboard)
dashboard.update (atualização de dashboard)
painel.delete
painel.get
> Objeto de dashboard
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objeto do problema
problem.get
> Objeto protótipo gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objeto protótipo do host
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objeto protótipo de item
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objeto de protótipo de trigger
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objeto de log de auditoria
auditlog.get
> Objeto de regra de descoberta
drule.create
drule.delete
drule.get
drule.update
> Regra de objeto LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> objeto de relatório
report.create
report.delete
report.get
report.update
> Objeto de script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Objeto de serviço
service.create
service.delete
service.get
service.update
> Housekeeping object
housekeeping.get
housekeeping.update
> Objeto de serviço descoberto
dservice.get
> objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objeto de tarefa
task.create
task.get
> Objeto Template
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template group object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> Objeto de tendência
trend.get
> Objeto de tipo de mídia
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objeto token
token.create
token.delete
token.generate
token.get
token.update
> Objeto de trigger
trigger.create
trigger.delete
trigger.get
trigger.update
> User object
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
> User directory object
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objeto de verificação de descoberta
dcheck.get
Apêndice 1. Comentário de referência
Apêndice 2. Alterações de 6.2 para 6.4
Mudanças na API do Zabbix 6.4
1 Building loadable plugins
3 Frontend modules
6 Módulos carregáveis
1 Perguntas frequentes / Solução de problemas
1 Criação do banco de dados
2 Reparando o conjunto de caracteres e agrupamento do banco de dados Zabbix
3 Atualização de banco de dados para chaves primárias
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
5 Configuração do TimescaleDB
6 Configuração do Elasticsearch
8 Notas específicas de distribuição sobre a configuração do Nginx para Zabbix
9 Executando agente como root
10 Agente Zabbix no Microsoft Windows
11 Configuração SAML com Okta
11 Oracle database setup
11 SAML setup with Microsoft Azure AD
12 Setting up scheduled reports
13 SAML setup with OneLogin
14 Idiomas frontend adicionais
15 Upgrading to numeric values of extended range
1 servidor Zabbix
2 Zabbix proxy
3 Agente Zabbix (UNIX)
4 Agente Zabbix 2 (UNIX)
5 Zabbix agent (Windows)
6 Agente Zabbix 2 (Windows)
1 Plugin Ceph
2 Plugin Docker
3 Plugin Memcached
4 Plugin Modbus
5 Plugin MongoDB
6 Plugin MQTT
7 MSSQL plugin
7 MySQL plugin
8 Plugin Oracle
9 PostgreSQL plugin
10 Plugin Redis
11 Plugin Smart
8 Zabbix Java Gateway
9 Serviço web Zabbix
10 Inclusão
1 Protocolo de troca de dados servidor-proxy
2 Protocolo do agente Zabbix
3 Protocolo de envio Zabbix
3 Zabbix agent 2 protocol
4 Cabeçalho
4 Zabbix agent 2 plugin protocol
5 Protocolo de exportação em tempo real
2 parâmetros vm.memory.size
2 Passive and active agent checks
4 Codificação dos valores retornados
4 Trapper items
5 Minimum permission level for Windows agent items
5 Suporte a grandes arquivos
7 Sensores
8 Observações sobre o parâmetro memtype em itens proc.mem
9 Observações sobre seleção de processos nos itens proc.mem e proc.num
10 Detalhes de implementação das verificações net.tcp.service ed net.udp.service
11 proc.get parameters
12 Definições de host inalcançável/inacessível
13 Monitoramento remoto das estatísticas do Zabbix
14 Configurando Kerberos com Zabbix
15 parâmetros modbus.get
16 Creating custom performance counter names for VMware
17 Return values
1 Funções Foreach
2 Funções bit a bit
3 Funções de data e hora
4 Funções de histórico
5 Trend functions
6 Funções matemáticas
6 Operator functions
7 Prediction functions
8 String functions
1 Macros suportadas por localização
2 User macros supported by location
8 Símbolos de unidade
9 Sintaxe do período de tempo
10 Execução de comandos
11 Compatibilidade entre versões
14 Python library for Zabbix API
14 Tratamento de erros do banco de dados
15 Biblioteca de links dinâmicos do remetente Zabbix para Windows
17 Service monitoring upgrade
18 Agente vs agente 2 comparação
18 Escaping examples
18 Outros problemas
1. Monitor Linux with Zabbix agent
2 Monitor Windows with Zabbix agent
3. Monitor Apache via HTTP
4. Monitor MySQL with Zabbix agent 2
5 Monitor VMware with Zabbix
manifest.json
Ações
Ativos
Registrar um novo módulo
Configuração
Apresentação
Criar um módulo (tutorial)
Crie um widget (tutorial)
Exemplos
Exemplos
Crie um plugin (tutorial)
Interfaces de plug-in
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

Best practices for secure Zabbix setup

Visão geral

Esta seção contém boas práticas que devem ser observadas de modo a configurar o Zabbix de uma forma segura.

As práticas contidas aqui não são necessárias para o funcionamento do Zabbix. Elas são recomendadas para uma melhor segurança do sistema.

Access control

Princípio do menor privilégio

O princípio do menor privilégio deve ser usado todo o tempo no Zabbix. Este princípio implica que contas de usuário (no Zabbix Frontend) ou usuários de processo (para Zabbix Server/Proxy ou Agent) tenham apenas aqueles privilégios essenciais para executar as funções pretendidas. Em outras palavras, contas de usuário devem fornecer o mínimo de privilégios possível, durante todo o tempo.

Fornecer permissões extras ao usuário 'zabbix' permitirá que este acesse os arquivos de configuração e execute operações que podem comprometer a segurança geral da infraestrutura.

Quando implementando o princípio de mínimo privilégio para contas de usuário, os tipos de usuário do frontend do Zabbix devem ser levados em conta. É importante entender que enquanto um usuário do tipo "Admin" tem menos privilégios do um usuário do tipo "Super Admin", ele tem permissões administrativas que o permitem gerenciar configurações e executar scripts customizados.

Algumas informações estão disponíveis até mesmo para usuários sem privilégio. Por exemplo, conquanto AdministraçãoScripts esteja disponível apenas para usuários Super Admins, os próprios scripts estão disponíveis para recuperação através do uso da API do Zabbix. Limitação nas permissões dos scripts e a não adição de informações sensíveis (como credenciais de acesso, etc) devem ser consideradas para evitar a exposição de informações sensíveis existentes nos scripts globais.

Usuário seguro para Zabbix Agent

Na configuração padrão, os processos do Zabbix Server e Zabbix Agent compartilham um usuário 'zabbix'. Se você desejar certificar-se de que o Agent não tenha acesso a detalhes sensíveis na configuração do Server (p.e. informações de login do banco de dados), o Agent deve ser executado com um usuário diferente:

  1. Crie um usuário seguro
  2. Especifique este usuário no arquivo de configuração (parâmetro 'User') do Agent
  3. Reinicie o Agent com privilégios de administrador. Estes privilégios serão substituídos pelos privilégios do usuário especificado.

Codificação UTF-8

O UTF-8 é o único formato de codificação suportado pelo Zabbix. É conhecido por operar sem quaisquer falhas de segurança. Usuários devem estar cientes de que há problemas de segurança conhecidos quando usando algum dos outros formatos.

Windows installer paths

When using Windows installers, it is recommended to use default paths provided by the installer as using custom paths without proper permissions could compromise the security of the installation.

Configurando SSL para Zabbix Frontend

No RHEL/Centos, instale o pacote mod_ssl:

yum install mod_ssl

Crie diretório para as chaves SSL:

mkdir -p /etc/httpd/ssl/private
       chmod 700 /etc/httpd/ssl/private

Crie o certificado SSL:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/private/apache-selfsigned.key -out /etc/httpd/ssl/apache-selfsigned.crt

Preencha cada informação com os dados apropriados. A linha mais importante é a que solicita o Nome Comum (Common Name). Aqui você precisa informar o nome de domínio que deseja que seja associado ao seu servidor. Você pode informar o endereço de IP público caso não tenha um nome de domínio. Neste artigo nós faremos uso do nome example.com.

Country Name (2 letter code) [XX]:
       State or Province Name (full name) []:
       Locality Name (eg, city) [Default City]:
       Organization Name (eg, company) [Default Company Ltd]:
       Organizational Unit Name (eg, section) []:
       Common Name (eg, your name or your server's hostname) []:example.com
       Email Address []:

Edite as configurações de SSL do Apache:

/etc/httpd/conf.d/ssl.conf
       
       DocumentRoot "/usr/share/zabbix"
       ServerName example.com:443
       SSLCertificateFile /etc/httpd/ssl/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/httpd/ssl/private/apache-selfsigned.key

Reinicie o serviço do Apache para aplicar as alterações:

systemctl restart httpd.service

Web server hardening

Habilitando o Zabbix no diretório raíz da URL

Adicione um virtual host na configuração do Apache e configure um redirecionamento permanente do diretório raíz (DocumentRoot) para a URL com SSL do Zabbix. Não esqueça de substituir example.com pelo nome real do servidor.

/etc/httpd/conf/httpd.conf
       
       #Linhas adicionais
       
       <VirtualHost *:*>
           ServerName example.com
           Redirect permanent / https://example.com
       </VirtualHost>

Reinicie o serviço do Apache para aplicar as alterações:

systemctl restart httpd.service && systemctl status httpd.service

Habilitando HTTP Strict Transport Security (HSTS) no servidor web

Para proteger o Zabbix Frontend contra ataques de rebaixamento de protocolo, nós recomendamos habilitar a política de HSTS no servidor web.

Por exemplo, para habilitar a política HSTS para seu Zabbix Frontend na configuração do Apache:

/etc/httpd/conf/httpd.conf

adicione a seguinte diretiva à configuração do seu virtual host:

<VirtualHost *:443>
          Header set Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

Reinicie o serviço do Apache para aplicar as alterações:

systemctl restart httpd.service

Enabling Content Security Policy (CSP) on the web server

To protect Zabbix frontend against Cross Site Scripting (XSS), data injection, and similar attacks, we recommend enabling Content Security Policy on the web server. To do so, configure the web server to return the HTTP header.

The following CSP header configuration is only for the default Zabbix frontend installation and for cases when all content originates from the site's domain (excluding subdomains). A different CSP header configuration may be required if you are, for example, configuring the URL widget to display content from the site's subdomains or external domains, switching from OpenStreetMap to another map engine, or adding external CSS or widgets.

To enable CSP for your Zabbix frontend in Apache configuration, follow these steps:

1. Locate your virtual host's configuration file:

  • /etc/httpd/conf/httpd.conf on RHEL-based systems
  • /etc/apache2/sites-available/000-default.conf on Debian/Ubuntu

2. Add the following directive to your virtual host's configuration file:

<VirtualHost *:*>
           Header set Content-Security-Policy: "default-src 'self' *.openstreetmap.org; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src 'self' data: *.openstreetmap.org; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self';"
       </VirtualHost>

3. Restart the Apache service to apply the changes:

# On RHEL-based systems:
       systemctl restart httpd.service
       
       # On Debian/Ubuntu
       systemctl restart apache2.service

Desabilitando exposição de informação do servidor web

É recomendado desabilitar todas as assinaturas do web server como parte do processo de garantia da segurança. O Web Server expõe sua assinatura de software por padrão:

A assinatura pode ser desabilitada através da adição de duas linhas no arquivo de configuração do Apache, por exemplo::

ServerSignature Off
       ServerTokens Prod

A assinatura do PHP (X-Powered-By HTTP header) pode ser desabilitada pela alteração do arquivo de configuração php.ini (neste caso a assinatura é desabilitada por padrão):

expose_php = Off

Um reinício do Web Server é necessário para que as alterações no arquivo de configuração sejam aplicadas.

Um nível adicional de segurança pode ser alcançado usando mod_security (pacote libapache2-mod-security2) com Apache. O mod_security permite remover toda a assinatura do server em vez de apenas remover a versão. A assinatura pode ser alterada para qualquer valor pela alteração de "SecServerSignature" para um valor desejado após a instalação do mod_security.

Por favor, consulte a documentação do seu Web Server para encontrar auxílio em como remover/alterar as assinaturas de software.

Desabilitando as páginas de erro padrão do Web Server

É recomendado desabilitar as páginas de erro padrão para evitar exposição de informação. O Web Server usa as páginas de erro embutidas por padrão:

Páginas de erro padrão devem ser substituídas/removidas como parte do processo de aprimoramento da segurança. A diretiva "ErrorDocument" pode ser usada para definir uma página/texto de erro customizado para o Apache Web Server (usado como exemplo).

Por favor, consulte a documentação do seu Web Server para encontrar auxílio em como substituir/remover as páginas de erro padrão.

Removendo a página de teste do Web Server

É recomendado remover a página de teste do Web Server para evitar a exposição de informações. Por padrão, o diretório raíz do Web Server contém uma página de teste chamada index.html (usando Apache2 no Ubuntu como exemplo):

A página de teste deve ser removida ou tornada indisponível como parte do processo de aprimoramento da segurança do Web Server.

Configurações do Zabbix

Por padrão, o Zabbix possui a opção X-Frame-Options HTTP response header configurada como SAMEORIGIN, significando que o conteúdo só pode ser carregado em um frame que tenha a mesma origem da página em si.

Os elementos do Zabbix Frontend que buscam conteúdo de URLs externas (especificamente, o widget de URL para dashboard) apresentam o conteúdo encontrado em uma área isolada (sandbox) com todas as restrições habilitadas.

Estas configurações aprimoram a segurança do Zabbix Frontend e proveem proteção contra ataques do tipo XSS e clickjacking. Super Admins podem modificar os parâmetros iframe sandboxing e X-Frame-Options HTTP response header conforme necessário. Por favor, pese cuidadosamente os riscos e benefícios antes de alterar as configurações padrão. Desativar completamente a função de sandboxing ou X-Frame-Options não é recomendado.

Zabbix Windows Agent com OpenSSL

O Zabbix Windows Agent compilado com OpenSSL tentará encontrar o arquivo de configuração SSL em C:\openssl-64bit. O diretório "openssl-64bit" na partição C: pode ser criado por usuários sem privilégio elevado.

Assim, para aprimoramento da segurança, é necessária a criação deste diretório manualmente e então a retirada do acesso de escrita para os usuários que não sejam administradores.

Por favor, note que os nomes do diretório serão diferentes nas versões 32-bit e 64-bit do Windows.

Cryptography

Escondendo o arquivo com lista de senhas mais comuns

Para aumentar a complexidade de ataques de força bruta sobre senha, é sugerido limitar o acesso ao arquivo ui/data/top_passwords.txt modificando a configuração do Web Server. Este arquivo contém uma lista das senhas mais comuns e com contexto específico, e é usado para prevenir os usuários de criar senhas semelhantes se o parâmetro Avoid easy-to-guess passwords estiver habilitado na política de senha.

Por exemplo, no NGINX o acesso ao arquivo pode ser limitado usando a diretiva location:

location = /data/top_passwords.txt {​​​​​​​
           deny all;
           return 404;
       }​​​​​​​

No Apache, usando o arquivo .htacess:

<Files "top_passwords.txt">  
         Order Allow,Deny
         Deny from all
       </Files>

Zabbix Security Advisories and CVE database

See Zabbix Security Advisories and CVE database.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy