17 Sicherheitsbewährte Praktiken
Übersicht
Dieser Abschnitt enthält Best Practices für die sichere Einrichtung von Zabbix.
Die in diesem Abschnitt beschriebenen Best Practices sind für den Betrieb von Zabbix nicht erforderlich, werden jedoch für eine höhere Systemsicherheit empfohlen.
UTF-8-Kodierung
UTF-8 ist die einzige von Zabbix unterstützte Kodierung. Es ist bekannt, dass sie ohne Sicherheitslücken funktioniert. Benutzer sollten sich bewusst sein, dass bei der Verwendung einiger anderer Kodierungen bekannte Sicherheitsprobleme bestehen.
Windows-Installer-Pfade
Bei der Verwendung von Windows-Installationsprogrammen wird empfohlen, die vom Installationsprogramm bereitgestellten Standardpfade zu verwenden. Die Verwendung benutzerdefinierter Pfade ohne entsprechende Berechtigungen könnte die Sicherheit der Installation beeinträchtigen.
Makros in benutzerdefinierten globalen Skripten
Zur Erhöhung der Sicherheit wird empfohlen, Makrofunktionen anstelle von einfachen Makros in benutzerdefinierten globalen Skripten zu verwenden, da Makros nicht automatisch maskiert werden.
Zabbix-Sicherheitsmeldungen und CVE-Datenbank
Siehe Zabbix-Sicherheitsmeldungen und CVE-Datenbank.
HTML-E-Mail-Vorlagen
Wenn Sie Nachrichtenvorlagen erstellen oder bearbeiten, die für HTML-E-Mails verwendet werden, umschließen Sie immer jedes Makro mit der Makrofunktion htmlencode().
Zum Beispiel:
<b>Problem gestartet</b> um {{EVENT.TIME}.htmlencode()} am {{EVENT.DATE}.htmlencode()}<br><b>Problemname:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Host:</b> {{HOST.NAME}.htmlencode()}
<br><b>Schweregrad:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Betriebsdaten:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Ursprüngliche Problem-ID:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}Die Verwendung von htmlencode() stellt sicher, dass alle HTML-Zeichen in Makrowerten maskiert werden, und verhindert das Einschleusen von HTML in Benachrichtigungen (z. B. wenn ein Angreifer einen schädlichen/phishing Link in eine Benachrichtigung einfügt).
Hinweis: Die von Zabbix bereitgestellten standardmäßigen HTML-E-Mail-Nachrichten wenden htmlencode() bereits auf Makros an.
Diese Empfehlung gilt beim Bearbeiten vorhandener Vorlagen oder beim Erstellen neuer Vorlagen - stellen Sie sicher, dass Makros kodiert sind, bevor Sie eine Vorlage zum Senden von HTML-E-Mails verwenden.