1 Bonnes pratiques de sécurité
Vue d’ensemble
Cette section contient les bonnes pratiques pour configurer Zabbix de manière sécurisée.
Les pratiques décrites dans cette section ne sont pas nécessaires au fonctionnement de Zabbix, mais sont recommandées pour une meilleure sécurité du système.
Encodage UTF-8
UTF-8 est le seul encodage pris en charge par Zabbix. Il est reconnu pour fonctionner sans aucune faille de sécurité. Les utilisateurs doivent savoir qu’il existe des problèmes de sécurité connus lors de l’utilisation de certains autres encodages.
Chemins de l’installateur Windows
Lors de l’utilisation des installateurs Windows, il est recommandé d’utiliser les chemins par défaut fournis par l’installateur. L’utilisation de chemins personnalisés sans autorisations appropriées pourrait compromettre la sécurité de l’installation.
Macros dans les scripts globaux définis par l'utilisateur
Pour renforcer la sécurité, il est recommandé d'utiliser des fonctions de macro au lieu de macros simples dans les scripts globaux définis par l'utilisateur, car les macros ne sont pas automatiquement échappées.
Avis de sécurité Zabbix et base de données CVE
Consultez Avis de sécurité Zabbix et base de données CVE.
Modèles d'e-mail HTML
Lors de la création ou de la modification de modèles de message utilisés pour les e-mails HTML, encapsulez toujours chaque macro avec la fonction de macro htmlencode().
Par exemple :
<b>Problem started</b> at {{EVENT.TIME}.htmlencode()} on {{EVENT.DATE}.htmlencode()}<br><b>Problem name:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Host:</b> {{HOST.NAME}.htmlencode()}
<br><b>Severity:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Operational
data:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Original problem ID:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}L'utilisation de htmlencode() garantit que tous les caractères HTML dans les valeurs de macro sont échappés et empêche l'injection de code HTML dans les notifications (par exemple, lorsqu'un attaquant insère un lien malveillant/de phishing dans une notification).
Remarque : les messages d'e-mail HTML par défaut fournis par Zabbix appliquent déjà htmlencode() aux macros.
Cette recommandation s'applique lors de la modification de modèles existants ou de la création de nouveaux modèles — vérifiez que les macros sont encodées avant d'utiliser un modèle pour envoyer un e-mail HTML.