17 Pratiche consigliate per la sicurezza
Panoramica
Questa sezione contiene le best practice per configurare Zabbix in modo sicuro.
Le pratiche descritte in questa sezione non sono necessarie per il funzionamento di Zabbix, ma sono consigliate per migliorare la sicurezza del sistema.
Codifica UTF-8
UTF-8 è l'unica codifica supportata da Zabbix. È noto che funziona senza alcuna vulnerabilità di sicurezza. Gli utenti devono essere consapevoli che esistono problemi di sicurezza noti se si utilizzano alcune delle altre codifiche.
Percorsi del programma di installazione di Windows
Quando si utilizzano i programmi di installazione di Windows, si consiglia di usare i percorsi predefiniti forniti dal programma di installazione. L'uso di percorsi personalizzati senza le autorizzazioni appropriate potrebbe compromettere la sicurezza dell'installazione.
Macro negli script globali definiti dall'utente
Per migliorare la sicurezza, si consiglia di usare le funzioni macro invece delle macro semplici negli script globali definiti dall'utente, poiché le macro non vengono automaticamente escape.
Avvisi di sicurezza di Zabbix e database CVE
Vedi Avvisi di sicurezza di Zabbix e database CVE.
Template email HTML
Quando si creano o modificano template di messaggio usati per le email HTML, racchiudere sempre ogni macro con la funzione macro htmlencode().
Ad esempio:
<b>Problema iniziato</b> alle {{EVENT.TIME}.htmlencode()} il {{EVENT.DATE}.htmlencode()}<br><b>Nome del problema:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Host:</b> {{HOST.NAME}.htmlencode()}
<br><b>Gravità:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Dati
operativi:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>ID problema originale:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}L'uso di htmlencode() garantisce che eventuali caratteri HTML nei valori delle macro vengano escapati e impedisce l'iniezione di HTML nelle notifiche (ad esempio, un attaccante che inserisce un link malevolo/phishing in una notifica).
Nota: i messaggi email HTML predefiniti forniti da Zabbix applicano già htmlencode() alle macro.
Questa indicazione si applica quando si modificano template esistenti o se ne creano di nuovi: verificare che le macro siano codificate prima di usare un template per inviare email HTML.