1 アクセス制御

概要

このセクションには、アクセス制御を安全に設定するためのベストプラクティスが含まれています。

最小権限の原則

ユーザーアカウントは、常に可能な限り少ない権限で実行する必要があります。
これは、Zabbix Webインターフェースのユーザーアカウント、データベースユーザー、または Zabbix サーバー/プロキシ/エージェント プロセス用のユーザーには、想定された機能を実行するために必要な権限のみを付与すべきであることを意味します。

ユーザーアカウントの権限を設定する際は、Zabbix の Webインターフェースのユーザータイプ を考慮してください。
Admin ユーザータイプは Super Admin ユーザータイプより権限が少ないものの、設定の管理やカスタムスクリプトの実行は引き続き可能です。

Zabbix エージェント用の安全なユーザー

デフォルトでは、Zabbix サーバー、プロキシ、およびエージェント（または agent 2）のプロセスは 1 つの zabbix ユーザーを共有します。
Zabbix エージェント/agent 2 が（サーバー/プロキシと同じマシン上で実行されている場合に）サーバー/プロキシの設定内にある機密情報（たとえばデータベース認証情報）へアクセスするのを防ぐには、エージェントを別のユーザーで実行する必要があります。

Zabbix エージェントの場合:

1. 安全な グループとユーザー（例: zabbix-agent）を作成します。
2. エージェントの設定ファイルの User パラメーターに、このユーザーを設定します。
3. エージェントを再起動 して、新しいユーザーに権限を切り替えます。

Zabbix agent 2 では、agent 2 の設定ファイル が User パラメーターをサポートしていないため、設定は service レベルで適用する必要があります。
例については、ZBX-26442 を参照してください。

SSL設定への書き込みアクセスを取り消す (Windows)

WindowsでZabbix エージェントをコンパイルしており、OpenSSL が保護されていないディレクトリ（例: C:\zabbix、c:\openssl-64bit、C:\OpenSSL-Win64-111-static、または C:\dev\openssl）に配置されている場合は、管理者以外のユーザーに対するこのディレクトリへの書き込みアクセスを必ず取り消してください。
そうしないと、エージェントは権限のないユーザーが変更可能なパスからSSL設定を読み込むため、潜在的なセキュリティ脆弱性につながる可能性があります。

Zabbixコンポーネントのセキュリティ強化

Zabbixコンポーネントのセキュリティを強化するために、一部の機能を無効化できます。

• Zabbixサーバーでのグローバルスクリプト実行は、サーバー設定で EnableGlobalScripts=0 を設定することで無効化できます。
• Zabbixプロキシでのグローバルスクリプト実行は、デフォルトで無効です（プロキシ設定で EnableRemoteCommands=1 を設定すると有効化できます）。
• Zabbixエージェントでのグローバルスクリプト実行は、デフォルトで無効です（エージェント設定で、許可する各コマンドに対して AllowKey=system.run[<command>,*] パラメーターを追加すると有効化できます）。
• ユーザーのHTTP認証は、Webインターフェース設定ファイル (zabbix.conf.php) で $ALLOW_HTTP_AUTH=false を設定することで無効化できます。なお、Webインターフェースを再インストール（setup.php を実行）すると、このパラメーターは削除されます。

Zabbix エージェントによる Windows での UNC パスアクセス

Windows 上の Zabbix エージェントは、vfs.file.*、vfs.dir.*、modbus.get、perf_counter* などのアイテムで、UNC パス（\\server\share\file.txt のような SMB 共有）に従います。これは、状況によってはセキュリティリスクになる可能性があります。

Windows に UNC パスへのアクセスが要求されると、そのサーバーで認証を試みます。つまり、Zabbix エージェントへの悪意ある要求によって、NTLM ハッシュが要求元のサーバーに漏えいする可能性があります。必要に応じて、ユーザーは AllowKey および DenyKey の設定パラメータでこれを軽減できます。