1 Piekļuves kontrole

Pārskats

Šajā sadaļā ir ietvertas labākās prakses, kā drošā veidā iestatīt piekļuves kontroli.

Vismazāko privilēģiju princips

Lietotāju kontiem vienmēr jādarbojas ar pēc iespējas mazāku privilēģiju skaitu. Tas nozīmē, ka lietotāju kontiem Zabbix lietotāja saskarnē, datubāzes lietotājiem vai lietotājam Zabbix servera/starpniekservera/aģenta procesos vajadzētu būt tikai tām privilēģijām, kas ir būtiskas paredzēto funkciju veikšanai.

Papildu privilēģiju piešķiršana lietotājam 'zabbix' ļaus tam piekļūt konfigurācijas failiem un izpildīt darbības, kas var apdraudēt infrastruktūras drošību.

Konfigurējot lietotāju kontu privilēģijas, jāņem vērā Zabbix lietotāja saskarnes lietotāju tipi. Ņemiet vērā, ka, lai gan Admin lietotāja tipam ir mazāk privilēģiju nekā Super Admin lietotāja tipam, tas joprojām var pārvaldīt konfigurāciju un izpildīt pielāgotus skriptus.

Daļa informācijas ir pieejama arī lietotājiem bez privilēģijām. Piemēram, lai gan AlertsScripts ir pieejams tikai Super Admin lietotājiem, skriptus var iegūt arī, izmantojot Zabbix API. Šādā gadījumā skriptu atļauju ierobežošana un sensitīvas informācijas izslēgšana no skriptiem (piemēram, piekļuves akreditācijas dati) var palīdzēt izvairīties no sensitīvas informācijas atklāšanas globālajos skriptos.

Drošs lietotājs Zabbix aģentam

Pēc noklusējuma Zabbix servera, starpniekservera un aģenta (vai agent 2) procesi koplieto vienu zabbix lietotāju. Lai novērstu Zabbix aģenta/agent 2 (kas darbojas tajā pašā datorā, kur serveris/starpniekserveris) piekļuvi sensitīvai informācijai servera/starpniekservera konfigurācijā (piemēram, datubāzes akreditācijas datiem), aģents jāpalaiž ar citu lietotāju:

Zabbix aģentam:

  1. Izveidojiet drošu grupu un lietotāju (piem., zabbix-agent).
  2. Iestatiet šo lietotāju aģenta konfigurācijas faila User parametrā.
  3. Pārstartējiet aģentu, lai tam piešķirtu jaunā lietotāja privilēģijas.

Zabbix agent 2 gadījumā konfigurācija jāpiemēro pakalpojuma līmenī, jo agent 2 konfigurācijas fails neatbalsta User parametru. Piemēru skatiet ZBX-26442.

Atsaukt rakstīšanas piekļuvi SSL konfigurācijai (Windows)

Ja esat kompilējis Zabbix aģentu operētājsistēmā Windows un OpenSSL atrodas neaizsargātā direktorijā (piem., C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static vai C:\dev\openssl), pārliecinieties, ka lietotājiem, kas nav administratori, ir atsaukta rakstīšanas piekļuve šim direktorijam. Pretējā gadījumā aģents ielādē SSL iestatījumus no ceļa, ko var modificēt lietotāji bez paaugstinātām tiesībām, tādējādi radot iespējamu drošības ievainojamību.

Zabbix komponentu drošības pastiprināšana

Dažas funkcijas var izslēgt, lai pastiprinātu Zabbix komponentu drošību:

  • Globālo skriptu izpildi Zabbix serverī var atspējot, iestatot EnableGlobalScripts=0 servera konfigurācijā.
  • Globālo skriptu izpilde Zabbix starpniekserverī pēc noklusējuma ir atspējota (to var iespējot, iestatot EnableRemoteCommands=1 starpniekservera konfigurācijā).
  • Globālo skriptu izpilde Zabbix aģentos pēc noklusējuma ir atspējota (to var iespējot, katrai atļautajai komandai aģenta konfigurācijā pievienojot parametru AllowKey=system.run[<command>,*]).
  • Piekļuve lietotāju HTTP autentifikācijas konfigurācijai pēc noklusējuma ir iespējota; to var atspējot, frontend konfigurācijas failā (zabbix.conf.php) iestatot $ZBX_FEATURE_FLAGS['http_auth_enabled'] = false.
  • Piekļuve moduļu konfigurācijai pēc noklusējuma ir iespējota; to var atspējot, frontend konfigurācijas failā (zabbix.conf.php) iestatot $ZBX_FEATURE_FLAGS['modules_config_enabled'] = false.
  • Konkrētu mediju tipu rediģēšanu var ierobežot, frontend konfigurācijas failā (zabbix.conf.php) iestatot $ZBX_FEATURE_FLAGS['media_type_denylist'] = [<value1>, <value2>, ...]. Iespējamās vērtības: 'email', 'script', 'sms' un 'webhook'. Var norādīt vienu vai vairākas vērtības.

Lietotāja saskarnes atkārtota instalēšana, palaižot setup.php, ir ierobežota, ja pastāv konfigurācijas fails zabbix.conf.php.

UNC ceļa piekļuve Windows sistēmā, izmantojot Zabbix aģentu

Zabbix aģenti Windows sistēmā seko UNC ceļiem (SMB koplietojumiem, piemēram, \\server\share\file.txt) tādos vienumos kā vfs.file.*, vfs.dir.*, modbus.get un perf_counter*. Dažos gadījumos tas var radīt drošības risku.

Kad Windows tiek lūgts piekļūt UNC ceļam, tā mēģina autentificēties šajā serverī. Tas nozīmē, ka ļaunprātīgs pieprasījums Zabbix aģentam var atklāt NTLM jaucējvērtību pieprasījuma serverim. Ja nepieciešams, lietotāji var mazināt šo risku, izmantojot konfigurācijas parametrus AllowKey un DenyKey.