1 Piekļuves kontrole

Pārskats

Šajā sadaļā ir ietvertas labākās prakses, kā drošā veidā iestatīt piekļuves kontroli.

Vismazāko privilēģiju princips

Lietotāju kontiem vienmēr jādarbojas ar pēc iespējas mazāku privilēģiju skaitu. Tas nozīmē, ka lietotāju kontiem Zabbix lietotāja saskarnē, datubāzes lietotājiem vai lietotājam Zabbix servera/starpniekservera/aģenta procesos vajadzētu būt tikai tām privilēģijām, kas ir būtiskas paredzēto funkciju veikšanai.

Papildu privilēģiju piešķiršana lietotājam 'zabbix' ļaus tam piekļūt konfigurācijas failiem un izpildīt darbības, kas var apdraudēt infrastruktūras drošību.

Konfigurējot lietotāju kontu privilēģijas, jāņem vērā Zabbix lietotāja saskarnes lietotāju tipi. Ņemiet vērā, ka, lai gan Admin lietotāja tipam ir mazāk privilēģiju nekā Super Admin lietotāja tipam, tas joprojām var pārvaldīt konfigurāciju un izpildīt pielāgotus skriptus.

Daļa informācijas ir pieejama arī lietotājiem bez privilēģijām. Piemēram, lai gan AlertsScripts ir pieejams tikai Super Admin lietotājiem, skriptus var iegūt arī, izmantojot Zabbix API. Šādā gadījumā skriptu atļauju ierobežošana un sensitīvas informācijas izslēgšana no skriptiem (piemēram, piekļuves akreditācijas dati) var palīdzēt izvairīties no sensitīvas informācijas atklāšanas globālajos skriptos.

Drošs lietotājs Zabbix aģentam

Pēc noklusējuma Zabbix servera, starpniekservera un aģenta (vai agent 2) procesi koplieto vienu zabbix lietotāju. Lai novērstu Zabbix aģenta/agent 2 (kas darbojas tajā pašā datorā, kur serveris/starpniekserveris) piekļuvi sensitīvai informācijai servera/starpniekservera konfigurācijā (piemēram, datubāzes akreditācijas datiem), aģents jāpalaiž ar citu lietotāju:

Zabbix aģentam:

  1. Izveidojiet drošu grupu un lietotāju (piem., zabbix-agent).
  2. Iestatiet šo lietotāju aģenta konfigurācijas faila User parametrā.
  3. Pārstartējiet aģentu, lai tam piešķirtu jaunā lietotāja privilēģijas.

Zabbix agent 2 gadījumā konfigurācija jāpiemēro pakalpojuma līmenī, jo agent 2 konfigurācijas fails neatbalsta User parametru. Piemēru skatiet ZBX-26442.

Atsaukt rakstīšanas piekļuvi SSL konfigurācijai (Windows)

Ja esat kompilējis Zabbix aģentu operētājsistēmā Windows un OpenSSL atrodas neaizsargātā direktorijā (piem., C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static vai C:\dev\openssl), pārliecinieties, ka lietotājiem, kas nav administratori, ir atsaukta rakstīšanas piekļuve šim direktorijam. Pretējā gadījumā aģents ielādē SSL iestatījumus no ceļa, ko var modificēt lietotāji bez paaugstinātām tiesībām, tādējādi radot iespējamu drošības ievainojamību.

Zabbix komponentu drošības pastiprināšana

Dažas funkcijas var izslēgt, lai pastiprinātu Zabbix komponentu drošību:

  • Globālo skriptu izpildi Zabbix serverī var atspējot, iestatot EnableGlobalScripts=0 servera konfigurācijā.
  • Globālo skriptu izpilde Zabbix starpniekserverī pēc noklusējuma ir atspējota (to var iespējot, iestatot EnableRemoteCommands=1 starpniekservera konfigurācijā).
  • Globālo skriptu izpilde Zabbix aģentos pēc noklusējuma ir atspējota (to var iespējot, katrai atļautajai komandai aģenta konfigurācijā pievienojot parametru AllowKey=system.run[<command>,*]).
  • Lietotāja HTTP autentifikāciju var atspējot, iestatot $ALLOW_HTTP_AUTH=false lietotāja saskarnes konfigurācijas failā (zabbix.conf.php). Ņemiet vērā, ka lietotāja saskarnes atkārtota instalēšana (palaižot setup.php) noņems šo parametru.

UNC ceļa piekļuve Windows sistēmā, izmantojot Zabbix aģentu

Zabbix aģenti Windows sistēmā seko UNC ceļiem (SMB koplietojumiem, piemēram, \\server\share\file.txt) tādos vienumos kā vfs.file.*, vfs.dir.*, modbus.get un perf_counter*. Dažos gadījumos tas var radīt drošības risku.

Kad Windows tiek lūgts piekļūt UNC ceļam, tā mēģina autentificēties šajā serverī. Tas nozīmē, ka ļaunprātīgs pieprasījums Zabbix aģentam var atklāt NTLM jaucējvērtību pieprasījuma serverim. Ja nepieciešams, lietotāji var mazināt šo risku, izmantojot konfigurācijas parametrus AllowKey un DenyKey.