1 Piekļuves kontrole

Pārskats

Šajā sadaļā ir apkopota labākā prakse drošai piekļuves kontroles iestatīšanai.

Mazāko privilēģiju princips

Lietotāju kontiem vienmēr jādarbojas ar pēc iespējas mazākām privilēģijām. Tas nozīmē, ka lietotāju kontiem Zabbix lietotāja saskarnē, datubāzes lietotājiem vai lietotājam, kas paredzēts Zabbix serveris/starpniekserveris/aģents procesiem, jābūt tikai tām privilēģijām, kas ir būtiski nepieciešamas paredzēto funkciju izpildei.

Papildu privilēģiju piešķiršana lietotājam 'zabbix' ļaus tam piekļūt konfigurācijas failiem un izpildīt darbības, kas var apdraudēt infrastruktūras drošību.

Konfigurējot lietotāju kontu privilēģijas, jāņem vērā Zabbix lietotāja saskarnes lietotāju tipi. Ņemiet vērā, ka, lai gan lietotāja tipam Admin ir mazāk privilēģiju nekā lietotāja tipam Super Admin, tas joprojām var pārvaldīt konfigurāciju un izpildīt pielāgotus skriptus.

Daļa informācijas ir pieejama arī lietotājiem bez īpašām privilēģijām. Piemēram, lai gan AlertsScripts ir pieejams tikai Super Admin lietotājiem, skriptus var iegūt arī, izmantojot Zabbix API. Šādā gadījumā skriptu atļauju ierobežošana un sensitīvas informācijas neiekļaušana skriptos (piemēram, piekļuves akreditācijas dati) var palīdzēt novērst globālajos skriptos pieejamās sensitīvās informācijas atklāšanu.

Drošs lietotājs Zabbix aģentam

Pēc noklusējuma Zabbix servera, starpniekservera un aģenta (vai aģenta 2) procesi izmanto vienu zabbix lietotāju. Lai nepieļautu, ka Zabbix aģents/aģents 2 (darbojoties tajā pašā datorā, kur serveris/starpniekserveris) piekļūst sensitīvai informācijai servera/starpniekservera konfigurācijā (piemēram, datubāzes akreditācijas datiem), aģents jāpalaiž ar citu lietotāju:

Zabbix aģentam:

  1. Izveidojiet drošu grupu un lietotāju (piemēram, zabbix-agent).
  2. Norādiet šo lietotāju aģenta konfigurācijas faila parametrā User.
  3. Restartējiet aģentu, lai samazinātu privilēģijas līdz jaunajam lietotājam.

Zabbix aģentam 2 konfigurācija jāpiemēro servisa līmenī, jo aģenta 2 konfigurācijas fails neatbalsta parametru User. Piemēru skatiet ZBX-26442.

Atsauciet rakstīšanas piekļuvi SSL konfigurācijai (Windows)

Ja esat kompilējis Zabbix aģentu operētājsistēmā Windows un OpenSSL atrodas neaizsargātā direktorijā (piemēram, C:\zabbix, c:\openssl-64bit, C:\OpenSSL-Win64-111-static vai C:\dev\openssl), noteikti atsauciet rakstīšanas piekļuvi šai direktorijai lietotājiem bez administratora tiesībām. Pretējā gadījumā aģents ielādē SSL iestatījumus no ceļa, ko var modificēt lietotāji bez paaugstinātām privilēģijām, tādējādi radot iespējamu drošības ievainojamību.

Zabbix komponentu drošības pastiprināšana

Daļu funkcionalitātes var izslēgt, lai pastiprinātu Zabbix komponentu drošību:

  • globālo skriptu izpildi Zabbix serverī var atspējot, servera konfigurācijā iestatot EnableGlobalScripts=0;
  • globālo skriptu izpilde Zabbix starpniekserverī pēc noklusējuma ir atspējota (to var iespējot, starpniekservera konfigurācijā iestatot EnableRemoteCommands=1);
  • globālo skriptu izpilde Zabbix aģentos pēc noklusējuma ir atspējota (to var iespējot, aģenta konfigurācijā pievienojot parametru AllowKey=system.run[<command>,*] katrai atļautajai komandai);
  • lietotāja HTTP autentifikāciju var atspējot, lietotāja saskarnes konfigurācijas failā (zabbix.conf.php) iestatot $ALLOW_HTTP_AUTH=false. Ņemiet vērā, ka, pārinstalējot lietotāja saskarni (palaižot setup.php), šis parametrs tiks noņemts.

Piekļuve UNC ceļiem operētājsistēmā Windows, izmantojot Zabbix aģentu

Zabbix aģenti operētājsistēmā Windows seko UNC ceļiem (SMB koplietojumiem, piemēram, \\server\share\file.txt) tādos vienumos kā vfs.file.*, vfs.dir.*, modbus.get un perf_counter*. Dažos kontekstos tas var radīt drošības risku.

Kad operētājsistēmai Windows tiek pieprasīts piekļūt UNC ceļam, tā mēģina autentificēties attiecīgajā serverī. Tas nozīmē, ka ļaunprātīgs pieprasījums Zabbix aģentam var atklāt NTLM jaucējkodu pieprasītāja serverim. Lietotāji vajadzības gadījumā var to mazināt, izmantojot konfigurācijas parametrus AllowKey un DenyKey.