17 Najlepsze praktyki bezpieczeństwa
Przegląd
Ta sekcja zawiera najlepsze praktyki dotyczące bezpiecznej konfiguracji Zabbix.
Praktyki opisane w tej sekcji nie są wymagane do działania Zabbix, ale są zalecane w celu zwiększenia bezpieczeństwa systemu.
Kodowanie UTF-8
UTF-8 jest jedynym kodowaniem obsługiwanym przez Zabbix. Wiadomo, że działa bez żadnych luk bezpieczeństwa. Użytkownicy powinni mieć świadomość, że w przypadku używania niektórych innych kodowań występują znane problemy bezpieczeństwa.
Ścieżki instalatora Windows
Podczas korzystania z instalatorów Windows zaleca się używanie domyślnych ścieżek udostępnianych przez instalator. Używanie niestandardowych ścieżek bez odpowiednich uprawnień może zagrozić bezpieczeństwu instalacji.
Makra w globalnych skryptach zdefiniowanych przez użytkownika
Aby zwiększyć bezpieczeństwo, zaleca się używanie funkcji makr zamiast zwykłych makr w globalnych skryptach zdefiniowanych przez użytkownika, ponieważ makra nie są automatycznie escapowane.
Biuletyny bezpieczeństwa Zabbix i baza danych CVE
Zobacz Biuletyny bezpieczeństwa Zabbix i baza danych CVE.
Szablony wiadomości e-mail HTML
Podczas tworzenia lub edytowania szablonów wiadomości używanych do wiadomości e-mail HTML zawsze otaczaj każdą makrofunkcję makrem htmlencode().
Na przykład:
<b>Problem started</b> at {{EVENT.TIME}.htmlencode()} on {{EVENT.DATE}.htmlencode()}<br><b>Problem name:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Host:</b> {{HOST.NAME}.htmlencode()}
<br><b>Severity:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Operational
data:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Original problem ID:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}Użycie htmlencode() zapewnia, że wszystkie znaki HTML w wartościach makr zostaną odpowiednio zastąpione encjami i zapobiega wstrzykiwaniu HTML do powiadomień (na przykład atakujący może wstawić złośliwy/phishingowy link do powiadomienia).
Uwaga: domyślne wiadomości e-mail HTML dostarczane przez Zabbix już stosują htmlencode() do makr.
Ta wskazówka dotyczy edytowania istniejących szablonów lub tworzenia nowych — przed użyciem szablonu do wysyłania wiadomości e-mail HTML sprawdź, czy makra są kodowane.