1 Najlepsze praktyki bezpieczeństwa
Przegląd
Ta sekcja zawiera najlepsze praktyki dotyczące konfigurowania Zabbix w bezpieczny sposób.
Praktyki opisane w tej sekcji nie są wymagane do działania Zabbix, ale są zalecane w celu zapewnienia lepszego bezpieczeństwa systemu.
Kodowanie UTF-8
UTF-8 jest jedynym kodowaniem obsługiwanym przez Zabbix. Wiadomo, że działa bez żadnych luk bezpieczeństwa. Użytkownicy powinni mieć świadomość, że w przypadku korzystania z niektórych innych kodowań istnieją znane problemy związane z bezpieczeństwem.
Ścieżki instalatora Windows
Podczas korzystania z instalatorów Windows zaleca się używanie domyślnych ścieżek dostarczanych przez instalator. Używanie niestandardowych ścieżek bez odpowiednich uprawnień może zagrozić bezpieczeństwu instalacji.
Makra w skryptach globalnych zdefiniowanych przez użytkownika
Aby zwiększyć bezpieczeństwo, zaleca się używanie funkcji makr zamiast zwykłych makr w zdefiniowanych przez użytkownika globalnych skryptach, ponieważ makra nie są automatycznie poprzedzane znakami ucieczki.
Biuletyny bezpieczeństwa Zabbix i baza danych CVE
Zobacz Biuletyny bezpieczeństwa Zabbix i baza danych CVE.
Szablony wiadomości e-mail HTML
Podczas tworzenia lub edytowania szablonów wiadomości używanych w wiadomościach e-mail HTML zawsze opakowuj każdy makro funkcją makra htmlencode().
Na przykład:
<b>Problem started</b> at {{EVENT.TIME}.htmlencode()} on {{EVENT.DATE}.htmlencode()}<br><b>Problem name:</b>
{{EVENT.NAME}.htmlencode()}<br><b>Host:</b> {{HOST.NAME}.htmlencode()}
<br><b>Severity:</b>
{{EVENT.SEVERITY}.htmlencode()}<br><b>Operational
data:</b> {{EVENT.OPDATA}.htmlencode()}<br><b>Original problem ID:</b> {{EVENT.ID}.htmlencode()}<br>{{TRIGGER.URL}.htmlencode()}Użycie htmlencode() zapewnia, że wszelkie znaki HTML w wartościach makr są poprzednio kodowane, i zapobiega wstrzyknięciu kodu HTML do powiadomień (na przykład gdy atakujący wstawi do powiadomienia złośliwy/phishingowy link).
Uwaga: domyślne wiadomości e-mail HTML dostarczane przez Zabbix mają już zastosowane htmlencode() do makr.
To zalecenie ma zastosowanie podczas edytowania istniejących szablonów lub tworzenia nowych — przed użyciem szablonu do wysyłania wiadomości e-mail HTML należy sprawdzić, czy makra są zakodowane.