Documentation
Table of Contents
1 Контрола приступа
Преглед
Овај одељак садржи најбоље праксе за подешавање контроле приступа на безбедан начин.
Принцип са најмање привилегија
Кориснички налози, у сваком тренутку, треба да раде са што мање привилегија. То значи да кориснички налози у Zabbix корисничком интерфејсу, корисници базе података или корисник за Zabbix сервер/прокси/агент процесе треба да има само привилегије које су неопходне за обављање предвиђених функција.
Давање додатних привилегија 'zabbix' кориснику омогући ће му приступ конфигурационим датотекама и извршавање операција које могу угрозити безбедност инфраструктуре.
Приликом конфигурисања привилегија корисничког налога, треба узети у обзир Zabbix типове корисника корисничког интерфејса. Имајте на уму да иако тип корисника Администратор има мање привилегија од типа корисника Супер администратор, он и даље може да управља конфигурацијом и извршава прилагођене скрипте.
Неке информације су доступне чак и за кориснике без привилегија. На пример, иако је опција Упозорења → Скрипте доступна само за кориснике са статусом Супер администратора, скрипте се такође могу преузети путем Zabbix API-ја. У овом случају, ограничавање дозвола за скрипте и искључивање осетљивих информација из скрипти (на пример, креденцијала за приступ) може помоћи у избегавању откривања осетљивих информација доступних у глобалним скриптама.
Безбедан корисник за Zabbix агента
Подразумевано, процеси Zabbix сервера, проксија и агента (или агента 2) деле једног zabbix корисника. Да бисте спречили Zabbix агента/агента 2 (који ради на истој машини као и сервер/прокси) да приступа осетљивим детаљима у конфигурацији сервера/проксија (на пример, креденцијали базе података), агент треба да се покреће под другим корисником:
За Zabbix агента:
- Направите безбедну групу и корисника (нпр.,
zabbix-agent). - Подесите овог корисника у параметру Корисник конфигурационе датотеке агента.
- Поново покрените агента да бисте препустили привилегије новом кориснику.
За Zabbix агента 2, конфигурација мора бити примењена на нивоу сервиса, јер конфигурациона датотека агента 2 не подржава параметар User. На пример, погледајте ZBX-26442.
Опозовите приступ за писање SSL конфигурације (Windows)
Ако сте компајлирали Zabbix агента на Windows-у, са OpenSSL-ом који се налази у незаштићеном директоријуму (нпр. c:\openssl-64bit, C:\OpenSSL-Win64-111-static или C:\dev\openssl), обавезно опозовите приступ за писање корисницима који нису администратори у овом директоријуму. У супротном, агент учитава SSL подешавања са путање коју могу изменити непривилеговани корисници, што резултира потенцијалном безбедносном рањивошћу.
Појачавање безбедности Zabbix компоненти
Неке функције се могу искључити да би се појачала безбедност Zabbix компоненти:
- глобално извршавање скрипте на Zabbix серверу се може онемогућити постављањем EnableGlobalScripts=0 у конфигурацији сервера;
- глобално извршавање скрипте на Zabbix прокси серверу је подразумевано онемогућено (може се омогућити подешавањем EnableRemoteCommands=1 у конфигурацији проксија);
- глобално извршавање скрипте на Zabbix агентима је подразумевано онемогућено (може се омогућити додавањем параметра AllowKey=system.run[<command>,*] за сваку дозвољену команду у конфигурацији агента);
- HTTP аутентификација корисника се може онемогућити постављањем
$ALLOW_HTTP_AUTH=falseу конфигурационој датотеци корисничког интерфејса (zabbix.conf.php). Имајте на уму да ће поновна инсталација корисничког интерфејса (покретање setup.php) уклонити овај параметар.
UNC path access on Windows by Zabbix agent
Zabbix agents on Windows follow UNC paths (SMB shares like \\server\share\file.txt) in items like vfs.file.*, vfs.dir.*, and perf_counter*. This can be a security risk in some contexts.
When Windows is asked to access a UNC path, it tries to authenticate on that server. This means that a malicious request to Zabbix agent can expose the NTLM hash to the requesters server. Users can mitigate this with AllowKey, DenyKey configuration parameters if they need to.