3 Servidor web

Visió general

Aquesta secció conté les bones pràctiques per configurar el servidor web de manera segura.

Activació de Zabbix sota un directori root de l'URL

Afegiu l'equip virtual a la configuració d'Apache (/etc/httpd/conf/httpd.conf) i configureu la redirecció permanent per al document arrel a l'URL SSL de Zabbix. No oblideu substituir exemple.com pel nom real del servidor.

#Afegiu les línies:
       
       <VirtualHost *:*>
           ServerName exemple.cat
           Redirect permanent / https://exemple.cat
       </VirtualHost>

Reinicieu el servei Apache per aplicar les modificacions:

systemctl restart httpd.service

Activar HTTP Strict Transport Security (HSTS) al servidor web

Per protegir la interfície de Zabbix dels atacs de baixada de nivell de protocol, us recomanem que habiliteu la política HSTS al servidor web.

Per exemple, per habilitar la política HSTS per a la vostra interfície Zabbix a la configuració d'Apache:

1. Busqueu l'arxiu de configuració de l'equip virtual: - /etc/httpd/conf/httpd.confa sistemes basats en RHEL - /etc/apache2/sites-available/000-default.confa Debian/Ubuntu

2. Afegiu la següent directiva a l'arxiu de configuració del vostre equip virtual:

<VirtualHost *:*>
         Header set Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

3. Reinicieu el servei Apache per aplicar els canvis:

# A sistemes basats en RHEL:
       systemctl restart httpd.service
       
       # A Debian/Ubuntu
           systemctl restart httpd.service

Habilitació de la política de seguretat de contingut (CSP) al servidor web

Per protegir la interfície de Zabbix contra Cross Site Scripting (XSS), injecció de dades i atacs similars, us recomanem que activeu la Política de seguretat de contingut al servidor web. Per fer-ho, configureu el servidor web perquè retorni la capçalera HTTP.

::: nota important La següent configuració de la capçalera del CSP només és per a la instal·lació d'interfície predeterminada de Zabbix i per als casos en què tot el contingut prové del domini del lloc (excepte els subdominis). És possible que sigui necessari una configuració de capçalera CSP diferent si, per exemple, esteu configurant el giny URL per mostrar contingut dels subdominis o dominis externs del lloc, canviant de OpenStreetMap a un altre motor de mapes o afegint CSS o ginys externs. Si empreu el mètode Duo Universal Prompt autenticació multifactor, assegureu-vos d'afegir "duo.com" a la directiva CSP al fitxer de configuració del vostre equip virtual . :::

Per habilitar CSP per a la vostra interfície Zabbix a la configuració d'Apache, seguiu aquests passos:

1. Localitzeu el fitxer de configuració del vostre host virtual:

  • /etc/httpd/conf/httpd.conf a sistemes basats en RHEL
  • /etc/apache2/sites-available/000-default.conf a Debian/Ubuntu

2. Afegiu la directiva següent al fitxer de configuració del vostre equip virtual:

<VirtualHost *:*>
           Header set Content-Security-Policy: "default-src 'self' *.openstreetmap.org; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src 'self' ' data: *.openstreetmap.org style-src 'self' 'unsafe-inline'; base-uri 'self'; 'jo';"
       </VirtualHost>

3. Reinicieu el servei Apache per aplicar els canvis:

# A sistemes basats en RHEL:
       systemctl restart httpd.service
       
       # A Debian/Ubuntu
       systemctl restart apache2.service

Desactivar l'exposició de la informació del servidor web

Per millorar la seguretat, es recomana desactivar totes les signatures del servidor web.

De manera predeterminada, el servidor web està exposant la signatura del programari:

La signatura es pot desactivar afegint els paràmetres següents al fitxer de configuració d'Apache:

ServerSignature Off
       ServerTokens Prod

La signatura PHP (capçalera HTTP X-Powered-By) es pot desactivar canviant el fitxer de configuració php.ini (per defecte, la signatura és desactivada):

expose_php = off

Cal reiniciar el servidor web perquè s'apliquin els canvis al fitxer de configuració.

Per a més seguretat, podeu utilitzar l'eina mod_security amb Apache (paquet libapache2-mod-security2). Aquesta eina permet eliminar la signatura del servidor en lloc d'eliminar només la versió de la signatura del servidor. La signatura del servidor es pot canviar a qualsevol valor configurant "SecServerSignature" a qualsevol valor desitjat després d'instal·lar mod_security.

Consulteu la documentació del vostre servidor web per trobar ajuda sobre com eliminar/canviar signatures de programari.

Desactivar les pàgines d'error predeterminades del servidor web

Per evitar l'exposició de la informació, es recomana desactivar les pàgines d'error predeterminades.

De manera predeterminada, un servidor web empra pàgines d'error integrades:

Aquestes pàgines d'error predeterminades s'han de substituir/esborrar. Per exemple, la directiva "ErrorDocument" es pot emprar per definir una pàgina/text d'error personalitzat per al servidor web Apache.

Consulteu la documentació del vostre servidor web per trobar ajuda sobre com substituir/esborrar les pàgines d'error predeterminades.

Esborrar la pàgina de prova del servidor web

Per evitar l'exposició de la informació, es recomana esborrar la pàgina de prova del servidor web.

Per defecte, l'arrel web del servidor web Apache conté la pàgina de prova index.html:

Consulteu la documentació del vostre servidor web per trobar ajuda sobre com esborrar les pàgines de prova predeterminades.

Establir la capçalera de resposta HTTP X-Frame-Options

De manera predeterminada, Zabbix és configurat amb el paràmetre de capçalera HTTP Emprar X-Frame-Options establert a SAMEORIGIN. Això vol dir que el contingut només es pot carregar en un marc que tingui el mateix origen que la pròpia pàgina.

Els elements d'interfície de Zabbix que extreuen contingut d'URL externs (és a dir, l'URL giny del tauler de control) mostren el contingut recuperat en un sandbox amb totes les restriccions de sandbox activades.

Aquests paràmetres milloren la seguretat de la interfície Zabbix i proporcionen protecció contra atacs XSS i clickjacking. Els usuaris superadministradors poden modificar l'iframe sandboxing i la capçalera de resposta HTTP X-Frame-Options segons calgui. Penseu acuradament els riscos i els beneficis abans de canviar la configuració predeterminada. No es recomana desactivar completament la sandbox o X-Frame-Options.

Amagar el fitxer amb la llista de mots de pas habituals

Per pujar la complexitat dels atacs de força bruta amb mots de pas, es recomana limitar l'accés al fitxer ui/data/top_passwords.txt. Aquest fitxer conté una llista dels mots de pas més comuns i específiques del context i impedeix que els usuaris estableixin aquests mots de pas (si el paràmetre Evitar mots de pas fàcils d'endevinar és habilitat a la política de mots de pas).

Per limitar l'accés al fitxer top_passwords.txt, modifiqueu la configuració del vostre servidor web.

A Apache, l'accés al fitxer es pot limitar mitjançant el fitxer .htaccess:

<Files "top_passwords.txt">
           Order Allow,Deny
           Deny from all
       </Files>

A NGINX, l'accés als fitxers es pot limitar mitjançant la directiva location:

location = /data/top_passwords.txt {
           deny all;
           return 404;
       }