Documentation
Table of Contents
1 Control de acceso
Descripción general
Esta sección contiene las mejores practicas para configurar un control de acceso de forma segura.
Principio de privilegio mínimo
Las cuentas de usuario, en todo momento, deben ejecutarse con la menor cantidad de privilegios posible. Esto significa que las cuentas de usuario en la interfaz de Zabbix, los usuarios de la base de datos o el usuario de los procesos de servidor/proxy/agente de Zabbix solo deben tener los privilegios que son esenciales para realizar las funciones previstas.
Dar privilegios adicionales al usuario 'zabbix' le permitirá acceder a archivos de configuración y ejecutar operaciones que pueden comprometer la seguridad de la infraestructura.
Al configurar los privilegios de la cuenta de usuario, se debe considerar los tipos de usuarios de la interfaz Zabbix. Tenga en cuenta que, aunque el tipo de usuario Admin tiene menos privilegios que el tipo de usuario Super Admin, aún puede administrar la configuración y ejecutar scripts personalizados.
Parte de la información está disponible incluso para usuarios sin privilegios. Por ejemplo, aunque Alertas → Scripts está disponible solo para usuarios de Super Admin, los scripts también se pueden recuperar a través de la API de Zabbix. En este caso, limitar los permisos de los scripts y excluir información confidencial de los scripts (por ejemplo, credenciales de acceso) puede ayudar a evitar la exposición de información confidencial disponible en los scripts globales.
Usuario seguro para el agente Zabbix
De forma predeterminada, los procesos del servidor Zabbix y del agente Zabbix comparten un usuario 'zabbix'. Para garantizar que el agente Zabbix no pueda acceder a detalles confidenciales en la configuración del servidor (por ejemplo, información de inicio de sesión de la base de datos), el agente debe ejecutarse como un usuario diferente:
- Cree un usuario seguro.
- Especifique este usuario en el parámetro
Userdel archivo de configuración del agente. - Reinicie el agente con privilegios de administrador. Los privilegios se perderán parta el usuario especificado.
Revocar el acceso de escritura al archivo de configuración SSL en Windows
El agente de Windows Zabbix compilado con OpenSSL intentará acceder al archivo de configuración SSL en c:\\openssl-64bit. El directorio openssl-64bit en el disco C: puede ser creado por usuarios sin privilegios.
Para mejorar la seguridad, cree este directorio manualmente y revoque el acceso de escritura a los usuarios que no sean administradores.
Tenga en cuenta que los nombres de los directorios diferirán en las versiones de Windows de 32 y 64 bits.
Refuerzo de la seguridad de los componentes de Zabbix
Algunas funciones se pueden desactivar para reforzar la seguridad de los componentes de Zabbix:
- La ejecución global de scripts en el servidor Zabbix se puede deshabilitar configurando EnableGlobalScripts=0 en la configuración del servidor;
- La ejecución de script global en el proxy Zabbix está deshabilitada de forma predeterminada (se puede habilitar estableciendo EnableRemoteCommands=1 en la configuración del proxy);
- La ejecución de script global en agentes Zabbix está deshabilitada de forma predeterminada (se puede habilitar agregando un parámetro AllowKey=system.run[<command>,*] para cada comando permitido en la configuración del agente);
- La autenticación HTTP del usuario se puede desactivar configurando
$ALLOW_HTTP_AUTH=falseen el archivo de configuración de la interfaz (zabbix.conf.php). Tenga en cuenta que reinstalar la interfaz (ejecutando setup.php) eliminará este parámetro.