[comment]: # ({c16c09cf-cebf8306}) # 1 Zugriffskontrolle [comment]: # ({/c16c09cf-cebf8306}) [comment]: # ({88806b0c-c4f0ac9a}) #### Übersicht Dieser Abschnitt enthält Best Practices für die sichere Einrichtung der Zugriffskontrolle. [comment]: # ({/88806b0c-c4f0ac9a}) [comment]: # ({2acc8f22-dc572a02}) #### Prinzip der geringsten Privilegien Benutzerkonten sollten jederzeit mit so wenigen Privilegien wie möglich ausgeführt werden. Das bedeutet, dass Benutzerkonten im Zabbix Frontend, Datenbankbenutzer oder der Benutzer für Zabbix Server-/Proxy-/Agent-Prozesse nur über die Privilegien verfügen sollten, die für die Ausführung der vorgesehenen Funktionen unbedingt erforderlich sind. ::: noteimportant Das Gewähren zusätzlicher Privilegien für den Benutzer 'zabbix' ermöglicht ihm den Zugriff auf Konfigurationsdateien und das Ausführen von Operationen, die die Sicherheit der Infrastruktur gefährden können. ::: Bei der Konfiguration von Benutzerkontenberechtigungen sollten die [Frontend-Benutzertypen](/manual/config/users_and_usergroups/permissions) von Zabbix berücksichtigt werden. Beachten Sie, dass der Benutzertyp *Admin* zwar weniger Privilegien als der Benutzertyp *Super Admin* hat, er jedoch weiterhin Konfigurationen verwalten und benutzerdefinierte Skripte ausführen kann. ::: noteclassic Einige Informationen sind auch für nicht privilegierte Benutzer verfügbar. Während beispielsweise *Alerts* → *Scripts* nur für *Super Admin*-Benutzer verfügbar ist, können Skripte auch über die Zabbix API abgerufen werden. In diesem Fall kann es helfen, die Skriptberechtigungen einzuschränken und sensible Informationen aus Skripten zu entfernen (zum Beispiel Zugangsdaten), um zu vermeiden, dass sensible Informationen in globalen Skripten offengelegt werden. ::: [comment]: # ({/2acc8f22-dc572a02}) [comment]: # ({883c2138-1631be73}) #### Sicheren Benutzer für den Zabbix Agent Standardmäßig verwenden die Prozesse von Zabbix Server, Proxy und Agent (oder Agent 2) gemeinsam einen `zabbix`-Benutzer. Um zu verhindern, dass Zabbix Agent/Agent 2 (der auf demselben Rechner wie Server/Proxy ausgeführt wird) auf sensible Details in der Server-/Proxy-Konfiguration zugreift (z. B. Datenbankanmeldedaten), sollte der Agent unter einem anderen Benutzer ausgeführt werden: Für Zabbix Agent: 1. Erstellen Sie eine sichere [Gruppe und einen Benutzer](/manual/installation/install#create-user-account) (z. B. `zabbix-agent`). 2. Setzen Sie diesen Benutzer im Konfigurationsparameter [User](/manual/appendix/config/zabbix_agentd#user) der Agent-Konfigurationsdatei. 3. [Starten Sie den Agent neu](/manual/concepts/agent#if-installed-as-package), um die Berechtigungen auf den neuen Benutzer zu reduzieren. Für Zabbix Agent 2 muss die Konfiguration auf der Ebene des [Dienstes](https://www.freedesktop.org/software/systemd/man/latest/systemd.exec.html) angewendet werden, da die [Konfigurationsdatei von Agent 2](/manual/appendix/config/zabbix_agent2) den Parameter `User` nicht unterstützt. Ein Beispiel finden Sie unter [ZBX-26442](https://support.zabbix.com/browse/ZBX-26442). [comment]: # ({/883c2138-1631be73}) [comment]: # ({582edb84-c02c850f}) #### Schreibzugriff auf die SSL-Konfiguration entziehen (Windows) Wenn Sie den Zabbix Agent unter Windows kompiliert haben und OpenSSL sich in einem ungeschützten Verzeichnis befindet (z. B. `C:\zabbix`, `c:\openssl-64bit`, `C:\OpenSSL-Win64-111-static` oder `C:\dev\openssl`), stellen Sie sicher, dass Sie nicht-administrativen Benutzern den Schreibzugriff auf dieses Verzeichnis entziehen. Andernfalls lädt der Agent die SSL-Einstellungen aus einem Pfad, der von nicht privilegierten Benutzern geändert werden kann, was zu einer potenziellen Sicherheitslücke führt. [comment]: # ({/582edb84-c02c850f}) [comment]: # ({b96222b8-0f084225}) #### Absicherung der Zabbix-Komponenten Einige Funktionen können deaktiviert werden, um die Sicherheit der Zabbix-Komponenten zu erhöhen: - Die Ausführung globaler Skripte auf dem Zabbix Server kann durch Setzen von `EnableGlobalScripts=0` in der [Serverkonfiguration](/manual/appendix/config/zabbix_server) deaktiviert werden. - Die Ausführung globaler Skripte auf dem Zabbix Proxy ist standardmäßig deaktiviert (kann durch Setzen von `EnableRemoteCommands=1` in der [Proxykonfiguration](/manual/appendix/config/zabbix_proxy) aktiviert werden). - Die Ausführung globaler Skripte auf Zabbix Agenten ist standardmäßig deaktiviert (kann durch Hinzufügen eines Parameters `AllowKey=system.run[,*]` für jeden zulässigen Befehl in der [Agentkonfiguration](/manual/appendix/config/zabbix_agentd) aktiviert werden). - Die HTTP-Authentifizierung für Benutzer kann durch Setzen von `$ALLOW_HTTP_AUTH=false` in der [Frontend-Konfigurationsdatei](/manual/installation/frontend#install) (`zabbix.conf.php`) deaktiviert werden. Beachten Sie, dass eine Neuinstallation des Frontends (Ausführen von `setup.php`) diesen Parameter entfernt. [comment]: # ({/b96222b8-0f084225}) [comment]: # ({11a9a375-95fd0cfc}) #### UNC-Pfad-Zugriff unter Windows durch den Zabbix Agent Zabbix Agent unter Windows folgen UNC-Pfaden (SMB-Freigaben wie `\\server\share\file.txt`) in Datenpunkten wie `vfs.file.*`, `vfs.dir.*`, `modbus.get` und `perf_counter*`. Dies kann in einigen Kontexten ein Sicherheitsrisiko darstellen. Wenn Windows aufgefordert wird, auf einen UNC-Pfad zuzugreifen, versucht es, sich auf diesem Server zu authentifizieren. Das bedeutet, dass eine bösartige Anfrage an den Zabbix Agent den NTLM-Hash an den Server des Anfragenden preisgeben kann. Benutzer können dies bei Bedarf mit den Konfigurationsparametern [AllowKey](/manual/appendix/config/zabbix_agentd_win#allowkey) und [DenyKey](/manual/appendix/config/zabbix_agentd_win#denykey) abmildern. [comment]: # ({/11a9a375-95fd0cfc})