[comment]: # ({c16c09cf-cebf8306}) # 1 Controllo degli accessi [comment]: # ({/c16c09cf-cebf8306}) [comment]: # ({88806b0c-c4f0ac9a}) #### Panoramica Questa sezione contiene le best practice per configurare il controllo degli accessi in modo sicuro. [comment]: # ({/88806b0c-c4f0ac9a}) [comment]: # ({2acc8f22-dc572a02}) #### Principio del privilegio minimo Gli account utente, in ogni momento, dovrebbero operare con il minor numero possibile di privilegi. Ciò significa che gli account utente nel frontend di Zabbix, gli utenti del database o l'utente per i processi di Zabbix server/proxy/agent dovrebbero avere solo i privilegi essenziali per svolgere le funzioni previste. ::: noteimportant Concedere privilegi aggiuntivi all'utente 'zabbix' gli consentirà di accedere ai file di configurazione ed eseguire operazioni che possono compromettere la sicurezza dell'infrastruttura. ::: Quando si configurano i privilegi degli account utente, è necessario considerare i [tipi di utente del frontend di Zabbix](/manual/config/users_and_usergroups/permissions). Si noti che, sebbene il tipo di utente *Admin* abbia meno privilegi del tipo di utente *Super Admin*, può comunque gestire la configurazione ed eseguire script personalizzati. ::: noteclassic Alcune informazioni sono disponibili anche per gli utenti non privilegiati. Ad esempio, mentre *Alerts* → *Scripts* è disponibile solo per gli utenti *Super Admin*, gli script possono essere recuperati anche tramite Zabbix API. In questo caso, limitare i permessi degli script ed escludere le informazioni sensibili dagli script (ad esempio, le credenziali di accesso) può aiutare a evitare l'esposizione di informazioni sensibili disponibili negli script globali. ::: [comment]: # ({/2acc8f22-dc572a02}) [comment]: # ({883c2138-1631be73}) #### Utente sicuro per Zabbix agent Per impostazione predefinita, i processi di Zabbix server, proxy e agent (o agent 2) condividono un unico utente `zabbix`. Per impedire che Zabbix agent/agent 2 (in esecuzione sulla stessa macchina di server/proxy) acceda a dettagli sensibili nella configurazione di server/proxy (ad esempio, le credenziali del database), l'agent dovrebbe essere eseguito con un utente diverso: Per Zabbix agent: 1. Creare un [gruppo e utente](/manual/installation/install#create-user-account) sicuri (ad esempio, `zabbix-agent`). 2. Impostare questo utente nel parametro [User](/manual/appendix/config/zabbix_agentd#user) del file di configurazione dell'agent. 3. [Riavviare l'agent](/manual/concepts/agent#if-installed-as-package) per ridurre i privilegi al nuovo utente. Per Zabbix agent 2, la configurazione deve essere applicata a livello di [service](https://www.freedesktop.org/software/systemd/man/latest/systemd.exec.html), perché il [file di configurazione di agent 2](/manual/appendix/config/zabbix_agent2) non supporta il parametro `User`. Per un esempio, vedere [ZBX-26442](https://support.zabbix.com/browse/ZBX-26442). [comment]: # ({/883c2138-1631be73}) [comment]: # ({582edb84-c02c850f}) #### Revocare l'accesso in scrittura alla configurazione SSL (Windows) Se hai compilato Zabbix agent su Windows, con OpenSSL situato in una directory non protetta (ad esempio, `C:\zabbix`, `c:\openssl-64bit`, `C:\OpenSSL-Win64-111-static` o `C:\dev\openssl`), assicurati di revocare l'accesso in scrittura a questa directory per gli utenti non amministratori. In caso contrario, l'agent carica le impostazioni SSL da un percorso che può essere modificato da utenti non privilegiati, con conseguente potenziale vulnerabilità di sicurezza. [comment]: # ({/582edb84-c02c850f}) [comment]: # ({b96222b8-0f084225}) #### Rafforzamento della sicurezza dei componenti di Zabbix Alcune funzionalità possono essere disattivate per rafforzare la sicurezza dei componenti di Zabbix: - L'esecuzione globale degli script su Zabbix server può essere disabilitata impostando `EnableGlobalScripts=0` nella [configurazione del server](/manual/appendix/config/zabbix_server). - L'esecuzione globale degli script su Zabbix proxy è disabilitata per impostazione predefinita (può essere abilitata impostando `EnableRemoteCommands=1` nella [configurazione del proxy](/manual/appendix/config/zabbix_proxy)). - L'esecuzione globale degli script sugli agent di Zabbix è disabilitata per impostazione predefinita (può essere abilitata aggiungendo un parametro `AllowKey=system.run[,*]` per ogni comando consentito nella [configurazione dell'agent](/manual/appendix/config/zabbix_agentd)). - L'autenticazione HTTP dell'utente può essere disabilitata impostando `$ALLOW_HTTP_AUTH=false` nel [file di configurazione del frontend](/manual/installation/frontend#install) (`zabbix.conf.php`). Si noti che la reinstallazione del frontend (eseguendo `setup.php`) rimuoverà questo parametro. [comment]: # ({/b96222b8-0f084225}) [comment]: # ({11a9a375-95fd0cfc}) #### Accesso ai percorsi UNC su Windows tramite agent di Zabbix Gli agent di Zabbix su Windows seguono i percorsi UNC (condivisioni SMB come `\\server\share\file.txt`) in item come `vfs.file.*`, `vfs.dir.*`, `modbus.get` e `perf_counter*`. In alcuni contesti, questo può rappresentare un rischio per la sicurezza. Quando Windows viene richiesto di accedere a un percorso UNC, tenta di autenticarsi su quel server. Ciò significa che una richiesta dannosa a agent di Zabbix può esporre l'hash NTLM al server del richiedente. Gli utenti possono attenuare questo rischio con i parametri di configurazione [AllowKey](/manual/appendix/config/zabbix_agentd_win#allowkey) e [DenyKey](/manual/appendix/config/zabbix_agentd_win#denykey), se necessario. [comment]: # ({/11a9a375-95fd0cfc})