[comment]: # ({c16c09cf-cebf8306}) # 1 Piekļuves kontrole [comment]: # ({/c16c09cf-cebf8306}) [comment]: # ({88806b0c-c4f0ac9a}) #### Pārskats Šajā sadaļā ir ietvertas labākās prakses, kā drošā veidā iestatīt piekļuves kontroli. [comment]: # ({/88806b0c-c4f0ac9a}) [comment]: # ({2acc8f22-dc572a02}) #### Vismazāko privilēģiju princips Lietotāju kontiem vienmēr jādarbojas ar pēc iespējas mazāku privilēģiju skaitu. Tas nozīmē, ka lietotāju kontiem Zabbix lietotāja saskarnē, datubāzes lietotājiem vai lietotājam Zabbix servera/starpniekservera/aģenta procesos vajadzētu būt tikai tām privilēģijām, kas ir būtiskas paredzēto funkciju veikšanai. ::: noteimportant Papildu privilēģiju piešķiršana lietotājam 'zabbix' ļaus tam piekļūt konfigurācijas failiem un izpildīt darbības, kas var apdraudēt infrastruktūras drošību. ::: Konfigurējot lietotāju kontu privilēģijas, jāņem vērā Zabbix [lietotāja saskarnes lietotāju tipi](/manual/config/users_and_usergroups/permissions). Ņemiet vērā, ka, lai gan *Admin* lietotāja tipam ir mazāk privilēģiju nekā *Super Admin* lietotāja tipam, tas joprojām var pārvaldīt konfigurāciju un izpildīt pielāgotus skriptus. ::: noteclassic Daļa informācijas ir pieejama arī lietotājiem bez privilēģijām. Piemēram, lai gan *Alerts* → *Scripts* ir pieejams tikai *Super Admin* lietotājiem, skriptus var iegūt arī, izmantojot Zabbix API. Šādā gadījumā skriptu atļauju ierobežošana un sensitīvas informācijas izslēgšana no skriptiem (piemēram, piekļuves akreditācijas dati) var palīdzēt izvairīties no sensitīvas informācijas atklāšanas globālajos skriptos. ::: [comment]: # ({/2acc8f22-dc572a02}) [comment]: # ({883c2138-1631be73}) #### Drošs lietotājs Zabbix aģentam Pēc noklusējuma Zabbix servera, starpniekservera un aģenta (vai agent 2) procesi izmanto vienu `zabbix` lietotāju. Lai novērstu to, ka Zabbix aģents/agent 2 (kas darbojas tajā pašā datorā, kur serveris/starpniekserveris) piekļūst sensitīvai informācijai servera/starpniekservera konfigurācijā (piemēram, datubāzes akreditācijas datiem), aģents jāpalaiž ar citu lietotāju: Zabbix aģentam: 1. Izveidojiet drošu [grupu un lietotāju](/manual/installation/install#create-user-account) (piem., `zabbix-agent`). 2. Iestatiet šo lietotāju aģenta konfigurācijas faila [User](/manual/appendix/config/zabbix_agentd#user) parametrā. 3. [Pārstartējiet aģentu](/manual/concepts/agent#if-installed-as-package), lai tas pārietu uz jaunā lietotāja privilēģijām. Zabbix agent 2 gadījumā konfigurācija jāpiemēro [pakalpojuma](https://www.freedesktop.org/software/systemd/man/latest/systemd.exec.html) līmenī, jo [agent 2 konfigurācijas fails](/manual/appendix/config/zabbix_agent2) neatbalsta `User` parametru. Piemēru skatiet [ZBX-26442](https://support.zabbix.com/browse/ZBX-26442). [comment]: # ({/883c2138-1631be73}) [comment]: # ({582edb84-c02c850f}) #### Atsaukt rakstīšanas piekļuvi SSL konfigurācijai (Windows) Ja esat kompilējis Zabbix aģentu operētājsistēmā Windows un OpenSSL atrodas neaizsargātā direktorijā (piem., `C:\zabbix`, `c:\openssl-64bit`, `C:\OpenSSL-Win64-111-static` vai `C:\dev\openssl`), pārliecinieties, ka lietotājiem, kas nav administratori, ir atsaukta rakstīšanas piekļuve šim direktorijam. Pretējā gadījumā aģents ielādē SSL iestatījumus no ceļa, ko var modificēt lietotāji bez paaugstinātām tiesībām, tādējādi radot iespējamu drošības ievainojamību. [comment]: # ({/582edb84-c02c850f}) [comment]: # ({b96222b8-0f084225}) #### Zabbix komponentu drošības pastiprināšana Dažas funkcijas var izslēgt, lai pastiprinātu Zabbix komponentu drošību: - Globālo skriptu izpildi Zabbix serverī var atspējot, iestatot `EnableGlobalScripts=0` [servera konfigurācijā](/manual/appendix/config/zabbix_server). - Globālo skriptu izpilde Zabbix starpniekserverī pēc noklusējuma ir atspējota (to var iespējot, iestatot `EnableRemoteCommands=1` [starpniekservera konfigurācijā](/manual/appendix/config/zabbix_proxy)). - Globālo skriptu izpilde Zabbix aģentos pēc noklusējuma ir atspējota (to var iespējot, katrai atļautajai komandai [aģenta konfigurācijā](/manual/appendix/config/zabbix_agentd) pievienojot parametru `AllowKey=system.run[,*]`). - Lietotāja HTTP autentifikāciju var atspējot, iestatot `$ALLOW_HTTP_AUTH=false` [lietotāja saskarnes konfigurācijas failā](/manual/installation/frontend#install) (`zabbix.conf.php`). Ņemiet vērā, ka lietotāja saskarnes atkārtota instalēšana (palaižot `setup.php`) noņems šo parametru. [comment]: # ({/b96222b8-0f084225}) [comment]: # ({11a9a375-95fd0cfc}) #### UNC ceļa piekļuve Windows sistēmā, izmantojot Zabbix aģents Zabbix aģenti Windows sistēmā seko UNC ceļiem (SMB koplietojumiem, piemēram, `\\server\share\file.txt`) tādos vienumos kā `vfs.file.*`, `vfs.dir.*`, `modbus.get` un `perf_counter*`. Dažos gadījumos tas var radīt drošības risku. Kad Windows tiek lūgts piekļūt UNC ceļam, tā mēģina autentificēties šajā serveris. Tas nozīmē, ka ļaunprātīgs pieprasījums Zabbix aģents var atklāt NTLM jaucējvērtību pieprasījuma serveris. Lietotāji var mazināt šo risku, ja nepieciešams, izmantojot [AllowKey](/manual/appendix/config/zabbix_agentd_win#allowkey) un [DenyKey](/manual/appendix/config/zabbix_agentd_win#denykey) konfigurācijas parametrus. [comment]: # ({/11a9a375-95fd0cfc})