[comment]: # translation:outdated [comment]: # ({c16c09cf-cebf8306}) # 1. Контроль доступа [comment]: # ({/c16c09cf-cebf8306}) [comment]: # ({88806b0c-c4f0ac9a}) #### Обзор В этом разделе приведены рекомендации по настройке контроля доступа безопасным образом. [comment]: # ({/88806b0c-c4f0ac9a}) [comment]: # ({2acc8f22-dc572a02}) #### Принцип наименьших привилегий Учётные записи пользователей всегда должны иметь как можно меньше привилегий. Это означает, что учётные записи пользователей веб-интерфейса Zabbix, пользователей баз данных или пользователей, от имени которых запускаются процессы сервера/прокси/агента Zabbix, должны иметь только те привилегии, которые необходимы для выполнения предназначенных функций. ::: noteimportant Предоставление избыточных привилегий пользователю «zabbix» позволит ему получать доступ к файлам конфигурации и выполнять операции, которые могут поставить под угрозу безопасность инфраструктуры. ::: При настройке прав учётной записи пользователя следует учитывать [типы пользователей веб-интерфейса](/manual/config/users_and_usergroups/permissions) Zabbix. Обратите внимание, что, хотя тип пользователя *Администратор* имеет меньше прав, чем тип пользователя *Супер-администратор*, он, тем не менее, может управлять конфигурацией и выполнять пользовательские скрипты. ::: noteclassic Некоторая информация доступна даже непривилегированным пользователям. Например, хотя раздел *Оповещения* → *Скрипты* доступен только для пользователей с ролью *Супер-администратор*, скрипты также можно получить посредством Zabbix API. В этом случае ограничение прав доступа к скриптам и исключение конфиденциальной информации из скриптов (например, учётных данных) может помочь избежать раскрытия конфиденциальной информации, доступной в глобальных скриптах. ::: [comment]: # ({/2acc8f22-dc572a02}) [comment]: # ({883c2138-1631be73}) #### Защищённый пользователь для Zabbix агента По умолчанию процессы Zabbix сервера, прокси и агента (или агента 2) используют одного пользователя `zabbix`. Чтобы предотвратить доступ Zabbix агента/агента 2 (работающего на том же компьютере, что и сервер/прокси) к конфиденциальным данным в конфигурации сервера/прокси (например, к учётным данным базы данных), агент следует запускать под другим пользователем: Для Zabbix агента: 1. Создайте защищённую [группу и пользователя](/manual/installation/install#создайте-учётную-запись-пользователя) (например, `zabbix-agent`). 2. Укажите этого пользователя в параметре [User](/manual/appendix/config/zabbix_agentd#user) файла конфигурации агента. 3. [Перезапустите агента](/manual/concepts/agent#при-установке-из-пакета), чтобы сбросить привилегии на нового пользователя. Для Zabbix агента 2, настройки должны применяться на уровне [службы \[en\]](https://www.freedesktop.org/software/systemd/man/latest/systemd.exec.html), так как [файл конфигурации агента 2](/manual/appendix/config/zabbix_agent2) не поддерживает параметр `User`. Пример можно посмотреть в [ZBX-26442 \[en\]](https://support.zabbix.com/browse/ZBX-26442). [comment]: # ({/883c2138-1631be73}) [comment]: # ({582edb84-c02c850f}) #### Отзыв доступа на запись к конфигурации SSL (Windows) Если вы скомпилировали агент Zabbix в Windows, где OpenSSL находится в незащищённом каталоге (например, `C:\zabbix`, `c:\openssl-64bit`, `C:\OpenSSL-Win64-111-static` или `C:\dev\openssl`), обязательно отмените доступ на запись в этот каталог для пользователей, не являющихся администраторами. В противном случае агент будет загружать настройки SSL из пути, который могут изменить непривилегированные пользователи, что приведёт к потенциальной уязвимости безопасности. [comment]: # ({/582edb84-c02c850f}) [comment]: # ({a28aff05-0f084225}) #### Усиление безопасности компонентов Zabbix Для усиления безопасности компонентов Zabbix некоторые функции можно отключить: - выполнение глобальных скриптов на Zabbix сервере можно отключить, установив EnableGlobalScripts=0 в настройках сервера; - выполнение глобальных скриптов на Zabbix прокси по умолчанию отключено (можно включить, установив EnableRemoteCommands=1 в настройках прокси); - выполнение глобальных скриптов на агентах Zabbix agents по умолчанию отключено (можно включить, добавив параметр AllowKey=system.run[,\*] для каждой разрешённой команды в настройках агента); - HTTP-аутентификацию пользователей можно отключить, установив `$ALLOW_HTTP_AUTH=false`в файле конфигурации веб-интерфейса (zabbix.conf.php). Обратите внимание, что переустановка веб-интерфейса (запуск setup.php) удалит этот параметр. [comment]: # ({/a28aff05-0f084225}) [comment]: # ({11a9a375-95fd0cfc}) #### Доступ к UNC-путям в Windows через Zabbix агент В элементах данных вроде `vfs.file.*`, `vfs.dir.*` и `perf_counter*` Zabbix агенты в Windows используют UNC-пути (ресурсы SMB наподобие `\\сервер\ресурс\файл.txt`). В некоторых контекстах это может представлять угрозу безопасности. Когда Windows запрашивает доступ к UNC-пути, выполняется попытка аутентификации на том сервере. Это означает, что вредоносный запрос к Zabbix агенту может раскрыть NTLM-хеш серверу отправителя запроса. Если необходимо, пользователи могут предотвратить это с помощью параметров конфигурации [AllowKey](/manual/appendix/config/zabbix_agentd_win#allowkey) и [DenyKey](/manual/appendix/config/zabbix_agentd_win#denykey). [comment]: # ({/11a9a375-95fd0cfc})