[comment]: # translation:outdated [comment]: # ({c16c09cf-cebf8306}) # 1 Контрола приступа [comment]: # ({/c16c09cf-cebf8306}) [comment]: # ({88806b0c-c4f0ac9a}) #### Преглед Овај одељак садржи најбоље праксе за подешавање контроле приступа на безбедан начин. [comment]: # ({/88806b0c-c4f0ac9a}) [comment]: # ({2acc8f22-dc572a02}) #### Принцип најмање привилегија Кориснички налози, у сваком тренутку, треба да раде са што мање привилегија. То значи да кориснички налози у Zabbix фронтенду, корисници базе података или корисник за Zabbix сервер/прокси/агент процесе треба да имају само привилегије које су неопходне за обављање предвиђених функција. ::: noteimportant Давање додатних привилегија кориснику „zabbix“ омогућиће му приступ конфигурационим датотекама и извршавање операција које могу угрозити безбедност инфраструктуре. ::: Приликом конфигурисања привилегија корисничког налога, треба узети у обзир Zabbix [типове корисника фронтенда](/manual/config/users_and_usergroups/permissions). Имајте на уму да иако тип корисника *Admin* има мање привилегија од типа корисника *Super Admin*, он и даље може да управља конфигурацијом и извршава прилагођене скрипте. ::: noteclassic Неке информације су доступне чак и за кориснике без привилегија. На пример, иако је опција *Упозорења* → *Скрипте* доступна само за кориснике са статусом *Супер администратора*, скрипте се такође могу преузети путем Zabbix API-ја. У овом случају, ограничавање дозвола за скрипте и искључивање осетљивих информација из скрипти (на пример, акредитива за приступ) може помоћи у избегавању откривања осетљивих информација доступних у глобалним скриптама. ::: [comment]: # ({/2acc8f22-dc572a02}) [comment]: # ({883c2138-1631be73}) #### Безбедан корисник за Zabbix агента Подразумевано, процеси Zabbix сервера, проксија и агента (или агента 2) деле једног `zabbix` корисника. Да бисте спречили Zabbix агента/агента 2 (који ради на истој машини као и сервер/прокси) да приступа осетљивим детаљима у конфигурацији сервера/проксија (на пример, акредитиви базе података), агент треба да се покреће под другим корисником: За Zabbix агента: 1. Направите безбедну [групу и корисника](/manual/installation/install#create-user-account) (нпр., `zabbix-agent`). 2. Поставите овог корисника у параметру [Корисник](/manual/appendix/config/zabbix_agentd#user) конфигурационе датотеке агента. 3. [Поново покрените агента](/manual/concepts/agent#if-installed-as-package) да бисте препустили привилегије новом кориснику. За Zabbix агента 2, конфигурација мора бити примењена на нивоу [сервиса](https://www.freedesktop.org/software/systemd/man/latest/systemd.exec.html), јер [конфигурациона датотека агента 2](/manual/appendix/config/zabbix_agent2) не подржава параметар `User`. За пример, погледајте [ZBX-26442](https://support.zabbix.com/browse/ZBX-26442). [comment]: # ({/883c2138-1631be73}) [comment]: # ({582edb84-c02c850f}) #### Опозовите приступ за писање SSL конфигурације (Windows) Ако сте компајлирали Zabbix агента на Windows-у, са OpenSSL-ом који се налази у незаштићеном директоријуму (нпр., `C:\zabbix`, `c:\openssl-64bit`, `C:\OpenSSL-Win64-111-static`, или `C:\dev\openssl`), обавезно опозовите приступ за писање корисницима који нису администратори у овом директоријуму. У супротном, агент учитава SSL подешавања са путање коју могу изменити непривилеговани корисници, што резултира потенцијалном безбедносном рањивошћу. [comment]: # ({/582edb84-c02c850f}) [comment]: # ({a28aff05-0f084225}) #### Појачавање безбедности Zabbix компоненти Неке функције се могу искључити да би се појачала безбедност Zabbix компоненти: - глобално извршавање скрипте на Zabbix серверу се може онемогућити постављањем EnableGlobalScripts=0 у конфигурацији сервера; - глобално извршавање скрипте на Zabbix прокси серверу је подразумевано онемогућено (може се омогућити подешавањем EnableRemoteCommands=1 у конфигурацији проксија); - глобално извршавање скрипте на Zabbix агентима је подразумевано онемогућено (може се омогућити додавањем параметра AllowKey=system.run[,\*] за сваку дозвољену команду у конфигурацији агента); - HTTP аутентикација корисника се може онемогућити постављањем `$ALLOW_HTTP_AUTH=false` у конфигурационој датотеци корисничког интерфејса (zabbix.conf.php). Имајте на уму да ће поновна инсталација корисничког интерфејса (покретање setup.php) уклонити овај параметар. [comment]: # ({/a28aff05-0f084225}) [comment]: # ({new-95fd0cfc}) #### UNC path access on Windows by Zabbix agent Zabbix agents on Windows follow UNC paths (SMB shares like `\\server\share\file.txt`) in items like `vfs.file.*`, `vfs.dir.*`, and `perf_counter*`. This can be a security risk in some contexts. When Windows is asked to access a UNC path, it tries to authenticate on that server. This means that a malicious request to Zabbix agent can expose the NTLM hash to the requesters server. Users can mitigate this with [AllowKey](/manual/appendix/config/zabbix_agentd_win#allowkey), [DenyKey](/manual/appendix/config/zabbix_agentd_win#denykey) configuration parameters if they need to. [comment]: # ({/new-95fd0cfc})