Zabbix 構築時に、インターネット経由でログインする構成を想定しております。しかしながらパスワードクラッキングされる恐れがあることから、本構成の社内で承認が下りません。Zabbix 環境で推奨されるセキュアな認証システムがあればご教授お願いできますでしょうか。 最近では2段階認証などが浸透しつつあると思われますが、Zabbix 環境でも可能なのでしょうか?
構築前・計画段階とのことですが‥ 質問の際には、 利用(予定)しているZabbixのバージョン x.y.z(3.0.1等) OS・DBの種類やバージョン等、分かる範囲で記載をお願いします バージョン毎や、構築環境によって回答内容が変わることがあるため、お願いします
zabbixのWebUIへログインするユーザの認証方式は、 以下のページに解説があるとおり、 https://www.zabbix.com/documentation/3.0/manual/web_interface/frontend_sections/administration/authentication ・ZabbixのDB内のユーザ名・パスワード情報による認証 ・LDAP認証 ・HTTP認証 となっています LDAP/HTTP認証を用いる場合には、そちらに登録されたユーザ名と同じ名前のユーザを ZabbixDB側にも登録し、権限等の管理を行います
セキュアな認証システム‥というのが、どの程度のものを想定されているのかは微妙ですが‥ Zabbixのユーザ認証機能だけでは、残念ながら、アタックやクラッキング等に耐えうるような 設定項目はありません
1.アクセスできるべきユーザの端末へ独自のクライアント証明書を配布したうえで HTTPSを併用して、クライアント証明書認証を掛ける ※)ApacheやNginx等の設定で、クライアント証明書のチェックが通らない限り HTTPSの接続が確立しないようにする 2.そのうえで、Zabbix側でユーザ認証 上記証明書認証が通らない限りはここまでたどり着けないので、 パスワード全走査的なクラックは不能
あとは、Apache/Nginx もしくは、前段にアプリケーションファイヤーウォール等を構築して 「規定回数以上の接続失敗があったIPを一定時間弾く」等を構築‥でしょうか‥
いずれも、Zabbixの機能ではないため、Apache/Nginx等のHTTPD系で調査してみるのを お薦めします
fripperさんに回答を書いて頂いたので少しだけ補足。
Zabbix自体には、Googleなどのアカウントで認証するOAuthのよう な機能は用意されていません。2段階認証の機能もありません。 機能改善要望は挙がっていますが、まだ実装される計画にはなって いないようです。
ZBXNEXT-2979 OAUTH LOGIN https://support.zabbix.com/browse/ZBXNEXT-2979
インターネット経由でアクセスする際には、fripperさんが挙げら れていた接続制限の他にも、
・デフォルトのアカウントは無効にする ・脆弱性が発見されたら速やかにバージョンアップして対応する
も考慮しておくことをお勧めします。
アカウント名 muramatsu
居住地 大阪府
Zabbix関連
fripper - 投稿数: 495
構築前・計画段階とのことですが‥
質問の際には、
利用(予定)しているZabbixのバージョン x.y.z(3.0.1等)
OS・DBの種類やバージョン等、分かる範囲で記載をお願いします
バージョン毎や、構築環境によって回答内容が変わることがあるため、お願いします
zabbixのWebUIへログインするユーザの認証方式は、
以下のページに解説があるとおり、
https://www.zabbix.com/documentation/3.0/manual/web_interface/frontend_sections/administration/authentication
・ZabbixのDB内のユーザ名・パスワード情報による認証
・LDAP認証
・HTTP認証
となっています
LDAP/HTTP認証を用いる場合には、そちらに登録されたユーザ名と同じ名前のユーザを
ZabbixDB側にも登録し、権限等の管理を行います
セキュアな認証システム‥というのが、どの程度のものを想定されているのかは微妙ですが‥
Zabbixのユーザ認証機能だけでは、残念ながら、アタックやクラッキング等に耐えうるような
設定項目はありません
1.アクセスできるべきユーザの端末へ独自のクライアント証明書を配布したうえで
HTTPSを併用して、クライアント証明書認証を掛ける
※)ApacheやNginx等の設定で、クライアント証明書のチェックが通らない限り
HTTPSの接続が確立しないようにする
2.そのうえで、Zabbix側でユーザ認証
上記証明書認証が通らない限りはここまでたどり着けないので、
パスワード全走査的なクラックは不能
あとは、Apache/Nginx もしくは、前段にアプリケーションファイヤーウォール等を構築して
「規定回数以上の接続失敗があったIPを一定時間弾く」等を構築‥でしょうか‥
いずれも、Zabbixの機能ではないため、Apache/Nginx等のHTTPD系で調査してみるのを
お薦めします
TNK - 投稿数: 4717
fripperさんに回答を書いて頂いたので少しだけ補足。
Zabbix自体には、Googleなどのアカウントで認証するOAuthのよう
な機能は用意されていません。2段階認証の機能もありません。
機能改善要望は挙がっていますが、まだ実装される計画にはなって
いないようです。
ZBXNEXT-2979 OAUTH LOGIN
https://support.zabbix.com/browse/ZBXNEXT-2979
インターネット経由でアクセスする際には、fripperさんが挙げら
れていた接続制限の他にも、
・デフォルトのアカウントは無効にする
・脆弱性が発見されたら速やかにバージョンアップして対応する
も考慮しておくことをお勧めします。