��Ĳ�

Table of Contents

Bonnes pratiques pour la configuration s��curis��e de ��Ĳ�

Bonnes pratiques pour la configuration s��curis��e de ��Ĳ�

Aper?u

Cette section contient les bonnes pratiques �� suivre pour configurer ��Ĳ� de mani��re s��curis��e.

Les pratiques expliqu��es ici ne sont pas obligatoire pour faire fonctionner ��Ĳ�. Elles sont recommand��es pour une meilleure s��curit�� du syst��me.

Utilisateur s��curis�� pour l'agent ��Ĳ�

Dans la configuration par d��faut, les processus du serveur et de l'agent ��Ĳ� partage le m��me utilisateur 'zabbix'. Si vous voulez ��tre s?r que l'agent ne puisse pas acc��der �� certains d��tails sensibles de la configuration du serveur (ex : informations de connexion �� base de donn��es), l��agent devrait s��ex��cuter avec un utilisateur diff��rent :

Cr��er un utilisateur s��curis��
Indiquer cet utilisateur dans le [[:manual/appendix/config/zabbix_agentd|fichier de configuration] de l'agent (param��tre : ��User��).
Red��marrer l'agent avec des droits administrateurs. Les droits seront transf��r��s �� l'utilisateur indiqu��.

Mettre en place le SSL pour l'interface Web

Sur RHEL/Centos, installez le package mod_ssl :

yum install mod_ssl

Cr��ez un repertoire pour les cl��s SSL :

mkdir /etc/httpd/ssl

Ajoutez les param��tres SSL :

Country Name (2 letter code) [XX]:
       State or Province Name (full name) []:
       Locality Name (eg, city) [Default City]:
       Organization Name (eg, company) [Default Company Ltd]:
       Organizational Unit Name (eg, section) []:
       Common Name (eg, your name or your server's hostname) []:localhost
       Email Address []:

?ditez la configuration SSL Apache :

/etc/httpd/conf.d/ssl.conf
       
       DocumentRoot "/usr/share/zabbix"
       ServerName localhost:443
       SSLCertificateFile /etc/httpd/ssl/apache.crt
       SSLCertificateKeyFile /etc/httpd/ssl/apache.key

Red��marrez le service Apache pour appliquer les changements :

systemctl restart httpd.service

Activation de ��Ĳ� dans le r��pertoire racine de l'URL

Ajoutez un h?te virtuel �� la configuration Apache et d��finissez une redirection permanente pour le document racine vers l'URL s��curis��e de ��Ĳ�. Remplacez localhost par le nom r��el du serveur.

/etc/httpd/conf/httpd.conf
       
       #Add lines
       
       <VirtualHost *:*>
           ServerName localhost
           Redirect permanent / http://localhost
       </VirtualHost>

Red��marrez le service Apache pour appliquer les modifications :

systemctl restart httpd.service

D��sactiver l'exposition des informations du serveur Web

Il est recommand�� de d��sactiver toutes les signatures de serveur Web dans le cadre du processus de renforcement du serveur Web. Le serveur Web expose la signature logicielle par d��faut :

La signature peut ��tre d��sactiv��e en ajoutant deux lignes au fichier de configuration Apache (utilis�� comme exemple) :

ServerSignature Off
       ServerTokens Prod

La signature PHP (X-Powered-By HTTP header) peut ��tre d��sactiv��e en changeant le fichier de configuration php.ini (la signature est d��sactiv��e par d��faut) :

expose_php = Off

Le red��marrage du serveur Web est obligatoire pour qur les changements dans le fichier de configuration soient appliqu��s.

Un niveau de s��curit�� suppl��mentaire peut ��tre atteint en utilisant le mod_security (package libapache2-mod-security2) avec Apache. mod_security permet de supprimer la signature du serveur au lieu de supprimer uniquement la version de la signature du serveur. La signature peut ��tre modifi��e en n'importe quelle valeur en changeant "SecServerSignature" apr��s l'installation de mod_security.

Reportez-vous �� la documentation de votre serveur Web pour obtenir de l'aide sur la suppression/modification des signatures logicielles.

D��sactiver les pages d'erreurs par d��faut du serveur web

Il est recommand�� de d��sactiver les pages d'erreur par d��faut pour ��viter toute exposition d'informations. Le serveur Web utilise par d��faut les pages d'erreur int��gr��es :

Les pages d'erreur par d��faut doivent ��tre remplac��es/supprim��es dans le cadre du processus de renforcement du serveur Web. La directive "ErrorDocument" peut ��tre utilis��e pour d��finir une page/texte d'erreur personnalis�� pour le serveur web Apache (utilis�� comme exemple).

Reportez-vous �� la documentation de votre serveur Web pour obtenir de l'aide sur la fa?on de remplacer/supprimer les pages d'erreur par d��faut.

Suppression de la page de test du serveur web

Il est recommand�� de supprimer la page de test du serveur Web pour ��viter toute exposition d'informations. Par d��faut, le webroot du serveur web contient une page de test appel��e index.html (Apache2 sur Ubuntu est utilis�� comme exemple) :

La page de test doit ��tre supprim��e ou doit ��tre rendue indisponible dans le cadre du processus de renforcement du serveur Web.

�����Ĳ�

Documentation

Bonnes pratiques pour la configuration s��curis��e de �����Ĳ�