zabbix proxy установка

zabbix proxy установка

Безопасная установка Zabbix Proxy: как не оставить брешь в мониторинге

zabbix proxy установка — это первый шаг к распределённому и отказоустойчивому мониторингу, но если выполнить её без учёта принципов информационной безопасности, вы рискуете превратить агента сбора данных в шлюз для атаки на всю инфраструктуру. В этом гайде разберём не просто «как поставить», а как поставить так, чтобы злоумышленник не смог подменить метрики, украсть учётные данные или использовать прокси как плацдарм для внутреннего перемещения.

Почему ваш Zabbix Proxy — главная цель для хакера

Zabbix Proxy собирает данные со множества хостов и передаёт их на сервер. Он часто размещается в DMZ или в сегментах с ограниченным доступом, но при этом:

• Имеет сетевые права на подключение ко многим устройствам;
• Хранит конфигурацию с параметрами проверок (включая SNMP-сообщества, SSH-ключи, API-токены);
• Передаёт чувствительные метрики в открытом виде — если не настроено шифрование.

Атакующий, получивший контроль над прокси, может:
- Подменить значения CPU, памяти, дискового пространства — и скрыть факт взлома;
- Перехватить учётные данные при использовании незашифрованных протоколов (например, HTTP-проверки);
- Использовать его как pivot-точку для сканирования внутренней сети.

Поэтому zabbix proxy установка — это не административная рутина, а акт создания доверенной точки в архитектуре безопасности.

Этап 1: Выбор типа прокси — Active vs Passive (и почему это вопрос безопасности)

Zabbix поддерживает два режима работы прокси:

Рекомендация для RU-инфраструктур: используйте Active-прокси, особенно если он находится за NAT или в облаке (Yandex Cloud, VK Cloud, Selectel). Это позволяет:
- Блокировать весь входящий трафик на прокси через iptables/nftables;
- Снизить поверхность атаки — нет открытых портов «наружу»;
- Упростить настройку в корпоративных сетях с централизованными firewall (например, на базе Kaspersky UTM или «Лаборатории Касперского»).

Важно: даже в Active-режиме прокси должен уметь принимать команды от сервера (например, для перезапуска агентов). Это реализуется через то же исходящее соединение, но требует корректной настройки очередей и таймаутов.

Этап 2: Установка — не просто apt install

Да, в Ubuntu/Debian достаточно выполнить:

sudo apt update && sudo apt install zabbix-proxy-sqlite3

Но это небезопасно по умолчанию. Вот что нужно сделать сразу после установки:

2.1. Отказ от SQLite в пользу PostgreSQL или MySQL

SQLite подходит только для тестовых сред. В продакшене:
- Нет параллелизма — при высокой нагрузке прокси «тормозит»;
- Нет механизмов репликации и резервного копирования уровня enterprise;
- Файл базы лежит в /var/lib/zabbix, и при компрометации ОС его легко скопировать.

Для RU-проектов рекомендуем PostgreSQL — он бесплатен, поддерживает TLS-соединения с клиентом и имеет встроенные средства аудита.

Установка с PostgreSQL:

sudo apt install zabbix-proxy-pgsql postgresql
sudo -u postgres createuser --pwprompt zabbix
sudo -u postgres createdb -O zabbix zabbix_proxy
sudo zcat /usr/share/doc/zabbix-proxy-pgsql*/schema.sql.gz | sudo -u zabbix psql zabbix_proxy

2.2. Минимизация прав ОС

Создайте отдельного пользователя без shell-доступа:

sudo useradd -r -s /usr/sbin/nologin zabbix

Убедитесь, что файлы конфигурации (/etc/zabbix/zabbix_proxy.conf) принадлежат zabbix:zabbix и имеют права 640.

Этап 3: Шифрование — не опция, а обязанность

Без шифрования весь трафик между прокси и сервером передаётся в открытом виде. Это критично, если:
- Прокси и сервер находятся в разных дата-центрах;
- Соединение проходит через публичную сеть (например, между офисом и облаком);
- Внутри сети возможны атаки MITM (Man-in-the-Middle).

Zabbix поддерживает два уровня шифрования:

1. PSK (Pre-Shared Key) — проще в настройке, но менее гибкий;
2. TLS с сертификатами — сложнее, но обеспечивает mutual authentication.

Настройка PSK (минимальный безопасный уровень)

На сервере и прокси создайте файл с ключом:

Генерация 256-битного ключа (32 байта в hex = 64 символа)
openssl rand -hex 32 > /etc/zabbix/zabbix.psk
chmod 640 /etc/zabbix/zabbix.psk
chown zabbix:zabbix /etc/zabbix/zabbix.psk

В конфигурации прокси (/etc/zabbix/zabbix_proxy.conf):

TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=proxy-dc1
TLSPSKFile=/etc/zabbix/zabbix.psk

На сервере Zabbix в веб-интерфейсе:
- Administration → Proxies → [ваш прокси] → Encryption
- Укажите тот же PSK identity и значение ключа.

Предупреждение: PSK одинаков для всех соединений. Если ключ украден — скомпрометирован весь канал. Меняйте его раз в 90 дней.

TLS с сертификатами — enterprise-подход

Требует PKI (Public Key Infrastructure). Для небольших компаний можно использовать easy-rsa или cfssl.

Преимущества:
- Каждый прокси имеет уникальный сертификат;
- Возможна отмена (CRL/OCSP);
- Поддержка Perfect Forward Secrecy (PFS) при правильной настройке OpenSSL.

В конфиге прокси:

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/ca.pem
TLSCertFile=/etc/zabbix/proxy-dc1.crt
TLSKeyFile=/etc/zabbix/proxy-dc1.key

Чего вам НЕ говорят в других гайдах

Большинство статей останавливаются на «запустил — работает». Но реальные риски начинаются потом.

1. Логи прокси — золотая жила для атакующего

Файл /var/log/zabbix/zabbix_proxy.log по умолчанию содержит:
- IP-адреса всех мониторируемых хостов;
- Имена пользователей при проверках через SSH/WinRM;
- Ошибки подключения — которые могут раскрыть топологию сети.

Что делать:
- Настройте LogType=file и LogFile=/var/log/zabbix/zabbix_proxy.log;
- Ограничьте права: chown zabbix:adm /var/log/zabbix/zabbix_proxy.log;
- Настройте logrotate с шифрованием архивов (через postrotate + gpg);
- Отправляйте логи в SIEM (например, Wazuh или Elastic Stack) и удаляйте локальные копии.

1. Прокси как точка отказа при DDoS

Если прокси получает слишком много данных, он может упасть. Атакующий может:
- Создать сотни фейковых хостов через Zabbix Agent (если разрешена авто-регистрация);
- Отправлять поддельные метрики большого объёма.

Защита:
- Отключите AutoRegistration в настройках сервера;
- Ограничьте количество хостов на прокси (в Zabbix 6.0+ есть квоты);
- Настройте rate-limiting на уровне firewall.

1. Утечка данных через DNS-запросы

Zabbix Proxy разрешает имена хостов через системный resolver. Если используется публичный DNS (8.8.8.8), все имена ваших внутренних серверов уходят в Google.

Решение:
- Настройте локальный DNS (например, dnsmasq или unbound);
- Используйте только IP-адреса в конфигурации хостов;
- Заблокируйте исходящие DNS-запросы на сторонние серверы через iptables.

1. Поддельные обновления и supply chain-атаки

Если вы ставите Zabbix из официального репозитория — хорошо. Но если скачиваете .deb с третьих сайтов — рискуете получить бэкдор.

Проверка:
- Всегда сверяйте checksum’ы с официального сайта;
- Используйте GPG-подпись пакетов:
bash wget https://repo.zabbix.com/zabbix-official-repo.key gpg --verify zabbix-release_6.0-1+ubuntu22.04_all.deb.sig zabbix-release_6.0-1+ubuntu22.04_all.deb

Сравнение подходов к защите Zabbix Proxy

Примечание для RU: использование WireGuard-туннеля между прокси и сервером — популярный хак в российских компаниях, так как он быстрее OpenVPN и проще в аудите. Но помните: туннель не заменяет аутентификацию на уровне приложения.

⚙️Технология доступа

Диагностика уязвимостей после установки

После zabbix proxy установка выполните чек-лист:

1. Проверка открытых портов:
   bash ss -tulnp | grep zabbix
   Должен быть только 127.0.0.1:10051 (если Passive) или вообще ничего (если Active).

   🔐Защити свои данные

2. Анализ трафика на шифрование:
   bash tcpdump -i any -nn port 10051 -w zabbix.pcap
   Откройте в Wireshark — если видны JSON/XML с метриками, шифрование не работает.

3. Проверка прав доступа:
   bash namei -l /etc/zabbix/zabbix_proxy.conf
   Владелец — zabbix, группа — zabbix, права — 640.

4. Тест на подмену данных:

   🔐Защити свои данные
5. Остановите прокси;
6. Запустите свой TCP-сервер на том же порту;
7. Убедитесь, что сервер Zabbix не принимает данные без TLS/PSK.

FAQ

Можно ли использовать Zabbix Proxy без шифрования во внутренней сети?

Технически — да. Но если сеть не изолирована (например, общая VLAN для серверов и пользователей), риск MITM остаётся. В корпоративных средах РФ, где часто используются коммутируемые сети без 802.1X, шифрование обязательно.

Замедлит ли шифрование работу прокси?

PSK добавляет ~3% нагрузки на CPU. TLS с PFS — до 7%. На современных серверах (Intel Xeon Silver и выше) это неощутимо даже при 10 000+ метрик/сек. Тесты в дата-центрах Selectel показывают: разница в latency — менее 1 мс.

⚙️Технология доступа

Нужен ли отдельный сервер для Zabbix Proxy?

Не обязательно. Его можно запускать на том же хосте, что и другие сервисы, но только если: - У этого хоста нет прямого доступа из интернета; - Настроены cgroups для ограничения ресурсов; - Файловая система зашифрована (LUKS). В противном случае — выносите на отдельную ВМ.

Как часто менять PSK-ключ?

Раз в 90 дней — стандарт PCI DSS и ГОСТ Р 57580.2-2017. Автоматизируйте смену через Ansible или SaltStack: обновляйте файл на прокси и в веб-интерфейсе одновременно.

Будет ли прокси работать через NAT?

Да, в режиме Active. Прокси инициирует соединение к серверу, поэтому NAT не мешает. Главное — чтобы на сервере был открыт порт 10051 и разрешены подключения с IP NAT-шлюза.

Открой мир без границ🌍

Можно ли использовать Let's Encrypt для TLS?

Нет. Let's Encrypt выдаёт сертификаты только для публичных доменов. Для внутренних имён (proxy.dc.local) нужен частный CA. Используйте OpenSSL или HashiCorp Vault для генерации.

Вывод

zabbix proxy установка — это не просто развёртывание дополнительного компонента, а создание нового доверенного узла в системе мониторинга. Если проигнорировать шифрование, управление правами и защиту от подмены данных, вы получите не инструмент наблюдаемости, а «троянского коня» в своей инфраструктуре. Особенно в условиях российской реалии, где растёт число целевых атак на ИТ-системы предприятий, безопасная настройка прокси становится не опцией, а обязательным элементом архитектуры. Начните с Active-режима, настройте PSK как минимум, перейдите на TLS с сертификатами — и только тогда ваш Zabbix будет не просто собирать метрики, а защищать вас от невидимых угроз.