Вступ
У сучасному світі безпека облікових записів – критично важлива. Одним із найбільш ефективних методів захисту є багатофакторна аутентифікація (MFA). Популярна система моніторингу Zabbix підтримує TOTP (Time-based One-Time Password), що дозволяє суттєво посилити захист. У цій статті ми розберемо, як увімкнути MFA у Zabbix, налаштувати методи авторизації та застосувати їх до груп користувачів.
Активація глобальних налаштувань MFA
Для початку необхідно увійти до Zabbix під обліковим записом супер-адміністратора, адже зміни глобальних налаштувань доступні лише йому.
- Перейдіть до меню Users → Authentication.
- Відкрийте вкладку MFA settings.
- Активуйте опцію Enable multi-factor authentication, поставивши відповідну галочку.
Це дозволить Zabbix використовувати багатофакторну аутентифікацію для користувачів. Для продавження, необхідно встановити чекбокс та додати метод.
Налаштування інтерфейсу: Щоб графіки та логи відображалися звично, налаштуйте Zabbix 24-годинний формат часу.
Додавання методу аутентифікації
Після активації MFA, необхідно додати метод, за яким Zabbix буде обробляти запити авторизації.
- Натисніть кнопку Add у розділі Methods.
- У вікні виберіть:
- Type:
TOTP (Time-based One-Time Password) - Name:
Zabbix RPI— ця назва буде відображатись у вашому додатку аутентифікації (наприклад, Google Authenticator або Authy) - Hash function:
SHA-256 - Code length: залиште значення
6— це стандартна довжина для одноразових кодів
- Type:
Примітка: Після додавання цього методу, користувачі, які матимуть доступ до MFA, зможуть налаштувати свої мобільні додатки для генерації кодів.
В цьому випадку користувачів ще нема. Необхідно додати групу та долучити в цю групу користувачів, як описано далі.
Створення групи користувачів для MFA
У Zabbix зручно застосовувати політику MFA не до кожного користувача окремо, а до групи. Це дозволяє легко керувати тим, хто має використовувати двофакторну аутентифікацію.
Оповіщення про критичні події: Після налаштування захисту, важливо вчасно отримувати дані. Подивіться, як налаштувати email сповіщення в Zabbix.
Налаштування групи:
- Перейдіть до Users → User groups.
- Створіть нову групу з такими параметрами:
- Group name:
TOTP group - Users: додайте користувача
Admin(або будь-кого, кому потрібно активувати MFA) - Multi-factor authentication: виберіть створений раніше метод (
Zabbix TOTP), якщо він не встановлений за замовчуванням
- Group name:
Тепер всі користувачі в цій групі повинні самостійно налаштувати MFA у своїх профілях — наприклад, відсканувати QR-код у мобільному додатку.
Комплексний моніторинг: Для повного контролю над залізом, читайте гайд про моніторинг температури Raspberry Pi за допомогою Zabbix.
Важливо: налаштування MFA застосовуються на рівні групи, а не конкретного користувача. Тому важливо правильно додати користувачів до потрібної групи.
Перевірка результату
Щоб перевірити як працює цей сервіс, необхідно вийти з облікового запису та знову зайти, буде проінійоване вікно, яке запропонує сторити код.
Мій андроїд додаток Google Google Authenticator створив такий запис.
Висновок
Увімкнення багатофакторної аутентифікації — це один із найпростіших і найефективніших способів захистити вашу систему моніторингу Zabbix від несанкціонованого доступу. З використанням TOTP і політик на рівні груп — налаштування займає лише кілька хвилин, але суттєво підвищує рівень безпеки.
Мережева безпека: Крім двофакторної аутентифікації, рекомендую обмежити доступ до Zabbix лише з локальної мережі, щоб максимально убезпечити сервер.
