Вступ
Zabbix — це потужна система моніторингу, яка часто використовується для відстеження стану серверів, мережевого обладнання та сервісів. Проте, після встановлення Zabbix веб-інтерфейс стає доступним не лише локально, але й через інтернет, що може становити загрозу безпеці. У цій статті ми розглянемо, як обмежити доступ до веб-інтерфейсу Zabbix тільки з локальної мережі, використовуючи можливості веб-сервера Apache.
У мене є цей домен і я маю доступ до інтерфейсу адміністратора Zabbix через інтернет.
Основна частина
Zabbix зазвичай інтегрується в Apache через файл конфігурації /etc/apache2/conf-enabled/zabbix.conf, де прописано, з якої директорії завантажуються веб-ресурси:
<Directory "/usr/share/zabbix/ui">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
...
</Directory>Нас цікавить блок <Directory "/usr/share/zabbix/ui">, у якому потрібно змінити правила доступу.
Ось як має виглядати оновлений блок:
<Directory "/usr/share/zabbix/ui">
Options FollowSymLinks
AllowOverride None
Require ip 192.168.99.0/24
Require all denied
</Directory>Це означає:
- Дозволити доступ тільки з IP-адрес у підмережі
192.168.99.0/24 - Заборонити усім іншим користувачам
Після редагування — збережіть файл і застосуйте зміни:
sudo systemctl reload apache2Verifying the Changes
Спробуйте відкрити Zabbix:
- З локальної мережі: сторінка повинна відкриватися.
- З інтернету (через домен): ви отримаєте помилку
403 Forbidden.
Це означає, що Apache успішно блокує зовнішній доступ до адмінки.
Висновок
Забезпечення безпеки Zabbix є важливою частиною адміністрування системи моніторингу. Просте обмеження доступу за IP-адресою дозволяє значно зменшити ризики несанкціонованого доступу до веб-інтерфейсу. Такий підхід підходить для приватних середовищ і лабораторій, де Zabbix не повинен бути доступним ззовні.
