Двофакторна аутентифікацію MFA в Zabbix

2

Вступ

У сучасному світі, де кібератаки стають дедалі витонченішими, безпека облікових записів — критично важлива. Одним із найбільш ефективних методів захисту є багатофакторна аутентифікація (Multi-factor Authentication, MFA). Вона додає ще один рівень безпеки до звичайного входу за допомогою логіна і пароля.

Zabbix, популярна система моніторингу, підтримує MFA з використанням TOTP (Time-based One-Time Password). У цій статті розглянемо, як увімкнути MFA у Zabbix, щоб підвищити безпеку вашого середовища моніторингу.

Активація глобальних налаштувань MFA

Для початку необхідно увійти до Zabbix під обліковим записом супер-адміністратора, адже зміни глобальних налаштувань доступні лише йому.

  1. Перейдіть до меню Users → Authentication.
  2. Відкрийте вкладку MFA settings.
  3. Активуйте опцію Enable multi-factor authentication, поставивши відповідну галочку.

Це дозволить Zabbix використовувати багатофакторну аутентифікацію для користувачів.

Для продавження, необхідно встановити чекбокс та додати метод

Додавання методу аутентифікації

Після активації MFA, необхідно додати метод, за яким Zabbix буде обробляти запити авторизації.

  • Натисніть кнопку Add у розділі Methods.
  • У вікні виберіть:
    • Type: TOTP (Time-based One-Time Password)
    • Name: Zabbix RPI — ця назва буде відображатись у вашому додатку аутентифікації (наприклад, Google Authenticator або Authy)
    • Hash function: SHA-256
    • Code length: залиште значення 6 — це стандартна довжина для одноразових кодів

Примітка: Після додавання цього методу, користувачі, які матимуть доступ до MFA, зможуть налаштувати свої мобільні додатки для генерації кодів.

В цьому випадку користувачів ще нема. Необхідно додати групу та долучити в цю групу користувачів, як описано далі.

Створення групи користувачів для MFA

У Zabbix зручно застосовувати політику MFA не до кожного користувача окремо, а до групи. Це дозволяє легко керувати тим, хто має використовувати двофакторну аутентифікацію.

Налаштування групи:

  1. Перейдіть до Users → User groups.
  2. Створіть нову групу з такими параметрами:
    • Group name: TOTP group
    • Users: додайте користувача Admin (або будь-кого, кому потрібно активувати MFA)
    • Multi-factor authentication: виберіть створений раніше метод (Zabbix TOTP), якщо він не встановлений за замовчуванням

Тепер всі користувачі в цій групі повинні самостійно налаштувати MFA у своїх профілях — наприклад, відсканувати QR-код у мобільному додатку.

Важливо: налаштування MFA застосовуються на рівні групи, а не конкретного користувача. Тому важливо правильно додати користувачів до потрібної групи.

Перевірка результату

Щоб перевірити як працює цей сервіс, необхідно вийти з облікового запису та знову зайти, буде проінійоване вікно, яке запропонує сторити код.

Мій андроїд додаток Google Google Authenticator створив такий запис.

Висновок

Увімкнення багатофакторної аутентифікації — це один із найпростіших і найефективніших способів захистити вашу систему моніторингу Zabbix від несанкціонованого доступу. З використанням TOTP і політик на рівні груп — налаштування займає лише кілька хвилин, але суттєво підвищує рівень безпеки.