来说，可采用更加安全的安装方式。 实现 Zabbix 的功能并不局限于该范例中所涉及的内容。但建议用户可通过参考该配置方式为 Zabbix 提供更好的系统安全性。 访问控制 最小权限原则 Zabbix 应该始终遵守最小权限原则。该原则意味着用户的账号（在 Zabbix 前端）或流程用户（对于 Zabbix server/proxy 或 agent）仅 具有执行预期功能所必需的权限。换句话说，用户账号应始终以尽可能小的权限运行。 以尽可能小的权限运行。 59 Attention: 赋予 “zabbix” 用户提供额外权限将允许其访问配置文件，并执行可能损害基础架构整体安全性的操作。 最小权限原则，应考虑 Zabbix 前端用户类型。重要的是要理解，虽然 “管理员” 用户类型的权限低于 “超级管理员” 用户类型，但它具有 允许管理配置和执行自定义脚本的管理权限。 Note: 某些信息甚至适用于非特权用户。例如，虽然 Administration 中，并且可以作为单独的外部插件添加，从而使得创建额外的插件来收集新的监控指 标更加容易。 本页列出了 Zabbix 原生插件，并从用户角度描述了插件配置原则。有关编写自己的插件的说明，请参阅插件开发指南。 配置插件 本节提供常用的插件配置原则和最佳实践。 所有插件都使用 Plugins.* 参数配置，可以是 Zabbix agent 2 配置文件的一部分或插件自己的配置文件。如果插件使用单独的配置文件，

能会危及安装的安全性。 Zabbix 安全公告和 CVE 数据库 请参阅 Zabbix 安全公告和 CVE 数据库。 1. 访问控制 概述 本节包含以安全方式设置访问控制的最佳实践。 最小特权原则 用户帐户应始终以尽可能少的权限运行。这意味着 Zabbix 前端的用户帐户、数据库用户或 Zabbix 服务器/代理/代理进程的用户应仅具有 执行预期功能所必需的权限。 Attention: 赋予 “zabbix” 用户。此用 户是数据库所有者，在升级 Zabbix 时还具有修改数据库结构所需的权限。 55 为了提高安全性，建议创建具有最小权限的其他数据库角色和用户。这些角色和用户应根据最小权限原则 进行配置，即他们应仅具有执行 预期功能所必需的权限。 创建用户角色 创建以下具有相应权限的角色： • zbx_srv - 运行 Zabbix 服务器和代理的角色： CREATE ROLE 'zbx_srv'; 用户，此用户是 数据库所有者，在升级 Zabbix 时还具有修改数据库结构所需的权限。为了提高安全性，建议配置安全的架构使用模式，并创建具有最小 权限的数据库其他角色和用户。这些角色和用户应根据最小权限原则进行配置，即他们只应具有执行预期功能所必需的权限。 数据库设置 创建将成为数据库所有者的用户，并创建 Zabbix 数据库；数据库所有者是在创建数据库时指定的用户： createuser -U

seconds spent: 0.060904" } 427 5 Windows 代理监控项的最小权限级别 总览 当使用代理监控系统时，一种最佳实践是从安装代理的主机上获取指标。要使用最小特权原则，那么必须确定从代理获得了哪些指标。 本文档中的表格允许您选择最小权限，以确保 Zabbix agent 正确运行。 如果选择了其他用户才能使代理工作，而不是选择 “ LocalSystem”，则要使代理作为 vfs.fs.get, vfs.fs.inode, vfs.fs.size, vm.memory.size agent 支 持 的 参 数keys相 同。 配置插件 本节介绍了常见的配置原则和最佳实践。 有关插件配置的具体示例，请参见： • Ceph • Memcached • MySQL • Oracle • PostgreSQL • Redis 所有插件都是使用 Zabbix