Documentation

This is the documentation page for an unsupported version of Zabbix.
Is this not what you were looking for? Switch to the current version or choose one from the drop-down menu.
1 Frequently asked questions / Troubleshooting
1 Création de la base de données
2 Zabbix agent on Microsoft Windows
3 Elasticsearch setup
4 Real-time export of events, values, trends
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent (Windows)
5 Zabbix Java gateway
6 Special notes on "Include" parameter
1 Server-proxy data exchange protocol
2 Zabbix agent protocol
3 Zabbix sender protocol
4 Header and data length
5 Real-time export protocol
1 Items supported by platform
2 vm.memory.size parameters
3 Passive and active agent checks
4 Trapper items
5 Encoding of returned values
6 Large file support
7 Sensor
8 Notes on memtype parameter in proc.mem items
9 Notes on selecting processes in proc.mem and proc.num items
10 Implementation details of net.tcp.service and net.udp.service checks
12 Unreachable/unavailable host settings
1 Supported trigger functions
1 Macros supported by location
2 User macros supported by location
8 Unit symbols
9 Setting time periods
10 Command execution
11 Recipes for monitoring
12 Performance tuning
13 Version compatibility
14 Database error handling
15 Zabbix sender dynamic link library for Windows
16 Issues with SELinux
1 Structure du manuel
2 Qu'est-ce que Zabbix ?
3 Fonctionnalités Zabbix
4 Aperçu de Zabbix
2. Définitions
1 Serveur
2 Agent
3 Proxy
4 Passerelle Java
5 Sender
6 Get
1 Obtenir Zabbix
Bonnes pratiques pour la configuration sécurisée de Zabbix
3 Installation depuis les sources
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
5 Installation depuis les containers
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
Mise à jour depuis les sources
7 Problèmes connus
8 Modifications des modèles
1 Identification et configuration des utilisateurs
2 Nouvel hôte
3 Nouvel élément
4 Nouveau déclencheur
5 Réception des notifications de problèmes
6 Nouveau modèle
6. Appliance Zabbix
1 Configuration d’un hôte
2 Inventaire
3 Mise à jour groupée
1 Format de clé d’élément
2 Custom intervals
Clés d'éléments spécifique à Windows
1 Index dynamiques
2 OID spéciaux
3 Traps SNMP
4 Vérifications IPMI
1 Clés d'élément de supervision VMware
6 Supervision des fichiers journaux
7 Eléments calculés
8 Internal checks
9 SSH checks
10 Telnet checks
11 External checks
12 Aggregate checks
13 Trapper items
14 JMX monitoring
1 Recommended UnixODBC settings for MySQL
2 Recommended UnixODBC settings for PostgreSQL
3 Recommended UnixODBC settings for Oracle
4 Recommended UnixODBC settings for MSSQL
16 Dependent items
17 HTTP agent
3 History and trends
1 Extending Zabbix agents
5 Loadable modules
6 Windows performance counters
7 Mass update
8 Value mapping
9 Applications
10 Queue
11 Value cache
12 Check now
1 Configuring a trigger
2 Trigger expression
3 Trigger dependencies
4 Trigger severity
5 Customising trigger severities
7 Mass update
8 Predictive trigger functions
1 Trigger event generation
2 Manual closing of problems
3 Other event sources
1 Trigger-based event correlation
2 Global event correlation
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
1 Screen elements
4 Slide shows
5 Host screens
1 Configuring a template
2 Linking/unlinking
3 Nesting
1 Standardized templates for network devices
1 E-mail
2 SMS
5 Custom alertscripts
1 Conditions
1 Sending message
2 Remote commands
3 Additional operations
4 Using macros in messages
3 Recovery operations
4 Acknowledgement operations
5 Escalations
3 Receiving notification on unsupported items
1 Macro functions
2 User macros
3 Low-level discovery macros
1 Configuring a user
2 Permissions
3 User groups
8. Supervision de service
1 Web monitoring items
2 Real life scenario
1 Virtual machine discovery key fields
11. Maintenance
12. Regular expressions
13. Event acknowledgement
1 Host groups
2 Templates
4 Network maps
5 Screens
1 Configuring a network discovery rule
2 Active agent auto-registration
1 Discovery of network interfaces
2 Discovery of CPUs and CPU cores
3 Discovery of SNMP OIDs
4 Discovery of JMX objects
5 Discovery using ODBC SQL queries
6 Discovery of Windows services
7 Discovery of host interfaces in Zabbix
Notes on low-level discovery
1 Proxys
1 Par certificat
2 Par clés pré-partagées (PSK)
1 Problèmes de type de connexion ou d'autorisation
2 Problèmes de certificat
3 Problèmes PSK
1 Dashboard widgets
2 Problems
3 Overview
4 Web
5 Latest data
6 Graphs
7 Screens
8 Maps
9 Discovery
10 Services
1 Overview
2 Hosts
1 System information
2 Availability report
3 Triggers top 100
4 Audit
5 Action log
6 Notifications
1 Host groups
2 Templates
1 Applications
2 Items
3 Triggers
4 Graphs
5 Discovery rules
6 Web scenarios
4 Maintenance
5 Actions
6 Event correlation
7 Discovery
8 IT services
1 General
2 Proxies
3 Authentication
4 User groups
5 Users
6 Media types
7 Scripts
8 Queue
1 Global notifications
2 Sound in browsers
3 Global search
4 Frontend maintenance mode
5 Page parameters
6 Definitions
7 Creating your own theme
8 Debug mode
> Action object
action.create
action.delete
action.get
action.update
> Objet Alerte
alert.get
apiinfo.version
> Objet Application
application.create
application.delete
application.get
application.massadd
application.update
configuration.export
configuration.import
> Objet Corrélation
correlation.create
correlation.delete
correlation.get
correlation.update
> Dashboard object
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Discovered host object
dhost.get
> Discovered service object
dservice.get
> Discovery check object
dcheck.get
> Discovery rule object
drule.create
drule.delete
drule.get
drule.update
> Event object
event.acknowledge
event.get
> Graph object
graph.create
graph.delete
graph.get
graph.update
> Graph item object
graphitem.get
> Graph prototype object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> History object
history.get
> Host object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Host group object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Host interface object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Icon map object
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Image object
image.create
image.delete
image.get
image.update
> Item object
item.create
item.delete
item.get
item.update
> Item prototype object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> LLD rule object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Maintenance object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Map object
map.create
map.delete
map.get
map.update
> Media type object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Problem object
problem.get
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Screen object
screen.create
screen.delete
screen.get
screen.update
> Screen item object
screenitem.create
screenitem.delete
screenitem.get
screenitem.update
screenitem.updatebyposition
> Script object
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Service object
service.adddependencies
service.addtimes
service.create
service.delete
service.deletedependencies
service.deletetimes
service.get
service.getsla
service.update
task.create
> Template object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template screen object
templatescreen.copy
templatescreen.create
templatescreen.delete
templatescreen.get
templatescreen.update
> Template screen item object
templatescreenitem.get
> Trend object
trend.get
> Trigger object
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Trigger prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> User object
user.create
user.delete
user.get
user.login
user.logout
user.update
> User group object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> User macro object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value map object
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Web scenario object
httptest.create
httptest.delete
httptest.get
httptest.update
Appendix 1. Commentaires de référence
zabbix_agentd
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server

17. Chiffrement

Vue d'ensemble

Zabbix prend en charge les communications chiffrées entre le serveur Zabbix, le proxy Zabbix, les agents Zabbix, les utilitaires zabbix_sender et zabbix_get utilisant le protocole TLS (Transport Layer Security) v.1.2. Le chiffrement est pris en charge à partir de Zabbix 3.0. Le chiffrement basé sur des certificats et sur des clés pré-partagées est pris en charge.

Le chiffrement est facultatif et configurable pour chaque composant individuellement (par exemple, certains proxys et agents peuvent être configurés pour utiliser le chiffrement basé sur des certificats avec le serveur, tandis que d'autres peuvent utiliser le chiffrement par clé pré-partagée).

Le serveur (proxy) peut utiliser différentes configurations de chiffrement pour différents hôtes.

Les démons Zabbix utilisent un seul port d'écoute pour les connexions entrantes chiffrées et non chiffrées. L'ajout d'un chiffrement ne nécessite pas l'ouverture de nouveaux ports sur les pare-feux.

Limitations

  • Les clés privées sont stockées en texte brut dans des fichiers lisibles par les composants Zabbix lors du démarrage.
  • Les clés pré-partagées sont saisies dans l'interface Zabbix et stockées dans la base de données Zabbix en texte brut.
  • Le chiffrement intégré ne protège pas les communications:
   * entre le serveur Web exécutant l'interface Zabbix et le navigateur Web de l'utilisateur,
          * entre le serveur Web exécutant l'interface Zabbix et le serveur,
          * entre le serveur Zabbix (proxy) et la base de données Zabbix.
       * Actuellement, chaque connexion chiffrée s'ouvre par négociation TLS complète, aucune mise en cache de session et aucun ticket ne sont implémentés.
       * L'ajout du chiffrement augmente la durée des contrôles et des actions, en fonction de la latence du réseau. Par exemple, si le délai de transmission est de 100 ms, l'ouverture d'une connexion TCP et l'envoi d'une requête non chiffrée prennent environ 200 ms.\\ Avec le chiffrement, 1000ms environ sont ajoutés pour établir une connexion TLS.\\ Il peut être nécessaire d'augmenter les délais d'attente. A défaut, certains éléments et actions exécutant des scripts distants sur des agents fonctionneront en connexion non chiffrée, après échec dû à l'expiration du chiffrement.
       * Le chiffrement n'est pas pris en charge pour la [[fr:manual/discovery/network_discovery|découverte réseau]]. Les vérifications des agents Zabbix effectuées par découverte réseau ne seront pas chiffrées et si l'agent Zabbix est configuré pour rejeter les connexions non chiffrées, ces vérifications échoueront.

Compiler Zabbix avec le support du chiffrement

Pour prendre en charge le chiffrement, Zabbix doit être compilé et lié à l'une des trois bibliothèques cryptographiques suivantes:

  • mbed TLS (anciennement PolarSSL)(version 1.3.9 et 1.3.x supérieure). mbed TLS 2.x n'est pas actuellement pris en charge, ce n'est pas un remplacement immédiat pour la branche 1.3, Zabbix ne pourra pas être compilé avec mbed TLS 2.x.
  • GnuTLS (à partir de la version 3.1.18)
  • OpenSSL (à partir de la version 1.0.1)

La bibliothèque est sélectionnée en spécifiant une des options suivantes au script "configure":

  • --with-mbedtls[=DIR]
  • --with-gnutls[=DIR]
  • --with-openssl[=DIR]

Par exemple, pour configurer les sources pour le serveur et l'agent avec OpenSSL, vous pouvez utiliser le script "configure" comme suit:
./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Différents composants Zabbix peuvent être compilés avec différentes bibliothèques cryptographiques (par exemple, un serveur avec OpenSSL, un agent avec GnuTLS).

Si vous prévoyez d'utiliser des clés pré-partagées (PSK), envisagez d'utiliser les bibliothèques GnuTLS ou mbed TLS pour les composants Zabbix utilisant PSK. Les bibliothèques GnuTLS et mbed TLS prennent en charge les suites de chiffrement PSK avec Confidentialité persistante. La bibliothèque OpenSSL (versions 1.0.1 et 1.0.2c) prend en charge les PSK, mais les suites de chiffrement PSK disponibles ne fournissent pas confidentialité persistante.

Gestion du chiffrement de la connexion

Les connexions dans Zabbix peuvent utiliser:

Deux paramètres importants permettent de spécifier le chiffrement des connexions entre les composants Zabbix:

  • TLSConnect
  • TLSAccept

TLSConnect spécifie le chiffrement à utiliser pour les connexions sortantes et peut prendre une des trois valeurs (unencrypted, PSK, certificate). TLSConnect est utilisé dans les fichiers de configuration pour le proxy Zabbix (en mode actif, spécifie uniquement les connexions au serveur) et l'agent Zabbix (pour les vérifications actives). Dans l'interface Zabbix, les équivalents de TLSConnect sont le champ Connexion à l'hôte de l'onglet Configuration→Hôtes→<un hôte>→Chiffrement et le champ Connexion au proxy de l'onglet Administration→Proxys→<un proxy>→Chiffrement. Si le type de chiffrement configuré pour la connexion échoue, aucun autre type de chiffrement ne sera essayé.

TLSAccept indique quels types de connexions sont autorisés pour les connexions entrantes. Les types de connexion sont les suivants: unencrypted, PSK, certificate. Une ou plusieurs valeurs peuvent être spécifiées. TLSAccept est utilisé dans les fichiers de configuration du proxy Zabbix (en mode passif, spécifie uniquement les connexions du serveur) et du démon agentd Zabbix (pour les vérifications passives). Dans l'interface Zabbix, les équivalents de TLSAccept sont le champ Connexion de l'hôte de l'onglet Configuration→Hôtes→<un hôte>→Chiffrement et le champ Connexions du proxy de l'onglet Administration→Proxys→<un proxy>→Chiffrement.

Normalement, vous ne configurez qu'un seul type de chiffrement pour les chiffrements entrants. Mais vous pourriez vouloir changer de type de chiffrement, par exemple du non chiffré au certificat avec un temps d'arrêt minimum et une possibilité de retour en arrière.
Pour y parvenir, vous pouvez définir TLSAccept=unencrypted,cert dans le fichier de configuration du démon agentd, puis redémarrer l'agent Zabbix.
Ensuite, vous pourrez tester la connexion avec la commande zabbix_get à destination de l'agent utilisant un certificat. Si cela fonctionne, vous pourrez reconfigurer le chiffrement pour cet agent dans l'onglet Configuration→Hôtes→<un hôte>→Chiffrement de l'interface Zabbix en définissant Connexion à l'hôte à "Certificat".
Lorsque le cache de configuration du serveur est mis à jour (et la configuration du proxy est mise à jour si l'hôte supervisé par proxy) les connexions à cet agent seront alors chiffrées.
Si tout fonctionne comme prévu, vous pourrez définir TLSAccept=cert dans le fichier de configuration de l'agent et redémarrer l'agent Zabbix.
Dés lors, l'agent n'acceptera que les connexions chiffrées basées sur des certificats. Les connexions non chiffrées et basées sur PSK seront rejetées.

Tout cela fonctionne de la même manière sur le serveur et le proxy. Si dans le champ Connexion de l'hôte de l'onglet Configuration→Hôtes→<un hôte>→Chiffrement de l'interface Zabbix est défini à "Certificat", alors seules les connexions chiffrées basées sur des certificats seront acceptées depuis l'agent (surveillances actives) et du zabbix_sender (éléments trappeur).

Vous configurerez très probablement les connexions entrantes et sortantes pour utiliser le même type de chiffrement ou aucun chiffrement. Mais techniquement, il est possible de passer à une configuration asymétrique, par exemple un chiffrement par certificat pour les connexions entrantes et basées sur PSK pour les connexions sortantes.

Pour une vue d'ensemble, la configuration de chiffrement pour chaque hôte est affichée dans l'interface Zabbix Configuration→ Hôtes sur le côté droit, dans la colonne Chiffrement sur l'agent. Exemples d'affichage de configuration:

Exemple Connexions A l'hôte Connexions autorisées DE l'hôte Connexions rejetées DE l'hôte
none.png Non chiffrées Non chiffrées Chiffrées par certificat et PSK
cert.png Chiffrées par certificat Chiffrées par certificat Non chiffrées et chiffrées par PSK
psk_psk.png Chiffrées par PSK Chiffrées par PSK Non chiffrées et chiffrées par certificat
psk_none_psk.png Chiffrées par PSK Non chiffrées et chiffrées par PSK Chiffrées par certificat
all.png Chiffrées par certificat Non chiffrées, chiffrées par certificat et chiffrées par PSK -

Par défaut, les connexions sont non chiffrées. Le chiffrement doit être configuré pour chaque hôte et chaque proxy individuellement.

zabbix_get et zabbix_sender avec chiffrement

Voir les man-pages zabbix_get et zabbix_sender pour une utilisation par chiffrement.

Méthodes de chiffrement

Les méthodes de chiffrement sont configurés en interne lors du démarrage de Zabbix et dépendent de la bibliothèque cryptographique, actuellement ils ne sont pas configurables par l'utilisateur.

Configurations de chiffrements par type de bibliothèque, de la priorité la plus élevée à la plus basse:

Bibliothèque Méthodes de chiffrement par certificat Méthodes de chiffrement PSK
mbed TLS (PolarSSL) 1.3.9 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-RSA-WITH-AES-128-GCM-SHA256
TLS-RSA-WITH-AES-128-CBC-SHA256
TLS-RSA-WITH-AES-128-CBC-SHA		 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256
TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA
TLS-PSK-WITH-AES-128-GCM-SHA256
TLS-PSK-WITH-AES-128-CBC-SHA256
TLS-PSK-WITH-AES-128-CBC-SHA
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Méthodes de chiffrement utilisant des certificats:

Serveur TLS
Client TLS mbed TLS (PolarSSL) GnuTLS OpenSSL 1.0.2
mbed TLS (PolarSSL) TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
GnuTLS TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
OpenSSL 1.0.2 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256

Méthodes de chiffrement utilisant PSK:

Serveur TLS
Client TLS mbed TLS (PolarSSL) GnuTLS OpenSSL 1.0.2
mbed TLS (PolarSSL) TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-PSK-WITH-AES-128-CBC-SHA
GnuTLS TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-PSK-WITH-AES-128-CBC-SHA
OpenSSL 1.0.2 TLS-PSK-WITH-AES-128-CBC-SHA TLS-PSK-WITH-AES-128-CBC-SHA TLS-PSK-WITH-AES-128-CBC-SHA
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy