Documentation

Это перевод страницы документации с английского языка. Помогите нам сделать его лучше.
1 Часто задаваемые вопросы / Решение проблем
1 Создание базы данных
2 Восстановление набора символов и сопоставления базы данных Zabbix
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
4 Настройка TimescaleDB setup
5 Установка Elasticsearch
6 Экспорт событий, значений и динамики изменений в режиме реального времени
7 Примечания по настройке Nginx для Zabbix на SLES дистрибутивах
8 Запуск агента из под root
9 Zabbix агент на Microsoft Windows
10 Настройка SAML с Okta
11 Additional frontend languages
1 Zabbix сервер
2 Zabbix прокси
3 Zabbix агент (UNIX)
4 Zabbix агент 2 (UNIX)
5 Zabbix агент (Windows)
6 Zabbix агент 2 (Windows)
7 Zabbix Java gateway
8 Специальные заметки о параметре "Include"
1 Протокол обмена данными сервер-прокси
2 Протокол Zabbix агента
3 Zabbix agent 2 protocol
3 Протокол Zabbix sender
4 Zabbix agent 2 plugin protocol
4 Длина заголовка и данных
5 Протокол экспорта в режиме реального времени
1 Поддерживаемые элементы данных по платформам
2 Параметры vm.memory.size
3 Пассивные и активные проверки агента
4 Траппер элементы данных
5 Минимальный уровень прав для элементов данных Windows агента
6 Кодировка получаемых значений
7 Поддержка больших файлов
8 Сенсор
9 Заметки о параметре типпамяти в элементах данных proc.mem
10 Заметки по выбору процессов в элементах данных proc.mem и proc.num
11 Детали реализации net.tcp.service и net.udp.service проверок
12 Настройки недостижимости/недоступности хостов
13 Удаленный мониторинг статистики Zabbix
14 Настройка Kerberos с Zabbix
1 Поддерживаемые функции триггеров
1 Макросы поддерживаемые по назначению
2 Пользовательские макросы поддерживаемые по назначению
8 Символы единиц измерения
9 Настройка периодов времени
10 Выполнение команд
13 Совместимость версий
14 Python library for Zabbix API
14 Обработка ошибок базы данных
15 Динамическая библиотека Zabbix для Windows
16 Проблемы с SELinux
17 Остальные проблемы
18 Отличия между Zabbix агентом и Zabbix агентом 2
1 Структура руководства
2 Что такое Zabbix
3 Возможности Zabbix
4 Обзор Zabbix
5 Что нового в Zabbix 5.0.0
6 Что нового в Zabbix 5.0.1
7 Что нового в Zabbix 5.0.2
8 Что нового в Zabbix 5.0.3
9 Что нового в Zabbix 5.0.4
10 What's new in Zabbix 5.0.5
11 What's new in Zabbix 5.0.6
12 What's new in Zabbix 5.0.7
13 What's new in Zabbix 5.0.8
14 What's new in Zabbix 5.0.9
15 What's new in Zabbix 5.0.10
15 What's new in Zabbix 5.0.11
16 What's new in Zabbix 5.0.12
17 What's new in Zabbix 5.0.13
18 What's new in Zabbix 5.0.14
19 What's new in Zabbix 5.0.15
20 What's new in Zabbix 5.0.16
21 What's new in Zabbix 5.0.17
22 What's new in Zabbix 5.0.18
23 What's new in Zabbix 5.0.19
24 What's new in Zabbix 5.0.20
25 What's new in Zabbix 5.0.21
26 What's new in Zabbix 5.0.22
27 What's new in Zabbix 5.0.23
28 What's new in Zabbix 5.0.24
29 What's new in Zabbix 5.0.25
30 What's new in Zabbix 5.0.26
31 What's new in Zabbix 5.0.27
32 What's new in Zabbix 5.0.28
33 What's new in Zabbix 5.0.29
34 What's new in Zabbix 5.0.30
35 What's new in Zabbix 5.0.31
36 What's new in Zabbix 5.0.32
37 What's new in Zabbix 5.0.33
38 What's new in Zabbix 5.0.34
39 What's new in Zabbix 5.0.35
40 What's new in Zabbix 5.0.36
41 What's new in Zabbix 5.0.37
42 What's new in Zabbix 5.0.38
43 What's new in Zabbix 5.0.39
44 What's new in Zabbix 5.0.40
45 What's new in Zabbix 5.0.41
46 What's new in Zabbix 5.0.42
47 What's new in Zabbix 5.0.43
48 What's new in Zabbix 5.0.44
49 What's new in Zabbix 5.0.45
2. Определения
1 Сервер
2 Агент
3 Агент 2
3 Прокси
1 Setup from sources
2 Setup from RHEL/CentOS packages
3 Setup from Debian/Ubuntu packages
5 Sender
6 Get
8 JS
1 Получение Zabbix
Наилучшие практики для безопасной установки Zabbix
Сборка Zabbix агент 2 на Windows
Сборка Zabbix агента на macOS
Сборка Zabbix агента на Windows
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
3 SUSE Linux Enterprise Server
4 Windows agent installation from MSI
5 Установка Mac OS агента с PKG
Installation with OpenShift
Updating to PHP 7.3 packages
2 Debian/Ubuntu frontend installation
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
Обновление из исходных кодов
1 Compilation issues
8 Изменения в шаблонах
9 Заметки по обновлению для 5.0.0
10 Заметки по обновлению для 5.0.1
11 Заметки по обновлению для 5.0.2
12 Заметки по обновлению для 5.0.3
14 Upgrade notes for 5.0.4
15 Upgrade notes for 5.0.5
16 Upgrade notes for 5.0.6
17 Upgrade notes for 5.0.7
18 Upgrade notes for 5.0.8
19 Upgrade notes for 5.0.9
20 Upgrade notes for 5.0.10
21 Upgrade notes for 5.0.11
22 Upgrade notes for 5.0.12
23 Upgrade notes for 5.0.13
24 Upgrade notes for 5.0.14
25 Upgrade notes for 5.0.15
26 Upgrade notes for 5.0.16
27 Upgrade notes for 5.0.17
28 Upgrade notes for 5.0.18
29 Upgrade notes for 5.0.19
30 Upgrade notes for 5.0.20
31 Upgrade notes for 5.0.21
32 Upgrade notes for 5.0.22
33 Upgrade notes for 5.0.23
34 Upgrade notes for 5.0.24
35 Upgrade notes for 5.0.25
36 Upgrade notes for 5.0.26
37 Upgrade notes for 5.0.27
38 Upgrade notes for 5.0.28
39 Upgrade notes for 5.0.29
40 Upgrade notes for 5.0.30
41 Upgrade notes for 5.0.31
42 Upgrade notes for 5.0.32
43 Upgrade notes for 5.0.33
44 Upgrade notes for 5.0.34
45 Upgrade notes for 5.0.35
46 Upgrade notes for 5.0.36
47 Upgrade notes for 5.0.37
48 Upgrade notes for 5.0.38
49 Upgrade notes for 5.0.39
50 Upgrade notes for 5.0.40
51 Upgrade notes for 5.0.41
52 Upgrade notes for 5.0.42
53 Upgrade notes for 5.0.43
54 Upgrade notes for 5.0.44
55 Upgrade notes for 5.0.45
1 Вход и настройка пользователя
2 Новый узел сети
3 Новый элемент данных
4 Новый триггер
5 Получение оповещения о проблеме
6 Новый шаблон
6. Готовое решение Zabbix
1 Настройка узла сети
2 Инвентарные данные
3 Массовое обновление
1 Формат ключа элемента данных
2 Пользовательские интервалы
1 Примеры использования
2 Детали предобработки значений элементов данных
Дополнительные Javascript объекты
Экранирование спецсимволов из значений LLD макросов в JSONPath
5 Предобработка CSV в JSON
Zabbix агент 2
Специфичные ключи элементов данных для Windows
1 Динамические индексы
2 Специальные OID'ы
3 MIB файлы
3 SNMP трапы
4 Проверки IPMI
1 Ключи элементов данных для мониторинга VMware
6 Мониторинг файлов журналов
7 Вычисляемые элементы данных
8 Внутренние проверки
9 Проверки через SSH
10 Проверки через Telnet
11 Внешние проверки
12 Агрегированные проверки
13 Траппер элементы данных
14 JMX мониторинг
1 Рекомендуемые настройки UnixODBC для MySQL
2 Рекомендуемые настройки UnixODBC для PostgreSQL
3 Рекомендуемые настройки UnixODBC для Oracle
4 Рекомендуемые настройки UnixODBC для MSSQL
16 Зависимые элементы данных
17 HTTP агент
18 Проверки Prometheus
4 История и динамика изменений
1 Расширение Zabbix агентов
6 Подгружаемые модули
7 Счетчики производительности Windows
8 Массовое обновление
9 Преобразование значений
10 Группы элементов данных
11 Очередь
12 Кэш значений
13 Выполнить сейчас
14 Плагины
15 Ограничение проверок агента
1 Настройка триггера
2 Выражение триггера
3 Зависимости триггеров
4 Важность триггеров
5 Пользовательские важности триггеров
6 Массовое обновление
7 Прогнозирующие функции триггеров
1 Генерация событий на триггеры
2 Другие источники событий
3 Закрытие проблем вручную
Теги события
2 Глобальная корреляция событий
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
4 Aggregation in graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
1 Screen elements
4 Slide shows
5 Host screens
6 Dashboard
1 Настройка шаблона
2 Присоединение/отсоединение
3 Наследование
4 Массовое обновление
1 Стандартизованные шаблоны для сетевых устройств
JMX template operation
Настройка шаблонов HTTP
Настройка шаблонов IPMI
Настройка шаблонов ODBC
Настройка шаблонов Zabbix агента 2
Настройка шаблонов для Zabbix агента
1 E-mail
2 SMS
3 Пользовательские скрипты оповещений
Webhook script examples
1 Условия
1 Отправка сообщений
2 Удаленные команды
3 Дополнительные операции
4 Использование макросов в сообщениях
3 Операции восстановления
4 Update operations
5 Эскалации
3 Получение оповещений о неподдерживаемых элементах данных
1 Функции макросов
2 User macros
3 Пользовательские макросы с контекстом
4 Макросы низкоуровневых обнаружений
1 Настройка пользователя
2 Права доступа
3 Группы пользователей
8. Мониторинг услуг
1 Элементы данных веб-мониторинга
2 Сценарий из реальной жизни
1 Поля ключей обнаружения виртуальных машин
11. Обслуживание
12. Регулярные выражения
13. Подтверждение проблем
1 Группы узлов сети
2 Шаблоны
3 Узлы сети
4 Карты сети
5 Комплексные экраны
6 Media types
1 Настройка правила сетевого обнаружения
2 Авторегистрация активных агентов
1 Обнаружение смонтированных файловых систем
2 Обнаружение сетевых интерфейсов
3 Обнаружение CPU и ядер CPU
4 Обнаружение SNMP OID'ов
5 Обнаружение JMX объектов
6 Обнаружение сенсоров IPMI
7 Обнаружение systemd сервисов
8 Обнаружение служб Windows
9 Обнаружение объектов счетчиков производительности Windows
10 Обнаружение с использованием WMI запросов
11 Обнаружение с использованием ODBC SQL запросов
12 Обнаружение с использованием данных Prometheus
13 Обнаружение блочных устройств
14 Обнаружение интерфейсов узлов сети в Zabbix
Заметки по низкоуровневому обнаружению
1 Прокси
1 Использование сертификатов
2 Использование pre-shared ключей
1 Проблемы с типом подключения или правами
2 Проблемы с сертификатами
3 Проблемы с PSK
1 Меню
1 Виджеты ПАНЕЛИ
2 Проблемы
1 Графики
2 Веб-сценарии
4 Обзор
5 Последние данные
6 Комплексные экраны
7 Карты сети
8 Обнаружение
9 Услуги
1 Обзор
2 Узлы сети
1 Информация о систсеме
2 Отчет о доступности
3 100 наиболее активных триггеров
4 Аудит
5 Журнал действий
6 Оповещения
1 Группы узлов сети
2 Шаблоны
1 Группы элементов данных
2 Элементы данных
3 Триггеры
4 Графики
5 Правила обнаружения
6 Веб-сценарии
4 Обслуживание
5 Действия
6 Корреляция событий
6 Обнаружение
7 Услуги
1 Общие
2 Прокси
3 Аутентификация
4 Группы пользователей
5 Пользователи
6 Способы оповещений
7 Скрипты
8 Очередь
1 Глобальные оповещения
2 Звук в браузерах
4 Глобальный поиск
5 Режим обслуживания веб-интерфейса
6 Параметры страниц
7 Определения
8 Создание своей темы
9 Режим отладки
10 Файлы сookie используемые Zabbix
> Audit log object
auditlog.get
> Autoregistration object
autoregistration.get
autoregistration.update
> Объект веб-сценария
httptest.create
httptest.delete
httptest.get
httptest.update
> Объект графика
graph.create
graph.delete
graph.get
graph.update
> Объект группы пользователей
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Объект группы узлов сети
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Объект группы элементов данных
application.create
application.delete
application.get
application.massadd
application.update
> Объект действия
action.create
action.delete
action.get
action.update
> Объект динамики изменений
trend.get
> Task object
task.create
task.get
> Объект изображения
image.create
image.delete
image.get
image.update
> Объект интерфейса узла сети
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
apiinfo.version
> Объект истории
history.get
> Объект карты сети
map.create
map.delete
map.get
map.update
> Объект комплексного экрана
screen.create
screen.delete
screen.get
screen.update
> Объект комплексного экрана шаблона
templatescreen.copy
templatescreen.create
templatescreen.delete
templatescreen.get
templatescreen.update
configuration.export
configuration.import
> Объект корреляции
correlation.create
correlation.delete
correlation.get
correlation.update
> Объект обнаруженного сервиса
dservice.get
> Объект обнаруженного узла сети
dhost.get
> Объект обслуживания
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Объект оповещения
alert.get
> Объект панели
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Объект пользователя
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.update
> Объект пользовательского макроса
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Объект правила LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Объект правила обнаружения
drule.create
drule.delete
drule.get
drule.update
> Объект преобразования значений
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Объект проблемы
problem.get
> Объект проверки обнаружения
dcheck.get
> Объект прокси
proxy.create
proxy.delete
proxy.get
proxy.update
> Объект прототипов графиков
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Объект прототипа триггеров
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Объект прототипа узлов сети
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Объект прототипа элементов данных
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Объект скрипта
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Объект события
event.acknowledge
event.get
> Объект соответствия иконок
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Объект способа оповещения
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Объект триггера
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Объект узла сети
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Объект услуги
service.adddependencies
service.addtimes
service.create
service.delete
service.deletedependencies
service.deletetimes
service.get
service.getsla
service.update
> Объект шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Объект элемента графика
graphitem.get
> Объект элемента данных
item.create
item.delete
item.get
item.update
> Объект элемента комплексного экрана
screenitem.create
screenitem.delete
screenitem.get
screenitem.update
screenitem.updatebyposition
> Объект элемента комплексного экрана шаблона
templatescreenitem.get
Appendix 2. Changes from 4.4 to 5.0
Zabbix API changes in 5.0
Приложение 1. Справочные комментарии
20. Модули
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server

17. Шифрование

Обзор

Zabbix поддерживает шифрование соединений между Zabbix сервером, Zabbix прокси, Zabbix агентом, zabbix_sender и zabbix_get утилитами с использованием Transport Layer Security (TLS) протокола v.1.2. Шифрование поддерживается начиная с Zabbix 3.0. Поддерживаются шифрования на основе сертификата и на основе pre-shared ключа.

Шифрование опционально и настраивается для отдельных компонентов (например, некоторые прокси и агенты можно настроить на использование шифрования с сервером на основе сертификатов, в то время как другие могут использовать шифрование на основе pre-shared ключа, а остальные могут продолжать использовать незашифрованные соединения как и ранее).

Сервер (прокси) может использовать различные настройки с разными узлами сети.

Программы Zabbix демонов слушают один порт для шифрованных и незашифрованных входящих подключений. Добавление шифрования не потребует открывать новые порты на брандмауэрах.

Ограничения

  • Приватные ключи хранятся в формате обычного текста в файлах, которые Zabbix компоненты считывают в процессе запуска.
  • Введенные pre-shared ключи в веб-интерфейсе Zabbix хранятся в базе данных Zabbix в виде обычного текста.
  • Встроенное шифрование не защищает коммуникации:
   * между веб-сервером с веб-интерфейсом Zabbix и веб-браузером на строне пользователя,
          * между Zabbix веб-интерфейсом и Zabbix сервером,
          * между Zabbix сервером (прокси) и базой данных Zabbix.
       * В настоящее время каждое незашифрованное соединение открывается с полными TLS переговорами, кэширование сессий и билеты не реализованы.
       * Добавление шифрования увеличивает время проверок и действий, в зависимости от сетевых задержек.\\ Например, если пакет опаздывает на 100мс, тогда открытие TCP соединение и отправка незашифрованного запроса займет около 200мс.\\ При наличии шифрования на установку TLS соединения добавится около 1000 мс.\\ Возможно потребуется увеличить время ожидания, в противном случае некоторые элементы данных и действия, выполняющие удаленные скрипты на агентах смогут работать с незашифрованными соединениями,\\ но не смогут при шифрованном соединении (будет превышено время ожидания).

Компиляция Zabbix с поддержкой шифрования

Для поддержки шифрования Zabbix должен быть скомпилировать и связан с по крайней мере одной крипто библиотекой:

  • mbed TLS (ранее PolarSSL)(версия 1.3.9 или более новые 1.3.x). mbed TLS 2.x в настоящее время не поддерживается, это не простая замена ветки 1.3, Zabbix не скомпилируется с mbed TLS 2.x.
  • GnuTLS (с версии 3.1.18)
  • OpenSSL (с версии 1.0.1)

Библиотека выбирается при помощи опции в скрипте "configure":

  • --with-mbedtls[=DIR]
  • --with-gnutls[=DIR]
  • --with-openssl[=DIR]

Например, чтобы сконфигурировать исходные коды сервера и агента с OpenSSL, вы можете использовать что-то вроде:
./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Можно скомпилировать разные компоненты Zabbix с различными крипто библиотеками (например, сервер с OpenSSL, агент с GnuTLS).

Если вы планируете использовать pre-shared ключи (PSK) рассмотрите возможность использования библиотек GnuTLS или mbed TLS с компонентами Zabbix, использующих PSK. Библиотеки GnuTLS и mbed TLS поддерживают наборы шифров PSK с Совершенной прямой секретностью (Perfect forward secrecy). OpenSSL библиотека (версии 1.0.1, 1.0.2c) поддерживает PSK, но доступные наборы шифров PSK не обеспечивают Совершенную прямую секретность.

Управление зашированными соединениями

Соединения в Zabbix могут использовать:

Имеется два важных параметра, которые используются, чтобы указать шифрование между компонентами Zabbix:

  • TLSConnect
  • TLSAccept

TLSConnect задает какое использовать шифрование и может принимать одно из 3 значений (unencrypted, PSK, certificate). TLSConnect используется в файлах конфигурации Zabbix прокси (в активном режиме задает только подключения к серверу) и Zabbix agentd (при активных проверках). В веб-интерфейсе Zabbix параметр TLSConnect является эквивалентом поля Подключения к узлу сети с вкладки Настройка→Узлы сети→<какой-то узел сети>→Шифрование и поля Подключения к прокси с вкладки Администрирование→Прокси→<какой-то прокси>→Шифрование. Если настроенный тип шифрования для соединения завершится неудачей, другие типы шифрования не будут опробованы.

TLSAccept задает какой тип соединений разрешен при входящих подключениях. Тип подключений: unencrypted, PSK, certificate. Можно указать одно или более значений. TLSAccept используется в файлах конфигурации Zabbix прокси (в пассивном режиме задает только соединения с сервера) и Zabbix agentd (при пассивных проверках). В веб-интерфейсе Zabbix параметр TLSAccept является эквивалентом поля Соединения с узла сети с вкладки Настройка→Узлы сети→<какой-то узел сети>→Шифрование и поля "Соединения с прокси" с вкладки Администрирование→Прокси→<какой-то прокси>→Шифрование.

Как правило, вы настраиваете только один тип шифрования для входящих подключений. Но вы можете захотите переключить режим шифрования, например с незашированного на основанный на сертификатах с минимальным временем простоя и с возможностью отката. Для этого вы можете задать TLSAccept=unencrypted,cert в файле конфигурации agentd и перезапустить агента Zabbix.
Затем вы можете протестировать подключение от zabbix_get к агенту, используя сертификат. Если подключение работает, вы можете перенастроить шифрование у этого агента в Zabbix веб-интерфейсе на вкладке Настройка→Узлы сети→<какой-то узел сети>→Шифрование, переключив настройку Подключения к узлу сети на "Сертификат".
Когда кэш конфигурации сервера обновится (и конфигурация прокси обновится, если узел сети наблюдается через прокси), тогда подключения к этому агенту будут зашифрованы.
Если всё работает как ожидается, вы можете задать TLSAccept=cert в файле конфигурации агента и перезапустить Zabbix агента.
Теперь агент будет принимать только зашифрованные подключения на основе сертификатов. Незашифрованные и основанные на PSK подключения будут отклонены.

Шифрование на сервере и прокси работает аналогичным образом. Если в веб-интерфейсе Zabbix в настройке узла сети Соединения с узла сети задано равным "Сертификат", тогда от агента (активные проверки) и zabbix_sender (траппер элементы данных) будут приниматься только зашифрованные соединения на основе сертификатов.

Скорее всего вы настроите входящие и исходящие соединения на использование одного типа шифрования или без шифрования вовсе. Но, технически, имеется возможность настроить шифрование асимметрично, например, шифрование на основе сертификатов для входящих подключений и на основе PSK для исходящих подключений.

Обзорные настройки шифрования отображаются в веб-интерфейсе Zabbix Настройка→Узлы сети по каждому узлу сети по правой стороне, в колонке ШИФРОВАНИЕ АГЕНТА. Примеры отображения настроек:

Пример Подключения К узлу сети Разрешенные подключения ОТ узла сети Отклоненные подключения С узла сети
none.png Незашифровано Незашифровано Зашифровано на основе сертификата и PSK
cert.png Зашифровано, на основе сертификата Зашифровано, на основе сертификата Незашифровано и на основе PSK
psk_psk.png Зашифровано на основе PSK Зашифровано на основе PSK Незашифровано и на основе сертификата
psk_none_psk.png Зашифровано на основе PSK Незашифровано и зашифровано на основе PSK На основе сертификата
all.png Зашифровано на основе сертификата Незашифровано на основе PSK или зашифровано на основе сертификата -

По умолчанию используются незашифрованные подключения. Шифрование необходимо настраивать по каждому узлу сети и прокси отдельно.

zabbix_get и zabbix_sender с шифрованием

Смотрите страницы помощи zabbix_get и zabbix_sender по использованию этих утилит при наличии шифрования.

Алгоритмы шифрования

Алгоритмы конфигурируются внутри в процессе запуска Zabbix и зависят от крипто библиотеки, в настоящее время алгоритмы нельзя настраивать пользователями.

Настроенные алгоритмы шифрования по типу библитеки с более высокого уровня к низкому уровню:

Библиотека Алгоритмы шифрования сертификатов Алгоритмы шифрования PSK
mbed TLS (PolarSSL) 1.3.9 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-RSA-WITH-AES-128-GCM-SHA256
TLS-RSA-WITH-AES-128-CBC-SHA256
TLS-RSA-WITH-AES-128-CBC-SHA		 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256
TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA
TLS-PSK-WITH-AES-128-GCM-SHA256
TLS-PSK-WITH-AES-128-CBC-SHA256
TLS-PSK-WITH-AES-128-CBC-SHA
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Алгоритмы шифрования при использовании сертификатов:

TLS сервер
TLS клиент mbed TLS (PolarSSL) GnuTLS OpenSSL 1.0.2
mbed TLS (PolarSSL) TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
GnuTLS TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
OpenSSL 1.0.2 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256

Алгоритмы шифрования при использовании PSK:

TLS сервер
TLS клиент mbed TLS (PolarSSL) GnuTLS OpenSSL 1.0.2
mbed TLS (PolarSSL) TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-PSK-WITH-AES-128-CBC-SHA
GnuTLS TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-PSK-WITH-AES-128-CBC-SHA
OpenSSL 1.0.2 TLS-PSK-WITH-AES-128-CBC-SHA TLS-PSK-WITH-AES-128-CBC-SHA TLS-PSK-WITH-AES-128-CBC-SHA

User-configured ciphersuites

The built-in ciphersuite selection criteria can be overridden with user-configured ciphersuites.

User-configured ciphersuites is a feature intended for advanced users who understand TLS ciphersuites, their security and consequences of mistakes, and who are comfortable with TLS troubleshooting.

The built-in ciphersuite selection criteria can be overridden using the following parameters:

Override scope Parameter Value Description
Ciphersuite selection for certificates TLSCipherCert13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Certificate-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherCert Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Certificate-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Ciphersuite selection for PSK TLSCipherPSK13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). PSK-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherPSK Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. PSK-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Combined ciphersuite list for certificate and PSK TLSCipherAll13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherAll Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

To override the ciphersuite selection in zabbix_get and zabbix_sender utilities - use the command-line parameters:

  • --tls-cipher13
  • --tls-cipher

The new parameters are optional. If a parameter is not specified, the internal default value is used. If a parameter is defined it cannot be empty.

If the setting of a TLSCipher* value in the crypto library fails then the server, proxy or agent will not start and an error is logged.

It is important to understand when each parameter is applicable.

Outgoing connections

The simplest case is outgoing connections:

  • For outgoing connections with certificate - use TLSCipherCert13 or TLSCipherCert
  • For outgoing connections with PSK - use TLSCipherPSK13 and TLSCipherPSK
  • In case of zabbix_get and zabbix_sender utilities the command-line parameters --tls-cipher13 and --tls-cipher can be used (encryption is unambiguously specified with a --tls-connect parameter)
Incoming connections

It is a bit more complicated with incoming connections because rules are specific for components and configuration.

For Zabbix agent:

Agent connection setup Cipher configuration
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

For Zabbix server and ** proxy**:

Connection setup Cipher configuration
Outgoing connections using PSK TLSCipherPSK, TLSCipherPSK13
Incoming connections using certificates TLSCipherAll, TLSCipherAll13
Incoming connections using PSK if server has no certificate TLSCipherPSK, TLSCipherPSK13
Incoming connections using PSK if server has certificate TLSCipherAll, TLSCipherAll13

Some pattern can be seen in the two tables above:

  • TLSCipherAll and TLSCipherAll13 can be specified only if a combined list of certificate- and PSK-based ciphersuites is used. There are two cases when it takes place: server (proxy) with a configured certificate (PSK ciphersuites are always configured on server, proxy if crypto library supports PSK), agent configured to accept both certificate- and PSK-based incoming connections
  • in other cases TLSCipherCert* and/or TLSCipherPSK* are sufficient

The following tables show the TLSCipher* built-in default values. They could be a good starting point for your own custom values.

Parameter GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parameter OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Default values are different for older OpenSSL versions (1.0.1, 1.0.2, 1.1.0), for LibreSSL and if OpenSSL is compiled without PSK support.

** Examples of user-configured ciphersuites **

See below the following examples of user-configured ciphersuites:

Testing cipher strings and allowing only PFS ciphersuites

To see which ciphersuites have been selected you need to set 'DebugLevel=4' in the configuration file, or use the -vv option for zabbix_sender.

Some experimenting with TLSCipher* parameters might be necessary before you get the desired ciphersuites. It is inconvenient to restart Zabbix server, proxy or agent multiple times just to tweak TLSCipher* parameters. More convenient options are using zabbix_sender or the openssl command. Let's show both.

1. Using zabbix_sender.

Let's make a test configuration file, for example /home/zabbix/test.conf, with the syntax of a zabbix_agentd.conf file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

You need valid CA and agent certificates and PSK for this example. Adjust certificate and PSK file paths and names for your environment.

If you are not using certificates, but only PSK, you can make a simpler test file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

The selected ciphersuites can be seen by running zabbix_sender (example compiled with OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Here you see the ciphersuites selected by default. These default values are chosen to ensure interoperability with Zabbix agents running on systems with older OpenSSL versions (from 1.0.1).

With newer systems you can choose to tighten security by allowing only a few ciphersuites, e.g. only ciphersuites with PFS (Perfect Forward Secrecy). Let's try to allow only ciphersuites with PFS using TLSCipher* parameters.

The result will not be interoperable with systems using OpenSSL 1.0.1 and 1.0.2, if PSK is used. Certificate-based encryption should work.

Add two lines to the test.conf configuration file:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

and test again:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

The "certificate ciphersuites" and "PSK ciphersuites" lists have changed - they are shorter than before, only containing TLS 1.3 ciphersuites and TLS 1.2 ECDHE-* ciphersuites as expected.

2. TLSCipherAll and TLSCipherAll13 cannot be tested with zabbix_sender; they do not affect "certificate and PSK ciphersuites" value shown in the example above. To tweak TLSCipherAll and TLSCipherAll13 you need to experiment with the agent, proxy or server.

So, to allow only PFS ciphersuites you may need to add up to three parameters

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

to zabbix_agentd.conf, zabbix_proxy.conf and zabbix_server_conf if each of them has a configured certificate and agent has also PSK.

If your Zabbix environment uses only PSK-based encryption and no certificates, then only one:

  TLSCipherPSK=kECDHEPSK+AES128

Now that you understand how it works you can test the ciphersuite selection even outside of Zabbix, with the openssl command. Let's test all three TLSCipher* parameter values:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

You may prefer openssl ciphers with option -V for a more verbose output:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

Similarly, you can test the priority strings for GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Switching from AES128 to AES256

Zabbix uses AES128 as the built-in default for data. Let's assume you are using certificates and want to switch to AES256, on OpenSSL 1.1.1.

This can be achieved by adding the respective parameters in zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Although only certificate-related ciphersuites will be used, TLSCipherPSK* parameters are defined as well to avoid their default values which include less secure ciphers for wider interoperability. PSK ciphersuites cannot be completely disabled on server/proxy.

And in zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy