Documentation

1 Estructura manual
2 Qué es Zabbix
3 Características de Zabbix
4 Descripción general de Zabbix
5 Novedades de Zabbix 6.0.0
6 Novedades de Zabbix 6.0.1
7 Novedades de Zabbix 6.0.2
8 Novedades de Zabbix 6.0.3
9 Novedades de Zabbix 6.0.4
10 Novedades de Zabbix 6.0.5
11 Novedades de Zabbix 6.0.6
12 Novedades de Zabbix 6.0.7
13 Novedades de Zabbix 6.0.8
14 Novedades de Zabbix 6.0.9
15 Novedades de Zabbix 6.0.10
16 Novedades de Zabbix 6.0.11
17 Novedades de Zabbix 6.0.12
18 Novedades de Zabbix 6.0.13
19 Novedades de Zabbix 6.0.14
20 Novedades de Zabbix 6.0.15
21 Novedades de Zabbix 6.0.16
22 Novedades de Zabbix 6.0.17
23 Novedades de Zabbix 6.0.18
24 Novedades de Zabbix 6.0.19
25 Novedades de Zabbix 6.0.20
26 Novedades de Zabbix 6.0.21
27 Novedades de Zabbix 6.0.22
28 Novedades de Zabbix 6.0.23
29 Novedades de Zabbix 6.0.24
30 Novedades de Zabbix 6.0.25
31 Novedades de Zabbix 6.0.26
32 Novedades de Zabbix 6.0.27
33 Novedades de Zabbix 6.0.28
34 Novedades de Zabbix 6.0.29
35 Novedades de Zabbix 6.0.30
36 Novedades de Zabbix 6.0.31
37 Novedades de Zabbix 6.0.32
38 Novedades de Zabbix 6.0.33
39 Novedades de Zabbix 6.0.34
40 Novedades de Zabbix 6.0.35
41 Novedades de Zabbix 6.0.36
2 Definiciones
1 Clúster de alta disponibilidad
2 Agente
3 Agente 2
4 Proxy
1 Configuración desde fuentes
2 Configuración desde paquetes RHEL
3 Configuración desde paquetes Debian/Ubuntu
6 Remitente
7 Obtener
8 JS
9 Servicio web
1 Obtener Zabbix
1 Dependencias del complemento PostgreSQL
2 Dependencias del complemento MongoDB
2 Mejores prácticas para la configuración segura de Zabbix
1 Compilando el agente Zabbix en Windows
2 Compilando Zabbix agent 2 en Windows
3 Compilando el agente Zabbix en macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Servidor empresarial Linux
4 Instalación del agente Windows desde MSI
5 Instalación del agente de Mac OS desde PKG
6 Versiones inestables
5 Instalación desde contenedores
1 instalación de la interfaz en Debian/Ubuntu
1 Actualizar desde las fuentes
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
1 Problemas de compilación
9 Cambios en las plantillas
10 Notas de actualización para 6.0.0
11 Notas de actualización para 6.0.1
12 Notas de actualización para 6.0.2
13 Notas de actualización para 6.0.3
14 Notas de actualización para 6.0.4
15 Notas de actualización para 6.0.5
16 Notas de actualización para 6.0.6
17 Notas de actualización para 6.0.7
18 Notas de actualización para 6.0.8
19 Notas de actualización para 6.0.9
21 Notas de actualización para 6.0.11
22 Notas de actualización para 6.0.10
22 Notas de actualización para 6.0.12
23 Notas de actualización para 6.0.13
24 Notas de actualización para 6.0.14
25 Notas de actualización para 6.0.15
26 Notas de actualización para 6.0.16
27 Notas de actualización para 6.0.17
28 Notas de actualización para 6.0.18
29 Notas de actualización para 6.0.19
30 Notas de actualización para 6.0.20
31 Notas de actualización para 6.0.21
32 Notas de actualización para 6.0.22
33 Notas de actualización para 6.0.23
34 Notas de actualización para 6.0.24
35 Notas de actualización para 6.0.25
36 Notas de actualización para 6.0.26
37 Notas de actualización para 6.0.27
38 Notas de actualización para 6.0.28
39 Notas de actualización para 6.0.29
40 Notas de actualización para 6.0.30
41 Notas de actualización para 6.0.31
42 Notas de actualización para 6.0.32
43 Notas de actualización para 6.0.33
44 Notas de actualización para 6.0.34
45 Notas de actualización para 6.0.35
46 Upgrade notes for 6.0.36
1 Iniciar sesión y configurar usuario
2 Nuevo equipo
3 Nueva métrica
4 Nuevo iniciador
5 Recibir notificaciones de problemas
6 Nueva plantilla
6. Zabbix Appliance
1 Configuración de un equipo
2 Inventario
3 Actualización masiva
1 Formato de clave de métrica
2 Intervalos personalizados
1 Ejemplos de uso
2 Detalles de preprocesamiento
1 Escapar caracteres especiales de valores de macro LLD en JSONPath
1 Objetos JavaScript adicionales
5 Preprocesamiento de CSV a JSON
1 Claves de métrica específicas para el agente 2
2 Claves de métricas específicas de Windows
1 Índices dinámicos
2 OID especiales
3 Archivos MIB
3 Capturador SNMP
4 Comprobaciones de IPMI
1 Claves de métricas de monitoreo de VMware
6 Monitoreo de archivos de registro
1 Cálculos agregados
8 Comprobaciones internas
9 Comprobaciones SSH
10 Comprobaciones de Telnet
11 Comprobaciones externas
12 Métricas de captura
13 Monitoreando JMX
1 Configuración recomendada de UnixODBC para MySQL
2 Configuración recomendada de UnixODBC para PostgreSQL
3 Configuración recomendada de UnixODBC para Oracle
4 Configuración recomendada de UnixODBC para MSSQL
15 elementos dependientes
16 Agente HTTP
17 Revisiones Prometheus
18 Métricas scripts
4 Historial y tendencias
1 Ampliación de agentes de Zabbix
6 Módulos cargables
7 Contadores de rendimiento de Windows
8 Actualización masiva
9 Mapeo de valores
10 Cola
11 Caché de valores
12 Ejecutar ahora
13 Controles de agentes restrictivos
1 Creación de complementos cargables
1 Configurando un iniciador
2 Expresión de activación
3 Dependencias del iniciador
4 Gravedad del iniciador
5 Personalización de la gravedad de los iniciadores
6 Actualización masiva
7 Funciones predictivas de iniciador
1 Generación de eventos de iniciador
2 Otras fuentes de eventos
3 Cierre manual de problemas
1 Correlación de eventos basada en iniciadores
2 Correlación de eventos globales
6 Etiquetado
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad-hoc
4 Agregación en gráficas
1 Configurando un mapa de red
2 Elementos de grupo de equipos
3 Indicadores de enlace
3 Tableros
4 Tableros de equipo
1 Configurando una plantilla
2 Vincular/desvincular
3 Anidamiento
4 Actualización masiva
1 Funcionamiento de plantillas de agente Zabbix
2 Funcionamiento de plantillas del agente 2 de Zabbix
3 Funcionamiento de plantillas HTTP
4 Funcionamiento de plantillas IPMI
5 operación de plantilla JMX
6 Funcionamiento de plantillas ODBC
7 Plantillas estandarizadas para dispositivos de red
1 Correo electrónico
2 SMS
3 Scripts de alerta personalizados
1 Ejemplos de script de webhook
1 Condiciones
1 Enviando mensaje
2 Comandos remotos
3 Operaciones adicionales
4 Usar macros en los mensajes
3 Operaciones de recuperación
4 Operaciones de actualización
5 Escaladas
3 Recibir notificación sobre elementos no admitidos
1 Funciones macro
2 Macros de usuario
3 Macros de usuario con contexto
4 Macros de descubrimiento de bajo nivel
5 Macros de expresión
1 Configurar un usuario
2 Permisos
3 Grupos de usuarios
13 Almacenamiento de secretos
14 Informes programados
1 Árbol de servicios
2 Acciones de servicio
3 Acuerdo de Nivel de Servicio
4 Ejemplo de configuración
1 Métricas de monitoreo web
2 Escenario de la vida real
1 Campos clave para el descubrimiento de máquinas virtuales
11 Mantenimiento
12 Expresiones regulares
13. Reconocimiento del problema
1 Grupos de equipos
2 Plantillas
3 Equipos
4 Mapas de red
5 Tipos de medios
1 Configurar una regla de descubrimiento de red
2 Autorregistro de agente activo
1 Prototipos de artículos
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Notas sobre el descubrimiento de bajo nivel
1 Descubrimiento de sistemas de archivos montados
2 Descubrimiento de interfaces de red
3 Descubrimiento de CPU y núcleos de CPU
4 Descubrimiento de OID SNMP
5 Descubrimiento de objetos JMX
6 Descubrimiento de sensores IPMI
7 Descubrimiento de los servicios systemd
8 Descubrimiento de los servicios de Windows
9 Descubrimiento de instancias de contadores de rendimiento de Windows
10 Descubrimiento mediante consultas WMI
11 Descubrimiento mediante consultas SQL ODBC
12 Descubrimiento utilizando datos de Prometheus
13 Descubrimiento de dispositivos de bloque
14 Descubrimiento de interfaces de equipos en Zabbix
6 Reglas LLD personalizadas
1 Proxies
1 Usando certificados
2 Usando claves precompartidas
1 Problemas de tipo de conexión o permisos
2 Problemas con el certificado
3 Problemas de PSK
1 Menú
1 Registro de acciones
2 Reloj
3 Resumen de datos
4 Estado de descubrimiento
5 Gráficos favoritos
6 Mapas favoritos
7 Geomapa
8 Gráficos
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Disponibilidad del equipo
12 Valor de la métrica
13 Mapa
14 Árbol de navegación del mapa
15 Texto sin formato
16 Equipos con problemas
17 Problemas
18 Problemas por gravedad
19 Informe SLA
20 Información del sistema
21 Equipos principales
22 Vista general de iniciadores
23 URL
24 Monitoreo web
2 Problemas
1 Gráficos
2 Escenarios web
4 Últimos datos
5 Mapas
6 Descubrimiento
1 Servicios
2 Acciones de servicio
3 Acuerdo de Nivel de Servicio
4 Informe SLA
1 Información general
2 Equipos
1 Información del sistema
2 Informes programados
3 Informe de disponibilidad
4 Iniciadores top 100
5 Auditoría
6 Registro de acciones
7 Notificaciones
1 Grupos de equipos
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Escenarios web
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Escenarios web
4 Mantenimiento
5 Acciones
6 Correlación de eventos
7 Descubrimiento
1 General
2 Proxies
3 Autenticación
4 Grupos de usuarios
5 Roles de usuario
6 Usuarios
7 Tipos de medios
8 Scripts
9 Cola
1 Notificaciones globales
2 Sonido en navegadores
4 Búsqueda global
5 Modo de mantenimiento frontend
6 Parámetros de la página
7 Definiciones
8 Creando tu propio tema
9 Modo de depuración
10 Cookies utilizadas por Zabbix
11 Zonas horarias
12 Restablecer contraseña
> Objeto de acción
action.create
action.delete
action.get
action.update
> Objeto de configuración
settings.get
settings.update
> Objeto Alerta
alert.get
> Objeto de autenticación
authentication.get
authentication.update
configuration.export
configuration.import
configuration.importcompare
> Objeto de correlación
correlación.eliminar
correlation.create
correlation.get
correlation.update
> Objeto de escenario web
httptest.crear
httptest.eliminar
httptest.get
httptest.update
> Objeto de evento
event.acknowledge
event.get
> Objeto de expresión regular
regexp.create
regexp.delete
regexp.get
regexp.update
> Objeto de gráficas
graph.create
graph.delete
graph.get
graph.update
> Objeto de grupo de hosts
grupodehost.get
grupohost.massadd
hostgroup.create
hostgroup.delete
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Objeto de grupo de usuarios
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objeto de secuencia de comandos
script.actualizar
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
> Objeto de historial
history.clear
history.get
> Objeto de host
host.actualizar
host.create
host.eliminar
host.get
host.massadd
host.massremove
host.massupdate
> Objeto prototipo de host
hostprototype.delete
hostprototype.get
hostprototype.update
prototipodehost.crear
> Objeto de host reconocido
dhost.get
> Objeto Alerta
image.borrar
imagen.actualización
imagen.crear
imagen.obtener
apiinfo.version
> Objeto de informe
report.create
report.delete
report.get
report.update
> Objeto trigger
trigger.adddependencies
trigger.create
trigger.delete
trigger.eliminardependencias
trigger.get
trigger.update
> Objeto de interfaz de host
hostinterface.create
hostinterface.get
hostinterface.massadd
hostinterface.replacehostinterfaces
interfazdehost.deletar
interfazdehost.eliminarenmasa
interfazequipo.actualización
> Objeto de artículo
imagen.crear
item.actualización
item.eliminar
obtener.item
> Objeto de item gráfico
graphitem.get
> Objeto de limpieza
limpieza.actualización
limpieza.obtener
> Objeto de registro de auditoría
auditlog.get
> Objeto de macro de usuario
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objeto de mantenimiento
maintenance.create
maintenance.delete
maintenance.update
mantenimiento.obtener
> Objeto de mapa
map.create
map.delete
map.get
map.update
> Objeto de mapa de iconos
iconmap.delete
mapadeicono.crear
mapadeicono.obtener
mapadeiconos.actualización
> Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objeto de nodo de alta disponibilidad
hanode.get
> Objeto de template
template.crear
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Objeto de problema
problem.get
> Objeto prototipo de gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objeto prototipo de item
itemprototype.update
prototipodeitem.borrar
prototipodeitem.crear
prototipodeitem.obtener
> Objeto de prototipo de iniciador
prototipodetrigger.eliminar
triggerprototype.create
triggerprototype.get
triggerprototype.update
> Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objeto de autorregistro
autoregistration.get
autoregistration.update
> Objeto de regla de reconocimiento
drule.create
drule.delete
drule.get
drule.update
> objeto de regla LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objeto de rol
role.create
role.delete
role.get
role.update
> Objeto de servicio
service.create
service.delete
service.get
service.update
> Objeto de servicio reconocido
dservice.get
> Objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objeto del tablero
1 Action log
2 Reloj
3 Resumen de datos
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomapa
8 Gráficos
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Host availability
12 Valor de la métrica
13 Mapa
14 Árbol de navegación del mapa
15 Texto sin formato
16 Equipos con problemas
17 Problemas
18 Problemas por gravedad
19 Informe SLA
20 System information
21 Mejores anfitriones
22 Vista general de iniciadores
23 URL
24 Monitoreo web
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objeto de plantilla de tablero
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objeto de tarea
task.create
task.get
> Objeto de tendencia
trend.get
> Objeto de tipo de medio
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objeto token
token.create
token.delete
token.generate
token.get
token.update
> Objeto de usuario
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Objeto de verificación de descubrimiento
dcheck.get
Apéndice 1. Comentario de referencia
Apéndice 2. Cambios de 5.4 a 6.0
Cambios en la interfaz de programación de aplicaciones de Zabbix en 6.0
20 Módulos
1 Creación de base de datos
2 Reparar el juego de caracteres y collation de la base de datos Zabbix
3 Actualización de la base de datos a claves primarias
1 Configuración de cifrado en MySQL
2 Configuración de cifrado en PostgreSQL
5 Configuración de TimescaleDB
6 Configuración de Elasticsearch
7 Exportación en tiempo real de eventos, valores de métricas y tendencias
8 Notas específicas de la distribución sobre la configuración de Nginx para Zabbix
9 Ejecutar agente como root
10 Agente Zabbix en Microsoft Windows
11 Configuración de SAML con Okta
12 Configuración de la base de datos Oracle
13 Configurar informes programados
14 Idiomas de interfaz adicionales
1 Servidor Zabbix
2 Proxy de Zabbix
3 Agente Zabbix (UNIX)
4 Zabbix agente 2 (UNIX)
5 Agente Zabbix (Windows)
6 Agente Zabbix 2 (Windows)
1 Complemento de Ceph
2 Complemento Docker
3 Complemento Ember+
4 Complemento Memcached
5 Complemento Modbus
6 Complemento MongoDB
7 Complemento MQTT
8 Complemento MSSQL
9 Complemento MySQL
10 Complemento Oracle
11 Complemento PostgreSQL
12 Complemento Redis
13 Complemento Smart
8 Pasarela Zabbix Java
9 Servicio web Zabbix
10 Inclusión
1 Protocolo de intercambio de datos servidor-proxy
2 Protocolo del Zabbix agente
3 Protocolo del agente 2 de Zabbix
4 Protocolo del plugin Zabbix Agent 2
5 Protocolo de remitente Zabbix
6 Encabezado
7 Protocolo de exportación en tiempo real
1 Métricas soportadas por plataforma
2 Parámetros vm.memory.size
3 Comprobaciones pasivas y activas del agente
4 Métricas de captura
5 Nivel mínimo de permiso para métricas del agente de Windows
6 Codificación de valores devueltos
7 Compatibilidad con archivos grandes
8 Sensor
9 Notas sobre el parámetro memtype en las métricas proc.mem
10 Notas sobre la selección de procesos en las métricas proc.mem y proc.num
11 Detalles de implementación de las comprobaciones de net.tcp.service y net.udp.service
12 Configuración de interfaz de equipo inalcanzable/no disponible
13 Monitoreo remoto de las estadísticas de Zabbix
14 Configurando Kerberos con Zabbix
15 Parámetros modbus.get
16 Creación de nombres de contadores de rendimiento personalizados para VMware
1 Funciones Foreach
2 Funciones bit a bit
3 Funciones de fecha y hora
4 Funciones de historial
4 Funciones de predicción
5 Funciones de tendencia
6 Funciones matemáticas
7 Funciones de operador
9 Funciones de cadena
1 Macros compatibles
2 Macros de usuario soportadas por localización
7 Símbolos de unidad
8 Sintaxis de período de tiempo
9 Ejecución de comandos
10 Compatibilidad de versiones
11 Manejo de errores de base de datos
12 Biblioteca de enlaces dinámicos de remitente de Zabbix para Windows
13 Biblioteca Python para API Zabbix
14 Actualización del monitoreo de servicios
15 Otros problemas
16 Comparación entre agente y agente 2
17 Ejemplos de escape
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 Cifrado

Descripción general

Zabbix admite comunicaciones cifradas entre componentes de Zabbix mediante el protocolo Transport Layer Security (TLS) v.1.2 y 1.3 (según la biblioteca de cifrado). Se admite el cifrado basado en certificados y en claves precompartidas.

El cifrado se puede configurar para conexiones:

El cifrado es opcional y se puede configurar para componentes individuales:

  • Algunos servidores proxy y agentes se pueden configurar para utilizar cifrado basado en certificados con el servidor, mientras que otros pueden utilizar cifrado basado en claves precompartidas y otros continúan con comunicaciones no cifradas (como antes)
  • El servidor (proxy) puede utilizar diferentes configuraciones de cifrado para diferentes hosts

Los programas demonio Zabbix utilizan un puerto de escucha para conexiones entrantes cifradas y no cifradas. Agregar un cifrado no requiere abrir nuevos puertos en los firewalls.

Limitaciones

  • Las claves privadas se almacenan en texto sin formato en archivos legibles por los componentes de Zabbix durante el inicio

  • Las claves precompartidas se ingresan en la interfaz de Zabbix y se almacenan en la base de datos de Zabbix en texto sin formato

  • El cifrado integrado no protege las comunicaciones:

  • Entre el servidor web que ejecuta la interfaz de Zabbix y el navegador web del usuario

  • Entre la interfaz de Zabbix y el servidor Zabbix

  • Actualmente, cada conexión cifrada se abre con un protocolo de enlace TLS completo, no se implementan el almacenamiento en caché de sesiones ni los tickets

  • Agregar cifrado aumenta el tiempo para las verificaciones de elementos y las acciones, según la latencia de la red:

  • Por ejemplo, si el retraso del paquete es de 100 ms, entonces abrir una conexión TCP y enviar una solicitud no cifrada toma alrededor de 200 ms.

Con el cifrado, se agregan aproximadamente 1000 ms para establecer la conexión TLS;

  • Es posible que sea necesario aumentar los tiempos de espera; de lo contrario, algunos elementos y acciones que ejecutan scripts remotos en agentes pueden funcionar con conexiones no cifradas, pero fallar con tiempo de espera con conexiones cifradas.
  • El descubrimiento de red no admite el cifrado. Las comprobaciones del agente Zabbix realizadas por Network Discovery no estarán cifradas y, si el agente Zabbix está configurado para rechazar conexiones no cifradas, dichas comprobaciones no se realizarán correctamente.

Compilación de Zabbix con compatibilidad con cifrado

Para admitir cifrado, Zabbix debe compilarse y vincularse con una de las bibliotecas de cifrado admitidas:

  • GnuTLS: desde la versión 3.1.18
  • OpenSSL: versiones 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. Tenga en cuenta que la versión 3.0.x es compatible desde Zabbix 6.0.4.
  • LibreSSL: probado con las versiones 2.7.4, 2.8.2:
  • LibreSSL 2.6.x no es compatible
  • LibreSSL es compatible como reemplazo compatible de OpenSSL; las nuevas funciones API específicas de LibreSSL tls_*() no se utilizan. Los componentes de Zabbix compilados con LibreSSL no podrán utilizar PSK, solo se pueden utilizar certificados.

Puede obtener más información sobre cómo configurar SSL para la interfaz de Zabbix consultando estas mejores prácticas.

La biblioteca se selecciona especificando la opción respectiva en el script "configure":

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (también se usa para LibreSSL)

Por ejemplo, para configurar las fuentes para el servidor y el agente con OpenSSL puede usar algo como:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Se pueden compilar diferentes componentes de Zabbix con diferentes bibliotecas criptográficas (por ejemplo, un servidor con OpenSSL, un agente con GnuTLS).

Si planea utilizar claves precompartidas (PSK), considere utilizar bibliotecas GnuTLS u OpenSSL 1.1.0 (o más nuevas) en componentes Zabbix que utilicen PSK. Las bibliotecas GnuTLS y OpenSSL 1.1.0 soportan conjuntos de cifrados PSK con Perfect Forward Secrecy. Las versiones anteriores de la biblioteca OpenSSL (1.0.1, 1.0.2c) también admiten PSK, pero los conjuntos de cifrados PSK disponibles no proporcionan Perfect Forward Secrecy.

Gestión de cifrado de conexión

Las conexiones en Zabbix pueden utilizar:

Hay dos parámetros importantes que se utilizan para especificar el cifrado entre componentes de Zabbix:

  • TLSConnect: especifica qué cifrado utilizar para las conexiones salientes (sin cifrar, PSK o certificado)
  • TLSAccept: especifica qué tipos de conexiones están permitidas para las conexiones entrantes (sin cifrar, PSK o certificado). Se pueden especificar uno o más valores.

TLSConnect se utiliza en los archivos de configuración para el proxy de Zabbix (en modo activo, especifica solo conexiones al servidor) y el agente de Zabbix (para verificaciones activas). En la interfaz de Zabbix, el equivalente de TLSConnect es el campo Conexiones al host en la pestaña Configuración → Equipos → <algún equipo> → Cifrado y el campo Conexiones al proxy en la pestaña Administración → Proxies → <algún proxy> → Cifrado. Si el tipo de cifrado configurado para la conexión falla, no se probará ningún otro tipo de cifrado.

TLSAccept se utiliza en los archivos de configuración para el proxy de Zabbix (en modo pasivo, especifica solo conexiones desde el servidor) y el agente de Zabbix (para verificaciones pasivas). En la interfaz de Zabbix, el equivalente de TLSAccept es el campo Conexiones desde el host en la pestaña Configuración → Equipos → <algún equipo> → Cifrado y el campo Conexiones desde el proxy en la pestaña Administración → Proxies → <algún proxy> → Cifrado.

Normalmente, se configura solo un tipo de cifrado para los cifrados entrantes. Pero es posible que desee cambiar el tipo de cifrado, por ejemplo, de no cifrado a basado en certificado con un tiempo de inactividad mínimo y posibilidad de reversión. Para lograr esto:

  • Establezca TLSAccept=unencrypted,cert en el archivo de configuración del agente y reinicie el agente Zabbix
  • Pruebe la conexión con zabbix_get al agente usando el certificado. Si funciona, puede reconfigurar el cifrado para ese agente en la interfaz de Zabbix en la pestaña Configuración → Hosts → <algún host> → Cifrado configurando Conexiones al host en "Certificado".
  • Cuando se actualiza la caché de configuración del servidor (y la configuración del proxy se actualiza si el host es monitoreado por proxy), las conexiones a ese agente se cifrarán.
  • Si todo funciona como se espera, puede configurar TLSAccept=cert en el archivo de configuración del agente y reiniciar el agente Zabbix. Ahora el agente aceptará solo conexiones cifradas basadas en certificados. Las conexiones no cifradas y basadas en PSK serán rechazadas.

De manera similar, funciona en el servidor y el proxy. Si en la interfaz de Zabbix en la configuración del host Conexiones desde el host está configurado en "Certificado", solo se aceptarán conexiones cifradas basadas en certificados del agente (controles activos) y zabbix_sender (elementos de captura).

Lo más probable es que configure las conexiones entrantes y salientes para que utilicen el mismo tipo de cifrado o ningún cifrado en absoluto. Pero técnicamente es posible configurarlo asimétricamente, por ejemplo, cifrado basado en certificado para conexiones entrantes y basado en PSK para conexiones salientes.

La configuración de cifrado para cada equipo se muestra en la interfaz de Zabbix, en Configuración → Equipos en la columna Cifrado del agente. Por ejemplo:

Ejemplo Conexiones al host Conexiones permitidas desde el host Conexiones rechazadas desde el host
none_none.png Sin cifrar Sin cifrar Cifrado, cifrado basado en certificado y PSK
cert_cert.png Cifrado, basado en certificado Cifrado, basado en certificado Sin cifrar y cifrado basado en PSK
psk_psk.png Cifrado, basado en PSK Cifrado, basado en PSK Sin cifrar y cifrado basado en certificado
psk_none_psk.png Cifrado, basado en PSK Sin cifrar y cifrado basado en PSK Cifrado basado en certificado
cert_all.png Encriptado, basado en certificado Sin encriptar, PSK o cifrado basado en certificado -

Las conexiones no están encriptadas de manera predeterminada. El cifrado se debe configurar para cada equipo y proxy de manera individual.

zabbix_get y zabbix_sender con cifrado

Consulte las páginas de manual de zabbix_get y zabbix_sender para usarlos con cifrado.

Conjuntos de cifrado

Los Ciphersuites de forma predeterminada se configuran internamente durante el inicio de Zabbix y, antes de Zabbix 4.0.19, 4.4.7, no son configurables por el usuario.

Desde Zabbix 4.0.19, 4.4.7 también se incluyen conjuntos de cifrado configurados por el usuario compatibles con GnuTLS y OpenSSL. Los usuarios pueden configurar conjuntos de cifrado según sus políticas de seguridad. El uso de esta función es opcional (integrado los conjuntos de cifrado predeterminados todavía funcionan).

Para bibliotecas criptográficas compiladas con la configuración predeterminada Zabbix incorporada Las reglas generalmente dan como resultado los siguientes conjuntos de cifrado (en orden desde mayor a menor prioridad):

Biblioteca Suites de cifrado de certificados Suites de cifrado PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Conjuntos de cifrados configurados por el usuario

Los criterios de selección de conjuntos de cifrados integrados se pueden anular con conjuntos de cifrados configurados por el usuario.

Los conjuntos de cifrados configurados por el usuario son una función pensada para usuarios avanzados que comprenden los conjuntos de cifrados TLS, su seguridad y las consecuencias de los errores, y que están familiarizados con la resolución de problemas de TLS.

Los criterios de selección de conjuntos de cifrados integrados se pueden anular utilizando los siguientes parámetros:

Anular ámbito Parámetro Valor Descripción
Selección de conjuntos de cifrados para certificados TLSCipherCert13 OpenSSL 1.1.1 cadenas de cifrado válidos para el protocolo TLS 1.3 (sus valores se pasan a la función OpenSSL SSL_CTX_set_ciphersuites()). Criterios de selección de conjuntos de cifrados basados en certificados para TLS 1.3

Solo OpenSSL 1.1.1 o posterior.
TLSCipherCert OpenSSL cadenas de cifrado válidos para TLS 1.2 o GnuTLS cadenas de prioridad válidos. Sus valores se pasan a las funciones SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivamente. Criterios de selección de conjuntos de cifrados basados en certificados para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Selección de conjuntos de cifrados para PSK TLSCipherPSK13 OpenSSL 1.1.1 válido cadenas de cifrado para el protocolo TLS 1.3 (sus valores se pasan a la función OpenSSL SSL_CTX_set_ciphersuites()). Criterios de selección de conjuntos de cifrados basados en PSK para TLS 1.3

Solo OpenSSL 1.1.1 o posterior.
TLSCipherPSK Cadenas de cifrado OpenSSL válidas [(https://www.openssl.org/docs/man1.1.1/man1/ciphers.html) para TLS 1.2 o cadenas de prioridad GnuTLS válidas [(https://gnutls.org/manual/html_node/Priority-Strings.html). Sus valores se pasan a las funciones SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivamente. Criterios de selección de conjuntos de cifrados basados en PSK para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Lista de conjuntos de cifrados combinados para certificado y PSK TLSCipherAll13 Cadenas de cifrado OpenSSL 1.1.1 válidas para el protocolo TLS 1.3 (sus valores se pasan a la función OpenSSL SSL_CTX_set_ciphersuites()). Criterios de selección de conjuntos de cifrados para TLS 1.3

Solo OpenSSL 1.1.1 o posterior.
TLSCipherAll Cadenas de cifrado OpenSSL válidas para TLS 1.2 o cadenas de prioridad GnuTLS válidas para TLS 1.2. Sus valores se pasan a las funciones SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivamente. Criterios de selección de conjuntos de cifrados para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Para anular la selección de conjuntos de cifrados en las utilidades zabbix_get y zabbix_sender, utilice los parámetros de la línea de comandos:

  • --tls-cipher13
  • --tls-cipher

Los nuevos parámetros son opcionales. Si no se especifica un parámetro, se utiliza el valor predeterminado interno. Si se define un parámetro, no puede estar vacío.

Si falla la configuración de un valor TLSCipher* en la biblioteca criptográfica, el servidor, el proxy o el agente no se iniciarán y se registrará un error.

Es importante comprender cuándo se aplica cada parámetro.

Conexiones salientes

El caso más simple son las conexiones salientes:

  • Para conexiones salientes con certificado, utilice TLSCipherCert13 o TLSCifreCert
  • Para conexiones salientes con PSK - utilice TLSCipherPSK13 o TLSCifradoPSK
  • En el caso de las utilidades zabbix_get y zabbix_sender, se pueden utilizar en la línea de comandos los parámetros --tls-cipher13 o --tls-cipher (el cifrado se especifica inequívocamente con el parámetro --tls-connect)
Conexiones entrantes

Es un poco más complicado con las conexiones entrantes porque las reglas son específicas para los componentes y la configuración.

Para el agente de Zabbix:

Configuración de la conexión del agente Configuración del cifrado
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Para el servidor y el proxy de Zabbix:

Configuración de la conexión Configuración del cifrado
Conexiones salientes que utilizan PSK TLSCipherPSK, TLSCipherPSK13
Conexiones entrantes que utilizan certificados TLSCipherAll, TLSCipherAll13
Conexiones entrantes que utilizan PSK si el servidor no tiene certificado TLSCipherPSK, TLSCipherPSK13
Conexiones entrantes que utilizan PSK si el servidor tiene certificado TLSCipherAll, TLSCipherAll13

Se puede observar un patrón en las dos tablas anteriores:

  • TLSCipherAll y TLSCipherAll13 se pueden especificar solo si se utiliza una lista combinada de conjuntos de cifrados basados en certificados y PSK. Existen dos casos en los que esto ocurre: servidor (proxy) con un certificado configurado (los conjuntos de cifrados PSK siempre se configuran en el servidor, proxy si la biblioteca criptográfica admite PSK), agente configurado para aceptar conexiones entrantes basadas en certificados y PSK
  • en otros casos, TLSCipherCert* y/o TLSCipherPSK* son suficientes

Las siguientes tablas muestran los valores predeterminados integrados de TLSCipher*. Pueden ser un buen punto de partida para sus propios valores personalizados.

Parámetro GnuTLS 3.6.12
TLSCipherCert NINGUNO:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVA-TODAS:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NINGUNO:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVA-TODAS:+COMP-NULL:+SIGN-ALL
TLSCipherAll NINGUNO:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVA-TODO:+COMP-NULL:+SIGN-TODO:+CTYPE-X.509
Parámetro OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Los valores predeterminados son diferentes para versiones anteriores de OpenSSL (1.0.1, 1.0.2, 1.1.0), para LibreSSL y si OpenSSL se compila sin compatibilidad con PSK.

Ejemplos de conjuntos de cifrados configurados por el usuario

Vea a continuación los siguientes ejemplos de conjuntos de cifrados configurados por el usuario:

Prueba de cadenas de cifrado y autorización solo de conjuntos de cifrados PFS

Para ver qué conjuntos de cifrados se han seleccionado, debe establecer 'DebugLevel=4' en el archivo de configuración o utilizar la opción -vv para zabbix_sender.

Puede que sea necesario experimentar un poco con los parámetros TLSCipher* antes de obtener los conjuntos de cifrados deseados. Es inconveniente reiniciar el servidor, proxy o agente de Zabbix varias veces solo para modificar los parámetros TLSCipher*. Hay opciones más convenientes que son usar zabbix_sender o el comando openssl. Vamos a mostrar ambos.

1. Uso de zabbix_sender.

Creemos un archivo de configuración de prueba, por ejemplo, /home/zabbix/test.conf, con la sintaxis de un archivo zabbix_agentd.conf:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Necesita certificados de agente y CA válidos y PSK para este ejemplo. Ajuste las rutas y los nombres de los archivos de certificado y PSK para su entorno.

Si no está utilizando certificados, sino solo PSK, puede crear un archivo de prueba más simple:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

Los conjuntos de cifrados seleccionados se pueden ver ejecutando zabbix_sender (ejemplo compilado con OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Aquí puede ver los conjuntos de cifrado seleccionados de forma predeterminada. Estos valores predeterminados se eligen para garantizar la interoperabilidad con agentes Zabbix que se ejecutan en sistemas con versiones anteriores de OpenSSL (a partir de 1.0.1).

Con sistemas más nuevos, puede optar por reforzar la seguridad al permitir solo unos pocos conjuntos de cifrados, por ejemplo, solo conjuntos de cifrados con PFS (Perfect Forward Secrecy). Intentemos permitir solo conjuntos de cifrados con PFS utilizando los parámetros TLSCipher*.

El resultado no será interoperable con sistemas que utilicen OpenSSL 1.0.1 y 1.0.2, si se utiliza PSK. El cifrado basado en certificados debería funcionar.

Agregue dos líneas al archivo de configuración test.conf:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

y vuelva a realizar la prueba:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Las listas de "conjuntos de cifrados de certificados" y "conjuntos de cifrados PSK" han cambiado: son más cortas que antes y solo contienen conjuntos de cifrados TLS 1.3 y conjuntos de cifrados ECDHE-* TLS 1.2, como se esperaba.

2. TLSCipherAll y TLSCipherAll13 no se pueden probar con zabbix_sender; no afectan el valor de "conjuntos de cifrados de certificados y PSK" que se muestra en el ejemplo anterior. Para modificar TLSCipherAll y TLSCipherAll13, debe experimentar con el agente, el proxy o el servidor.

Por lo tanto, para permitir solo conjuntos de cifrado PFS, es posible que deba agregar hasta tres parámetros

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

a zabbix_agentd.conf, zabbix_proxy.conf y zabbix_server_conf si cada uno de ellos tiene un certificado configurado y el agente también tiene PSK.

Si su entorno Zabbix utiliza solo cifrado basado en PSK y no certificados, entonces solo uno:

  TLSCipherPSK=kECDHEPSK+AES128

Ahora que comprende cómo funciona, puede probar la selección de conjuntos de cifrados incluso fuera de Zabbix, con el comando openssl. Probemos los tres valores de parámetro TLSCipher*:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Puede preferir openssl ciphers con la opción -V para una salida más detallada:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

De manera similar, Puede probar las cadenas de prioridad para GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Cambio de AES128 a AES256

Zabbix utiliza AES128 como valor predeterminado integrado para los datos. Supongamos que usted están utilizando certificados y desean cambiar a AES256, en OpenSSL 1.1.1.

Esto se puede lograr agregando los parámetros respectivos en zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Aunque sólo serán utilizados los conjuntos de cifrado relacionados con certificados , los parámetros TLSCipherPSK* también se definen para evitar que sus valores predeterminados incluyan cifrados menos seguros para una interoperabilidad más amplia. Los conjuntos de cifrado PSK no se pueden desactivar completamente en el servidor/proxy.

Y en zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy