Documentation
Table of Contents
2 PostgreSQL titkosítási konfiguráció
Áttekintés
Ez a szakasz több titkosítási konfigurációs példát mutat be a következőhöz CentOS 8.2 és PostgreSQL 13.
A Zabbix frontend és a PostgreSQL közötti kapcsolat nem lehetséges titkosított (a GUI paraméterei le vannak tiltva), ha az Database értéke host mező perjellel kezdődik, vagy a mező üres.
Előtanulmányok
Telepítse a PostgreSQL adatbázist a official tárhely.
A PostgreSQL nincs úgy konfigurálva, hogy azonnal elfogadja a TLS-kapcsolatokat. Kérjük, kövesse a PostgreSQL dokumentációjában található utasításokat bizonyítvány elkészítése a postgresql.conf és felhasználói hozzáféréshez is control a ph_hba.conf-on keresztül.
Alapértelmezés szerint a PostgreSQL socket a localhosthoz van kötve, a a hálózati távoli kapcsolatok lehetővé teszik a valós hálózaton történő hallgatást felület.
PostgreSQL beállítások mindenkinek modes így nézhet ki ez:
/var/lib/pgsql/13/data/postgresql.conf:
...
ssl = be
ssl_ca_file = 'root.crt'
ssl_cert_file = 'server.crt'
ssl_key_file = 'szerver.kulcs'
ssl_ciphers = 'MAGAS:KÖZEPES:+3DES:!aNULL'
ssl_prefer_server_ciphers = be
ssl_min_protocol_version = 'TLSv1.3'
...A hozzáférés-vezérléshez állítsa be a /var/lib/pgsql/13/data/pg_hba.conf beállítást:
...
### megköveteli
hostssl mind 0.0.0.0/0 md5
### hitelesítse a CA-t
hostssl all all 0.0.0.0/0 md5 clientcert=verify-ca
### ellenőrizze, hogy megtelt
hostssl all all 0.0.0.0/0 md5 clientcert=verify-full
...Kötelező mód
Frontend
Csak szállítási titkosítás engedélyezése a Zabbix közötti kapcsolatokhoz frontend és az adatbázis:
- Ellenőrizze az adatbázis TLS-titkosítását
- Hagyja bejelöletlenül az Verify adatbázis tanúsítványt
Szerver
Csak szállítási titkosítás engedélyezése a szerver és a kiszolgáló közötti kapcsolatokhoz az adatbázisban állítsa be az /etc/zabbix/zabbix_server.conf fájlt:
...
DBHost=10.211.55.9
DBName=zabbix
DBUser=zbx_srv
DBPassword=<strong_password>
DBTLSConnect=kötelező
...Ellenőrizze a CA módot
Frontend
A titkosítás engedélyezése a tanúsító hatóság ellenőrzésével a következőnél kapcsolatok a Zabbix frontend és az adatbázis között:
- Ellenőrizze az Adatbázis TLS-titkosítást és az Az adatbázis-tanúsítvány ellenőrzését
- Adja meg az Adatbázis TLS kulcsfájl elérési útját
- Adja meg az Adatbázis TLS CA-fájl elérési útját
- Adja meg az Adatbázis TLS-tanúsítványfájl elérési útját
Alternatív megoldásként ez beállítható az /etc/zabbix/web/zabbix.conf.php: fájlban.
...
$DB['TITKOSÍTÁS'] = igaz;
$DB['KEY_FILE'] = ';
$DB['CERT_FILE'] = ';
$DB['CA_FILE'] = '/etc/ssl/pgsql/root.crt';
$DB['VERIFY_HOST'] = hamis;
$DB['CIPHER_LIST'] = ';
...Szerver
A titkosítás engedélyezése a kapcsolatok tanúsítvány-ellenőrzésével a Zabbix szerver és az adatbázis között, konfigurálja /etc/zabbix/zabbix_server.conf:
...
DBHost=10.211.55.9
DBName=zabbix
DBUser=zbx_srv
DBPassword=<strong_password>
DBTLSConnect=verify_ca
DBTLSCAFile=/etc/ssl/pgsql/root.crt
...Ellenőrizze a teljes módot
Frontend
A titkosítás engedélyezése tanúsítvánnyal és adatbázis-gazdaazonosítóval a Zabbix frontend és az adatbázis közötti kapcsolatok ellenőrzése:
- Ellenőrizze az Adatbázis TLS-titkosítást és az Az adatbázis-tanúsítvány ellenőrzését
- Adja meg az Adatbázis TLS kulcsfájl elérési útját
- Adja meg az Adatbázis TLS CA-fájl elérési útját
- Adja meg az Adatbázis TLS-tanúsítványfájl elérési útját
- Ellenőrizze az Adatbázis gazdagép ellenőrzését
Alternatív megoldásként ez beállítható az /etc/zabbix/web/zabbix.conf.php: fájlban.
$DB['TITKOSÍTÁS'] = igaz;
$DB['KEY_FILE'] = ';
$DB['CERT_FILE'] = ';
$DB['CA_FILE'] = '/etc/ssl/pgsql/root.crt';
$DB['VERIFY_HOST'] = igaz;
$DB['CIPHER_LIST'] = ';
...Szerver
A titkosítás engedélyezése tanúsítvánnyal és adatbázis-gazdaazonosítóval a Zabbix szerver és az adatbázis közötti kapcsolatok ellenőrzése, /etc/zabbix/zabbix_server.conf konfigurálása: