2 emprant claus pre-compartides

Vista general

Cada clau precompartida (PSK) a Zabbix és en realitat un parell de:

  • cadena d'identitat PSK no secreta,
  • valor secret de la cadena PSK.

La cadena d'identitat PSK és una cadena UTF-8 no buida. Per exemple, "PSK ID 001 Zabbix agentd". És un nom únic amb el qual els components Zabbix fan referència a aquest component PSK específic. No introduïu informació sensible a la cadena d'identitat PSK: es transmet sense xifrar per la xarxa.

El valor PSK és una cadena hexadecimal difícil d'endevinar, com ara "e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9".

Límit de mida

Hi ha límits de mida per a la identitat i el valor PSK a Zabbix, en alguns casos una biblioteca criptogràfica pot tenir un límit inferior:

|Component|Mida màxima de la identitat PSK|Mida mínima del valor PSK|Mida màxima del valor PSK| |---------|----------------------|------------------ -|-------------------| |Zabbix|128 caràcters UTF-8|128 bits (PSK de 16 octets, entrat com a 32 dígits hexadecimals)|2048 bits (PSK de 256 octets, entrat com a 512 dígits hexadecimals)| |GnuTLS|128 octets (pot incloure caràcters UTF-8)|-|2048 bits (256 octets PSK, entrat com a 512 dígits hexadecimals)| |OpenSSL 1.0.x, 1.1.0|127 octets (pot incloure caràcters UTF-8)|-|2048 bits (256 octets PSK, entrat com a 512 dígits hexadecimals)| |OpenSSL 1.1.1|127 octets (pot incloure caràcters UTF-8)|-|512 bits (PSK de 64 octets, entrat com a 128 dígits hexadecimals)| |OpenSSL 1.1.1a i posterior|127 octets (pot incloure caràcters UTF-8)|-|2048 bits (256 octets PSK, entrat com a 512 dígits hexadecimals)|

La interfície Zabbix permet configurar una cadena d'identitat PSK de fins a 128 caràcters i una PSK de 2048 bits, independentment de les biblioteques de xifrat emprades.
Si alguns components de Zabbix admeten límits inferiors, és responsabilitat de l'usuari configurar la identitat i el valor de PSK amb la longitud permesa per a aquests components.
Excedir els límits de longitud provoca errors de comunicació entre els components de Zabbix.

Abans que el servidor Zabbix es connecti a l'agent mitjançant PSK, el servidor cerca la identitat PSK i el valor PSK configurat per a aquest agent a la base de dades (en realitat a la memòria cau de configuració). Quan rep una connexió, l'agent empra la identitat PSK i el valor PSK del seu fitxer de configuració. Si ambdues parts tenen la mateixa cadena d'identitat PSK i el mateix valor PSK, la connexió pot tindre èxit.

Cada identitat PSK ha d'ésser associada amb un sol valor. És responsabilitat de l'usuari assegurar-se que no hi ha dues PSK amb la mateixa cadena d'identitat però amb valors diferents. Si no ho feu, es poden produir errors imprevisibles o interrupcions de comunicació entre els components de Zabbix que empren PSK amb aquesta cadena d'identitat PSK.

Generació de PSK

Per exemple, un PSK de 256 bits (32 octets) es pot generar emprant les comandes segúents:

  • amb OpenSSL:

$ openssl rand -hex 32 af8ced32dfe8714e548694e2d29e1a14ba6fa13f216cb35c19d0feb1084b0429

  • amb GnuTLS:

$ psktool -u psk_identity -p database.psk -s 32 Genera una clau aleatòria per l'usuari 'psk_identity'. Clau emmagatzemada a database.psk

$ cat database.psk psk_identity:9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb

Tingueu en compte que l'ordre "psktool" anterior genera un fitxer de base de dades amb una identitat PSK i el seu PSK associat. Zabbix només proporciona un PSK al fitxer PSK. Per tant, la cadena d'identitat i els dos punts (':') s'han d'esborrar del fitxer.

Configuració de PSK per a la comunicació servidor-agent (exemple)

A l'equip de l'agent, escriviu el valor PSK en un fitxer, per exemple, /home/zabbix/zabbix_agentd.psk. El fitxer ha de contindre un PSK a la primera cadena de text, per exemple:

1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952

Estableix els drets d'accés al fitxer PSK: només hauria de ser llegible per l'usuari de Zabbix.

Modifiqueu la configuració de TLS al fitxer de configuració de l'agent zabbix_agentd.conf, per exemple, establiu:

TLSConnect=psk TLSAccept=psk TLSPSKFile=/home/zabbix/zabbix_agentd.psk TLSPSKIdentity=PSK 001

L'agent es connecta al servidor (comprovacions actives) i accepta des del servidor i l'ordre zabbix_get només connexions amb PSK. La identitat PSK serà "PSK 001".

Reinicieu l'agent. Ara podeu provar la connexió amb l'ordre zabbix_get, per exemple:

$ zabbix_get -s 127.0.0.1 -k "system.cpu.load[all,avg1]" --tls-connect=psk
--tls-psk-identity="PSK 001" --tls-psk-file=/home/zabbix/zabbix_agentd.psk

(Per minimitzar el temps d'inactivitat, canvieu el tipus de connexió tal com es descriu a Gestió de xifrat de connexió).

Configureu el xifrat PSK per a aquest agent a la interfície Zabbix:

  • Vés a: Recull de dades → Equips
  • Seleccioneu l'equip i feu clic a la pestanya Xifrat

Exemple:

psk_config.png

Tots els camps d'entrada obligatoris són marcats amb un asterisc vermell.

Un cop la memòria cau de configuració sigui sincronitzada amb la base de dades, les connexions noves empren PSK. Comproveu els fitxers de registre del servidor i de l'agent per si hi ha missatges d'error.

Configuració de PSK per al servidor: comunicació d'un proxy actiu (exemple)

Al proxy, escriviu el valor PSK en un fitxer, per exemple, /home/zabbix/zabbix_proxy.psk. El fitxer ha de contindre el PSK a la primera cadena de text, per exemple:

e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9

Establiu els drets d'accés al fitxer PSK: només hauria de ser llegible per l'usuari de Zabbix.

Modifiqueu la configuració de TLS al fitxer de configuració del proxy zabbix_proxy.conf, per exemple, configureu:

TLSConnect=psk TLSPSKFile=/home/zabbix/zabbix_proxy.psk TLSPSKIidentity=PSK 002

El proxy es connecta al servidor mitjançant PSK. La identitat PSK serà "PSK 002".

(Per minimitzar el temps d'inactivitat, canvieu el tipus de connexió tal com es descriu a Gestió de xifrat de connexió).

Configureu PSK per a aquest proxy a la interfície Zabbix. Aneu a Administració → Proxys, trieu el proxy i aneu a la pestanya "Xifrat". A "Connexions proxy", marqueu PSK. Enganxeu el camp "PSK Identitat" "PSK 002" i "e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9" al camp "PSK". Feu clic a "Actualitzar".

Reinicieu el proxy. Començarà a emprar connexions de servidor xifrades basades en PSK. Comproveu els fitxers de registre del servidor i del proxy per trobar missatges d'error.

Per a un proxy passiu, el procediment és similar. L'única diferència és: establiu TLSAccept=psk al fitxer de configuració del proxy i configureu "Connexions proxy" a la interfície Zabbix a PSK.