Documentation

This is a translation of the original English documentation page. Help us make it better.
1 マニュアルの構成
2 Zabbixとは
3 Zabbixの機能
4 Zabbixの概要
5 Zabbix 6.4.0 の新機能
6 Zabbix 6.4.1 の新機能
7 Zabbix 6.4.2 の新機能
8 Zabbix 6.4.3 の新機能
9 Zabbix 6.4.4 の新機能
10 Zabbix 6.4.5 の新機能
11 Zabbix 6.4.6 の新機能
12 Zabbix 6.4.7 の新機能
13 Zabbix 6.4.8 の新機能
14 Zabbix 6.4.9 の新機能
15 Zabbix 6.4.10 の新機能
16 Zabbix 6.4.11の新機能
17 Zabbix 6.4.12 の新機能
18 Zabbix 6.4.13 の新機能
19 Zabbix 6.4.14 の新機能
20 Zabbix 6.4.15 の新機能
21 Zabbix 6.4.16 の新機能
22 Zabbix 6.4.17 の新機能
23 Zabbix 6.4.18 の新機能
24 Zabbix 6.4.19 の新機能
25 Zabbix 6.4.20 の新機能
2. 定義
1 高可用性(HA)
2 Zabbixエージェント
3 Zabbixエージェント2
4 Zabbixプロキシ
1 ソースからのセットアップ
2 RHELパッケージでのセットアップ
3 Debian/Ubuntuパッケージでのセットアップ
6 zabbix_senderコマンド
7 zabbix_getコマンド
8 zabbix_jsコマンド
9 Zabbix Webサービス
1 Zabbixの入手
1 PostgreSQLプラグインの依存関係
2 MongoDBプラグインの依存関係
2 安全なZabbixセットアップのベストプラクティス
1 WindowsでのZabbixエージェントのビルド
2 WindowsでのZabbixエージェント2のビルド
3 macOSでのZabbixエージェントのビルド
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 MSIでWindowsエージェントのインストール
5 PKGでMacOSエージェントのインストール
6 不安定版リリース
5 コンテナでのインストール
6 Webインターフェースのインストール
1 ソースからのアップグレード
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 コンテナからのアップグレード
1 コンパイルの問題
9 テンプレートの変更点
10 6.4.0へアップグレード時の注意点
11 6.4.1へアップグレード時の注意点
12 6.4.2へアップグレード時の注意点
13 6.4.3へアップグレード時の注意点
14 6.4.4へアップグレード時の注意点
15 6.4.5へアップグレード時の注意点
16 6.4.6へアップグレード時の注意点
17 6.4.7へアップグレード時の注意点
18 6.4.8へアップグレード時の注意点
19 6.4.9へアップグレード時の注意点
20 6.4.10へアップグレード時の注意点
21 6.4.11へアップグレード時の注意点
22 6.4.12へアップグレード時の注意点
23 6.4.13へアップグレード時の注意点
24 6.4.14へアップグレード時の注意点
25 6.4.15へアップグレード時の注意点
26 6.4.16へアップグレード時の注意点
27 6.4.17へアップグレード時の注意点
28 6.4.18へアップグレード時の注意点
29 6.4.19へアップグレード時の注意点
30 6.4.20へアップグレード時の注意点
1 ログインとユーザー設定
2 新規ホスト
3 新規アイテム
4 新規トリガー
5 障害発生の通知
6 新規テンプレート
6. Zabbixアプライアンス
1 ホストの設定
2 インベントリ
3 一括アップデート
1 アイテムキーのフォーマット
2 監視間隔のカスタマイズ
1 使用例
2 保存前処理の詳細
1 JSONPathのLLDマクロ値からの特殊文字のエスケープ
1 追加のJavaScriptオブジェクト
5 CSVからJSONへのプリプロセス
1 Zabbixエージェント2
2 Windows Zabbixエージェント
1 ダイナミックインデックス
2 特殊なOID
3 MIB ファイル
3 SNMP trap
4 IPMIチェック
1 VMware監視アイテムキー
6 Log file monitoring
1 集計計算
8 内部チェック
9 SSH チェック
10 Telnetチェック
11 外部チェック
12 トラッパーアイテム
13 JMX 監視
1 MySQLの推奨UnixODBC設定
2 PostgreSQLの推奨UnixODBC設定
3 Oracleの推奨UnixODBC設定
4 MSSQLの推奨UnixODBC設定
15 依存アイテム
16 HTTPエージェント
17 Prometheus チェック
18 スクリプト
4 ヒストリとトレンド
1 Zabbixエージェントの機能拡張
6 Windows パフォーマンスカウンタ
7 一括アップデート
8 値のマッピング
9 キュー
10 バリューキャッシュ
11 即時実行
12 エージェントチェックの制限
1 トリガーの設定
2 トリガー条件式
3 トリガーの依存関係
4 トリガーの深刻度
5 トリガーの深刻度のカスタマイズ
6 一括アップデート
7 予測トリガー関数
1 トリガーイベントの生成
2 その他のイベントソース
3 問題の手動クローズ
1 トリガーによるイベント相関
2 グローバルイベント相関
6 タグ付け
1 シンプルグラフ
2 カスタムグラフ
3 アドホックグラフ
4 グラフの集計
1 ネットワークマップの設定
2 ホストグループの構成要素
3 リンクインジケーター
3 ダッシュボード
4 ホストダッシュボード
1 テンプレートの設定
2 リンク作成/リンク削除
3 ネスト
4 一括更新
1 Zabbixエージェントテンプレートの操作
2 Zabbixエージェント2テンプレートの操作
3 HTTPテンプレートの操作
4 IPMIテンプレートの操作
5 JMXテンプレートの操作
6 ODBCテンプレートの操作
7 ネットワークデバイス用の標準テンプレート
1 Email
2 SMS
3 カスタムアラートスクリプト
1 Webhookスクリプトの例
1 アクション
1 メッセージの送信
2 リモートコマンド
3 追加操作
4 メッセージでのマクロ使用
3 復旧時実行
4 更新時実行
5 エスカレーション
3 サポート対象外通知の受信
1 マクロ関数
2 ユーザーマクロ
3 コンテキストユーザーマクロ
4 Secretユーザーマクロ
5 ローレベルディスカバリマクロ
6 式マクロ
1 ユーザの設定
2 ユーザー権限
3 ユーザグループ
CyberArk configuration
HashiCorp configuration
14 スケジュールレポート
1 ファイルにエクスポート
2 外部システムへのストリーミング
1 サービスツリー
2 SLA
3 セットアップ例
1 Web監視アイテム
2 シナリオの実例
1 VMware監視アイテムキー
2 仮想マシンディスカバリキーフィールド
3 VMwareアイテムのJSONの例
4 VMware監視設定例
11. メンテナンス
12. 正規表現
1 障害の抑制
1 テンプレートグループ
2 ホストグループ
3 テンプレート
4 ホスト
5 ネットワークマップ
6 メディアタイプ
1 ネットワークディスカバリルールの設定
2 アクティブエージェントの自動登録
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 ローレベルディスカバリにおける注意点
1 ファイルシステムマウントの検出
2 ネットワークインターフェースの検出
3 CPUとCPUコアの検出
4 SNMP OIDsの検出
5 SNMP OIDsの検出 (legacy)
6 JMXオブジェクトの検出
7 IPMIセンサーの検出
7 systemdサービスの検出
9 Windowsサービスの検出
10 Windowsパフォーマンスカウンターインスタンスの検出
11 WMIクエリを使用した検出
12 ODBC SQLクエリを使用した検出
13 Prometheusデータを使用した検出
14 ブロックデバイスの検出
15 Zabbixでのホストインターフェース検出
1 監視設定の同期
1 証明書の利用
2 事前共有鍵の使用
1 接続タイプまたは権限の問題
2 証明書の問題
3 PSKの問題
1 イベントメニュー
2 ホストメニュー
3 アイテムメニュー
1 アクションログ
2 時計
3 データの概要
4 ディスカバリのステータス
5 お気に入りのグラフ
6 お気に入りのマップ
7 地理マップ
8 グラフ
9 グラフ(クラシック)
10 グラフのプロトタイプ
11 ホスト稼働状況
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 システム情報
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
1 原因と症状の障害
1 グラフ
2 Webシナリオ
3 最新データ
4 マップ
5 ディスカバリ
1 サービス
2 SLA
3 SLAレポート
1 概要
2 ホスト
1 システム情報
2 定期レポート
3 稼働レポート
4 障害発生数上位100項目
5 監査ログ
6 アクションログ
7 通知レポート
1 テンプレートグループ
2 ホストグループ
1 アイテム
2 トリガー
3 グラフ
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 Webシナリオ
1 アイテム
2 トリガー
3 グラフ
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 ホストのプロトタイプ
5 Webシナリオ
5 メンテナンス
6 イベント相関関係
7 ディスカバリ
1 アクション
2 メディアタイプ
3 スクリプト
1 ユーザーグループ
2 ユーザーの役割
3 ユーザー
4 APIトークン
1 HTTP
2 LDAP
3 SAML
1 一般設定
2 監査ログ
3 ハウスキーピング
4 プロキシ
5 マクロ
6 キュー
1 グローバル通知
2 ブラウザのサウンド
4 グローバルサーチ
5 フロントエンドメンテナンスモード
6 ページパラメーター
7 定義
8 独自テーマ作成
9 デバッグモード
10 Zabbix用Cookie
11 タイムゾーン
12 パスワードのリセット
> Actionオブジェクト
action.create
action.delete
action.get
action.update
> Alertオブジェクト
alert.get
apiinfo.version
> Audit logオブジェクト
auditlog.get
> Authenticationオブジェクト
authentication.get
authentication.update
> Autoregistrationオブジェクト
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
> Connectorオブジェクト
connector.create
connector.delete
connector.get
connector.update
> Correlationオブジェクト
correlation.create
correlation.delete
correlation.get
correlation.update
> Dashboardオブジェクト
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Discovered hostオブジェクト
dhost.get
> Discovered serviceオブジェクト
dservice.get
> Discovery checkオブジェクト
dcheck.get
> Discovery ruleオブジェクト
drule.create
drule.delete
drule.get
drule.update
> Eventオブジェクト
event.acknowledge
event.get
> Graphオブジェクト
graph.create
graph.delete
graph.get
graph.update
> Graph itemオブジェクト
graphitem.get
> Graph prototypeオブジェクト
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> High availability nodeオブジェクト
hanode.get
> Historyオブジェクト
history.clear
history.get
> Hostオブジェクト
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Host groupオブジェクト
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Host interfaceオブジェクト
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototypeオブジェクト
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Housekeepingオブジェクト
housekeeping.get
housekeeping.update
> Icon mapオブジェクト
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Imageオブジェクト
image.create
image.delete
image.get
image.update
> Itemオブジェクト
item.create
item.delete
item.get
item.update
> Item prototypeオブジェクト
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> LLD ruleオブジェクト
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Maintenanceオブジェクト
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Mapオブジェクト
map.create
map.delete
map.get
map.update
> Media typeオブジェクト
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Moduleオブジェクト
module.create
module.delete
module.get
module.update
> Problem object
problem.get
> Proxyオブジェクト
proxy.create
proxy.delete
proxy.get
proxy.update
> Regular expressionオブジェクト
regexp.create
regexp.delete
regexp.get
regexp.update
> Reportオブジェクト
report.create
report.delete
report.get
report.update
> Roleオブジェクト
role.create
role.delete
role.get
role.update
> Scriptオブジェクト
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Serviceオブジェクト
service.create
service.delete
service.get
service.update
Settings
settings.get
settings.update
> SLAオブジェクト
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Task object
task.create
task.get
> Templateオブジェクト
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template dashboardオブジェクト
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Template groupオブジェクト
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> Tokenオブジェクト
token.create
token.delete
token.generate
token.get
token.update
> Trendオブジェクト
trend.get
> Triggerオブジェクト
trigger.create
trigger.delete
trigger.get
trigger.update
> Trigger prototypeオブジェクト
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Userオブジェクト
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
> User directoryオブジェクト
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> User groupオブジェクト
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> User macroオブジェクト
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value mapオブジェクト
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Web scenarioオブジェクト
httptest.create
httptest.delete
httptest.get
httptest.update
Zabbix APIの6.4での変更点
付録1. 参考文献の解説
付録2. 6.2から6.4での変更点
1 ローダブルモジュール
1 ローダブルプラグインのビルド
3 フロントエンドモジュール
1 データベースの作成
2 Zabbixデータベースのキャラクターセットと照合の修正
3 データベースの主キーのアップグレード
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
5 TimescaleDBのセットアップ
6 Elasticsearch のセットアップ
7 Zabbix用Nginxのセットアップに関するディストリビューション固有の注意事項
8 rootユーザーでのエージェントの実行
9 Microsoft Windows上のZabbixエージェント
10 Microsoft Azure ADを使用したSAMLの設定
11 Oktaを使用したSAMLセットアップ
12 OneLoginを使用したSAMLセットアップ
13 Oracleデータベースセットアップ
14 定期レポートの設定
15 Upgrading to numeric values of extended range
16 フロントエンドへの言語追加
1 Zabbix サーバー
2 Zabbix プロキシ
3 Zabbix エージェント (UNIX)
4 Zabbix エージェント 2 (UNIX)
5 Zabbix エージェント (Windows)
6 Zabbix エージェント 2 (Windows)
1 Ceph プラグイン
2 Docker プラグイン
3 Memcached プラグイン
4 Modbus プラグイン
5 MongoDB プラグイン
6 MQTT プラグイン
7 MSSQLプラグイン
8 MySQLプラグイン
9 Oracleプラグイン
10 PostgreSQLプラグイン
11 Redisプラグイン
12 Smartプラグイン
8 Zabbix Java ゲートウェイ
9 Zabbix Webサービス
10 インクルード
1 サーバープロキシデータ交換プロトコル
2 Zabbix エージェントのプロトコル
3 Zabbix エージェント 2 プロトコル
4 Zabbixエージェント2プラグインプロトコル
5 Zabbix sender プロトコル
6 ヘッダー
7 リアルタイムエクスポートプロトコル
1 vm.memory.sizeパラメーター
3 パッシブおよびアクティブ エージェント チェック
4 Trapper items
5 Minimum permission level for Windows agent items
6 Encoding of returned values
7 Large file support
8 Sensor
9 Notes on memtype parameter in proc.mem items
10 Notes on selecting processes in proc.mem and proc.num items
11 Implementation details of net.tcp.service and net.udp.service checks
11 proc.getパラメーター
12 到達不能または使用不可のホストインターフェイス設定
13 Zabbix統計のリモートモニタリング
14 Zabbixを使用したKerberosの設定
15 modbus.getパラメーター
16 VMware のカスタム パフォーマンス カウンター名作成
17 Return values
1 Foreach 関数
2 Bitwise functions
3 日時関数
4 ヒストリ関数
5 Mathematical functions
5 Trend functions
6 Operator functions
7 Prediction functions
8 String functions
1 Supported macros
2 ロケーションでサポートされているユーザーマクロ
8 単位と記号
9 日時フォーマット
10 コマンドの実行
11 バージョン間の互換性
12 データベースエラーハンドリング
13 Windows用のZabbix sender ダイナミックリンクライブラリ
14 Zabbix APIのPythonライブラリ
15 サービス監視のアップグレード
16 Agent と agent 2 の比較
16 その他の問題
17 エスケープの例
1 ZabbixエージェントでLinuxを監視する
2 ZabbixエージェントでWindowsを監視する
3 HTTP経由でApacheを監視する
4 Zabbixエージェント2でMySQLを監視する
5 ZabbixでVMwareを監視する
プラグインを作成する (チュートリアル)
プラグインインターフェース
manifest.json
アクション
ビュー
アセット
新しいモジュールの登録
設定
Presentation
モジュールの作成 (チュートリアル)
ウィジェットの作成 (チュートリアル)
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17. 暗号化

概要

Zabbixは、トランスポートレイヤーセキュリティ(TLS)プロトコルv.1.2、1.3 (cryptoライブラリによる)を使用した Zabbix コンポーネント間の
暗号化通信をサポートしています。証明書ベースと事前共有キーベースの暗号化がサポートされています。

暗号化は以下の接続に設定することができます:

暗号化はオプションで、個々のコンポーネントに設定可能:

  • proxy や agent の中には、server との間で証明書ベースの暗号化を使用するように設定できるものもあれば、事前共有鍵ベースの 暗号化を使用できるものもあり、また暗号化されていない通信を続けるものもあります。(以前と同様です)
  • server(proxy)は、ホストごとに異なる暗号化設定を使用することができます。

Zabbixのデーモンプログラムでは、暗号化された接続と暗号化されていない接続に1つのリスニングポートを使用します。
暗号化を追加する場合、ファイアウォールに新しいポートを開く必要はありません。

制限事項

  • 秘密鍵は起動時に Zabbix コンポーネントが読み込み可能なファイルにプレーンテキストで保存されます。
  • 事前共有鍵は Zabbix フロントエンドで入力され、Zabbix データベースにプレーンテキストで保存されます。
  • 内蔵の暗号化では、通信は保護されません。
    • Zabbix フロントエンドが動作するウェブサーバとユーザのウェブブラウザ間
    • Zabbix フロントエンドと Zabbix サーバ間
  • 現在、暗号化された接続は完全な TLS ハンドシェイクで開かれ、セッションキャッシュとチケットは実装されていません。
  • 暗号化を追加すると、ネットワーク遅延に応じてアイテムのチェックとアクションにかかる時間が増加します。
    • 例えば、パケット遅延が100msの場合、TCP 接続を開き、暗号化されていないリクエストを送信するのに約200msかかります。 暗号化では、TLS 接続の確立に約1000msが追加されます。
    • タイムアウトを増やす必要があるかもしれません。そうしないと、agent 上でリモートスクリプトを実行するいくつかのアイテムや アクションが、暗号化されていない接続では動作するのに、暗号化されているとタイムアウトで失敗する可能性があります。
  • 暗号化は、network discoveryではサポートされていません。Zabbix agent が 暗号化されていない接続を拒否するように設定されている場合、ネットワークディスカバリーが実行するZabbix agent の チェックは成功しません。

暗号化をサポートした Zabbix のコンパイル

暗号化をサポートするために、Zabbix は以下のいずれかのライブラリとコンパイル、リンクする必要があります:

  • GnuTLS - from version 3.1.18
  • OpenSSL - versions 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. Note that 3.0.x is supported since Zabbix 6.0.4.
  • LibreSSL - tested with versions 2.7.4, 2.8.2:
    • LibreSSL 2.6.x はサポートされていません。
    • LibreSSL は OpenSSL の互換性のある代替品としてサポートされています。新しい tls_*() LibreSSL 固有の API関数は使用されません。 LibreSSL を使用してコンパイルされた Zabbix コンポーネントは PSK を使用できず、証明書のみ使用可能です。

ライブラリの選択は、"configure "スクリプトにそれぞれのオプションを指定することで行います:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (also used for LibreSSL)

例えば、server と agent のソースを OpenSSL で設定する場合、次のようになります:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

異なる Zabbix コンポーネントは異なる暗号化ライブラリを使用してコンパイルされている場合があります。
(例:サーバはOpenSSL、エージェントはGnuTLSなど)

事前共有鍵(PSK)の使用を計画している場合、PSKを使用している Zabbix コンポーネントで GnuTLS または OpenSSL 1.1.0
(またはそれ以降)ライブラリの使用を検討してください。GnuTLSOpenSSL 1.1.0ライブラリは、Perfect Forward Secrecy
PSK暗号をサポートしています。
古いバージョンの OpenSSL ライブラリ(1.0.1、1.0.2c)も PSK をサポートしていますが、利用可能なPSK暗号スイートは
Perfect Forward Secrecy を提供しません。

接続の暗号化管理

Zabbix のコネクションは以下を使用することができます:

Zabbix コンポーネント間の暗号化を指定するために、2つの重要なパラメータがあります:

  • TLSConnect - 発信接続に使用する暗号化方式を指定します (非暗号化、PSK、または証明書)。
  • TLSAccept - 着信接続で許可される接続の種類を指定します (非暗号化、PSK、または証明書)。 1つまたは複数の値を指定できます。

TLSConnectは、Zabbix proxy (アクティブモードで、server への接続のみを指定)とZabbix agent (アクティブチェック用)の
設定ファイルで使用されています。Zabbixフロントエンドでは、TLSConnectに相当するのは
Configuration → Hosts → <some host> → Encryptionタブの Connections to host フィールドと
Administration → Proxies → <some proxy> → Encryption タブの Connections to proxy フィールドになります。
接続に設定された暗号化方式が失敗した場合、他の暗号化方式は試されません。

TLSAcceptはZabbix proxy (パッシブモード、server からの接続のみ指定)と Zabbix agent (パッシブチェック用)の
設定ファイルで使用されています。Zabbixフロントエンドでは、TLSAcceptに相当するのは
Configuration → Hosts → <some host> → Encryption* タブの Connections from host フィールドと
Administration → Proxies → <some proxy> → Encryption タブの Connections from proxy フィールドになります。

通常、受信する暗号化には1種類の暗号化しか設定しません。しかし、ダウンタイムやロールバックを最小限に抑えながら、
暗号化方式を非暗号化から証明書方式に変更したい場合があります。これを実現するために:

  • agent 設定ファイルに TLSAccept=unencrypted,cert を設定し、Zabbix agent を再起動する。
  • zabbix_get を使用して、証明書を使用するエージェントへの接続をテストします。うまくいった場合、 Zabbix フロントエンドでその agent の暗号化を再設定することができます。 フロントエンドの Configuration → Hosts → <some host> → Encryption タブで Connections to host を "Certificate" に設定します。
  • server 設定キャッシュが更新されたとき(およびホストが監視されている場合は proxy 設定が更新されたとき) proxy で監視しているホストの場合は proxy 設定も更新される) と、その agent への接続が暗号化されます。
  • 期待通りに動作していれば、agent 設定ファイルにTLSAccept=certを設定し、Zabbix agent を再起動することができます。 これで、agent は暗号化された証明書ベースの接続のみを受け入れるようになります。暗号化されていない、 PSKベースの接続は拒否されます。

同様に、server と proxy でも動作します。Zabbixフロントエンドのホスト設定でConnections from hostを "Certificate" に
設定すると、agent (アクティブチェック)とzabbix_sender(トラッパーアイテム)からは証明書ベースの暗号化接続のみが
許可されます。

ほとんどの場合、受信接続と送信接続で同じ暗号化タイプを使用するか、まったく暗号化しないように設定します。しかし、
技術的には非対称に設定することが可能です。

各ホストの暗号化設定は、Zabbixフロントエンドの Configuration → HostsAgent encryption 列に表示されます。 例:

Connections to host Allowed connections from host Rejected connections from host
none_none.png Unencrypted Unencrypted Encrypted, certificate and PSK-based encrypted
cert_cert.png Encrypted, certificate-based Encrypted, certificate-based Unencrypted and PSK-based encrypted
psk_psk.png Encrypted, PSK-based Encrypted, PSK-based Unencrypted and certificate-based encrypted
psk_none_psk.png Encrypted, PSK-based Unencrypted and PSK-based encrypted Certificate-based encrypted
cert_all.png Encrypted, certificate-based Unencrypted, PSK or certificate-based encrypted -

デフォルトでは、接続は暗号化されていません。暗号化は、各ホストとプロキシに個別に設定する必要があります。

zabbix_getとzabbix_senderの暗号化機能

zabbix_getzabbix_sender manpages のマニュアルを参照してください。

暗号スイート

暗号スイートはデフォルトでは Zabbix 起動時に内部で設定され、Zabbix 4.0.19以前、4.4.7以前ではユーザが設定することは
できません。

Zabbix 4.0.19、4.4.7 から GnuTLS と OpenSSL のユーザ設定可能な暗号スイートがサポートされるようになりました。
ユーザはセキュリティポリシーに従って暗号スイートを configure することができます。
この機能の使用は任意です。(組み込みのデフォルトの暗号スイートはそのまま機能します)

デフォルト設定でコンパイルされた暗号ライブラリの場合、Zabbixのビルトインルールでは通常以下の暗号スイートを
使用します。(優先度の高いものから低いものの順):

ライブラリ Certificate ciphersuites PSK ciphersuites
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

ユーザー設定暗号スイート

内蔵の暗号スイート選択基準は、ユーザーが設定した暗号スイートで上書きすることができます。

ユーザー設定暗号スイートは、TLS暗号スイートとその安全性を理解し、TLSのトラブルシューティングに精通している
上級ユーザー向けの機能です。

組み込みの暗号スイート選択基準は、以下のパラメータを使用して上書きすることができます:

上書きスコープ パラメータ 説明
Ciphersuite selection for certificates TLSCipherCert13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Certificate-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherCert Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Certificate-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Ciphersuite selection for PSK TLSCipherPSK13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). PSK-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherPSK Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. PSK-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Combined ciphersuite list for certificate and PSK TLSCipherAll13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherAll Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

zabbix_getzabbix_sender ユーティリティで暗号化スイート選択を
上書きするには、次のコマンドラインパラメータを使用します。:

  • --tls-cipher13
  • --tls-cipher

新しいパラメータはオプションである。パラメータが指定されていない場合、内部のデフォルト値が使用されます。
パラメータが定義されている場合、空にすることはできません。

crypto ライブラリの TLSCipher* 値の設定に失敗すると、server、proxy、または agent は起動せず、エラーが記録されます。

各パラメータがどのような場合に適用されるかを理解することが重要です。

発信コネクション

最も単純なケースは、発信コネクションです:

  • 証明書を使用した発信コネクションの場合 - TLSCipherCert13 または TLSCipherCert を使用します。
  • PSK を使用する発信コネクションには、TLSCipherPSK13 と TLSCipherPSK を使用します。
  • zabbix_と zabbix_ユーティリティの場合、コマンドラインパラメータ --tls-cipher13--tls-cipher を 使用できます。(暗号化は一義的に --tls-connect パラメータで指定されます)
着信コネクション

着信コネクションの場合、ルールがコンポーネントや構成によって異なるため、少し複雑になります。

Zabbix agent の場合 :

Agent connection setup Cipher configuration
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Zabbix server と ** proxy** の場合:

Connection setup Cipher configuration
Outgoing connections using PSK TLSCipherPSK, TLSCipherPSK13
Incoming connections using certificates TLSCipherAll, TLSCipherAll13
Incoming connections using PSK if server has no certificate TLSCipherPSK, TLSCipherPSK13
Incoming connections using PSK if server has certificate TLSCipherAll, TLSCipherAll13

上の2つの表でいくつかのパターンを見ることができます:

  • TLSCipherAll および TLSCipherAll13は、証明書とPSKベースの暗号化方式を組み合わせたリストを使用する場合にのみ 指定できます。証明書が設定されている server(proxy)(PSK暗号スイートは、 cryptoライブラリがPSKをサポートしている場合、 server、proxy で常に設定されます)、証明書とPSKベースの両方の受信コネクションを受け入れるように設定された agent の場合
  • その他の場合は、TLSCipherCertTLSCipherPSK の両方またはどちらかで十分です。

以下の表は、TLSCipher* 組み込みのデフォルト値を示しています。これらは、独自のカスタム値のための良い出発点になる
可能性があります。

Parameter GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parameter OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 デフォルト値は、古いバージョンのOpenSSL(1.0.1、1.0.2、1.1.0)、LibreSSL、および OpenSSL が PSK を
サポートせずにコンパイルされた場合、それぞれ異なっています。

** ユーザー設定暗号スイートの例 **

ユーザーが設定した暗号スイートは、以下の例を参照してください:

暗号文字列をテストし、PFS 暗号スイートのみを許可します。

どの暗号スイートが選択されたかを確認するには、設定ファイルで DebugLevel=4 を設定するか、zabbix_sender の
-vv オプションを使用する必要があります。

希望する暗号スイートが得られるまで、TLSCipher*パラメータの実験が必要な場合があります。TLSCipher*パラメータを 調整するために、Zabbix server、proxy、agent を何度も再起動するのは不便です。より便利なオプションは zabbix_senderまたは openssl コマンドを使用することです。ここではその両方を紹介します。

1. zabbix_sender を使う

テスト用の設定ファイルを作成してみましょう。 zabbix_agentd.conf ファイルの構文で、/home/zabbix/test.conf を作成します:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

この例では、有効な CA とエージェントの証明書と PSK が必要です。証明書とPSKのファイルパスとファイル名は、
環境に合わせて調整してください。

証明書を使用せず、PSKのみを使用する場合は、より単純なテストファイルを作成することができます:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

選択された暗号スイートは、zabbix_sender (OpenSSL 1.1.d でコンパイルされた例)を実行することで確認できます:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

ここでは、デフォルトで選択されている暗号スイートが表示されています。これらのデフォルト値は、OpenSSLの
バージョンが1.0.1より古いシステムで動作する Zabbix agent との相互運用性を確保するために選ばれました。

新しいシステムでは、PFS(Perfect Forward Secrecy)を使用する暗号化方式のみなど、一部の暗号化方式のみを許可することで
セキュリティを強化することが可能です。ここでは、TLSCipher* パラメータを使って、PFSを持つ暗号スイートだけを
許可するようにしてみましょう。

PSKを使用した場合、OpenSSL 1.0.1および1.0.2を使用したシステムと相互運用できません。
証明書ベースの暗号化は動作するはずです。

設定ファイル test.conf に2行を追加します:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

再度テストします:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

"certificate ciphersuites"と "PSK ciphersuites" のリストが変更され、以前より短くなり、予想通りTLS 1.3暗号スイートと
TLS 1.2 ECDHE-* 暗号スイートのみが含まれています。

2. TLSCipherAll と TLSCipherAll13 は zabbix_sender ではテストできません。TLSCipherAll と TLSCipherAll13 を
調整するには、agent、proxy、または server で実験する必要があります。

したがって、PFS 暗号スイートのみを許可するには、最大で 3 つのパラメータを追加する必要があります。

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

を zabbix_agentd.conf, zabbix_proxy.conf, zabbix_server_conf に追加する必要があります。

Zabbix環境がPSKベースの暗号化のみを使用し、証明書を使用しない場合は、1つだけにしてください:

  TLSCipherPSK=kECDHEPSK+AES128

この仕組みを理解した上で、Zabbixの外でもopensslコマンドを使用して暗号化方式をテストすることができます。
3つの TLSCipher* パラメータ値すべてをテストしてみましょう。:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

より詳細な出力を得たい場合は、openssl ciphers-V オプションを指定することをお勧めします:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

同様に、GnuTLS の優先度文字列をテストすることができます:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
AES128からAES256への切り替え

Zabbixはデータ用のビルトインデフォルトとしてAES128を使用しています。証明書を使用していて、OpenSSL 1.1.1 の
AES256 に切り替えたい場合を考えてみましょう。

これは、zabbix_server.confに各パラメータを追加することで実現可能です:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

証明書関連の暗号スイートのみが使用されますが、より広い相互運用性のために、安全性の低い暗号を含むデフォルト値を 避けるために、 TLSCipherPSK* パラメータも定義されています。PSK暗号スイートは、server / proxy で完全に無効に することはできません。

zabbix_agentd.conf でも:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy