Zabbix es pot configurar per recuperar informació confidencial d'un vault segur. S'admeten els següents serveis de gestió secreta: HashiCorp Vault KV Secrets Engine - versió 2, CyberArk Vault CV12.
Els secrets es poden emprar per recuperar:
Zabbix proporciona accés només de lectura als secrets d'un vault, assumint que els secrets els gestiona una altra persona.
Per obtindre informació sobre la configuració específica del proveïdor de vault, consulteu:
El servidor Zabbix recupera els valors de la macro secreta de Vault a cada actualització de les dades de configuració i després els emmagatzema a la memòria cau de configuració. El proxy de Zabbix rep valors de macros secretes de vault del servidor Zabbix a cada sincronització de configuració i els emmagatzema a la seva pròpia memòria cau de configuració.
El xifrat ha de ser habilitat entre el servidor Zabbix i el proxy; en cas contrari, es registra un missatge d'avís del servidor.
Per activar manualment l'actualització dels valors secrets a la memòria cau des d'una caixa de seguretat, empreu la línia d'ordres 'secrets_reload' opció.
Per a les credencials de la base de dades frontal Zabbix, l'emmagatzematge en memòria cau és desactivat per defecte, però es pot activar configurant l'opció $DB['VAULT_CACHE'] = true
a zabbix.conf.php. Les credencials s'emmagatzemaran en una memòria cau local mitjançant el directori de fitxers temporals del sistema de fitxers. El servidor web ha de permetre l'escriptura en una carpeta temporal privada (per exemple, per a Apache s'ha d'establir l'opció de configuració PrivateTmp=True
). Per controlar amb quina freqüència s'actualitza/invalida la memòria cau de dades, empreu la constant ZBX_DATA_CACHE_TTL.
Per configurar TLS per a la comunicació entre els components del Zabbix i la volta, afegiu un certificat signat per una autoritat de certificació (CA) al magatzem de CA predeterminat de tot el sistema. Per emprar una altra ubicació, especifiqueu el directori al paràmetre de configuració SSLCALocation Zabbix servidor/proxy, poseu el fitxer de certificat dins d'aquest directori i, a continuació, executeu l'[ordre] CLI (https://www.openssl.org/docs/manmaster/man1/c_rehash.html):