Documentation

This is a translation of the original English documentation page. Help us make it better.
1 Handmatige structuur
2 Wat is Zabbix
3 Zabbix-functies
4 Zabbix overzicht
5 What's new in Zabbix 7.0.0
6 What's new in Zabbix 7.0.1
7 What's new in Zabbix 7.0.2
8 What's new in Zabbix 7.0.3
9 What's new in Zabbix 7.0.4
10 What's new in Zabbix 7.0.5
11 What's new in Zabbix 7.0.6
2. Definities
1 Hoge beschikbaarheid
2 Agent
3 Agent 2
4 Proxy
1 Instellen vanuit bronnen
2 Installatie vanaf RHEL pakketten
3 Setup vanuit Debian/Ubuntu-pakketten
6 Sender
7 Get
8 JS
9 Webservice
1 Zabbix verkrijgen
1 PostgreSQL-plug-ins afhankelijkheden
2 MongoDB-plug-ins afhankelijkheden
1 Zabbix-agent bouwen op Windows
2 Zabbix agent 2 bouwen op Windows
3 Zabbix-agent bouwen op macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise-server
4 Windows agent installatie van MSI
5 Mac OS-agentinstallatie vanaf PKG
6 Onstabiele releases
5 Installatie vanuit containers
6 Installatie van de webinterface
1 Upgrade van sources
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Upgrade vanuit containers
1 Compilation issues
9 Wijzigingen in sjablonen
10 Upgrade notes for 7.0.0
12 Upgrade notes for 7.0.1
13 Upgrade notes for 7.0.2
14 Upgrade notes for 7.0.3
15 Upgrade notes for 7.0.4
16 Upgrade notes for 7.0.5
17 Upgrade notes for 7.0.6
1 Inloggen en gebruiker configureren
2 Nieuwe host
3 Nieuw item
4 Nieuwe trigger
5 Probleemmelding ontvangen
6 Nieuw template
6. Zabbix appliance
1 Configuratie van een host
2 Inventaris
3 Massa update
1 Indeling van item-sleutel
2 Aangepaste intervallen
1 Gebruiksvoorbeelden
1 Preprocessing testing
2 Voorverwerkingsdetails
1 Escapen van speciale tekens in LLD-macrowaarden in JSONPath
1 Extra JavaScript-objecten
2 Browser item JavaScript objects
5 CSV naar JSON voorverwerking
1 Zabbix agent 2
2 Windows Zabbix agent
1 Dynamische indexen
3 MIB bestanden
Speciale OIDs
3 SNMP traps
4 IPMI-controles
1 VMware monitoring item sleutels
6 Log file monitoring
1 Geaggregeerde berekeningen
8 Interne controles
9 SSH controles
10 Telnet controles
11 Externe Controles
12 Trapper items
13 JMX bewaking
14 ODBC-bewaking
15 Afhankelijke items
16 HTTP agent
17 Prometheus controles
18 Script-items
19 Browser items
4 Geschiedenis en trends
1 Zabbix-agents uitbreiden
6 Windows performance counters
7 Massa update
8 Waarde mapping
9 Wachtrij
10 Waarde cache
11 Nu uitvoeren
12 Beperken van agent controles
1 Een trigger configureren
2 Trigger-expressie
3 Trigger afhankelijkheden
4 Trigger ernst
5 Aanpassen van trigger ernstgraden
6 Massa-update
7 Voorspellende triggerfuncties
1 Trigger event genereren
2 Andere gebeurtenis bronnen
3 Handmatig sluiten van problemen
1 Op triggers gebaseerde gebeurteniscorrelatie
2 Global event correlation
6 Taggen
1 Simpele grafieken
2 Aangepaste grafieken
3 Ad-hoc grafieken
4 Aggregatie in grafieken
1 Een netwerk map configureren
2 Host groep elementen
3 Verbindingsindicatoren
3 Dashboards
1 Een sjabloon configureren
2 Koppelen/ontkoppelen
3 Nesting
4 Massa-update
1 Zabbix agent template werking
2 Zabbix agent 2 template werking
3 HTTP sjabloon werking
6 ODBC template werking
7 Gestandaardiseerde sjablonen voor netwerkapparaten
8 VMware template operation
ipmi
jmx
1 Email
2 SMS
3 Aangepaste waarschuwingsscripts
1 Webhook-scriptvoorbeelden
1 Voorwaarden
1 Bericht verzenden
2 Remote opdrachten
3 Extra operaties
4 Macro’s gebruiken in berichten
3 Hersteloperaties
4 Update operaties
5 Escalaties
3 Melding ontvangen over niet-ondersteunde items
1 Macrofuncties
2 Gebruikersmacro's
3 Gebruikersmacro's met context
4 Secret user macros
5 Low-level discovery macro's
6 Expressie macro's
1 Een gebruiker configureren
2 Machtigingen
3 Gebruikersgroepen
1 CyberArk-configuratie
2 HashiCorp-configuratie
14 Geplande rapporten
1 Exporteren naar bestanden
2 Streaming naar externe systemen
3 SNMP gateway
1 Serviceoverzicht
2 SLA
3 Installatie voorbeeld
1 Web monitoring items
2 Real-life scenario
1 VMware monitoring item sleutels
2 Velden voor ontdekkingssleutels van virtuele machines
3 JSON-voorbeelden voor VMware-items
4 VMware monitoring setup voorbeeld
11 Onderhoud
12 Reguliere expressies
1 Probleem onderdrukking
1 Template groepen
2 Hostgroepen
2 Sjablonen
3 Hosts
5 Netwerk maps
6 Media types
1 Een netwerkdetectieregel configureren
2 Automatische registratie van actieve agenten
1 Item prototypes
2 Triggerprototypen
3 Grafiek-prototypen
4 Host-prototypes
5 Opmerkingen over low-level discovery
1 Ontdekking van gekoppelde bestandssystemen
2 Discovery of network interfaces
4 Ontdekking van SNMP OID's
5 Discovery van SNMP OIDs (legacy)
6 Discovery van JMX objects
7 Discovery van IPMI sensors
8 Discovery van systemd services
9 Discovery van Windows services
10 Discovery van Windows prestatie teller instanties
11 Discovery met behulp van WMI queries
12 Discovery aan de hand van ODBC SQL queries
13 Discovery door gebruik van Prometheus data
14 Ontdekking van blokapparaten
15 Discovery van host interfaces in Zabbix
Discovery of CPUs and CPU cores
7 Custom LLD rules
1 Synchronisatie van bewakingsconfiguratie
2 Proxy load balancing
1 Certificaten gebruiken
2 Gebruik van vooraf gedeelde sleutels
1 Verbindingstype of toestemmingsproblemen
2 Certificate problems
3 PSK Problemen
1 Event menu
2 Host menu
3 Item menu
1 Actielogboek
2 Klok
3 Gegevensoverzicht
4 Ontdekkingsstatus
5 Favoriete grafieken
6 Favoriete kaarten
7 Geomap
8 Grafiek
9 Grafiek (klassiek)
10 Grafiek-prototype
11 Beschikbaarheid van hosts
12 Honeycomb
12 Item waarde
13 Kaart
14 Host navigator
14 Kaart navigatieboom
15 Item history
15 Item navigator
16 Pie chart
16 Probleemhosts
17 Problemen
18 Problemen volgens ernst
19 SLA rapport
20 Systeeminformatie
21 Top hosts
22 Triggeroverzicht
23 Top triggers
23 URL
24 Web monitoring
25 Gauge
1 Problemen met oorzaken en symptomen
1 Grafieken
2 Host dashboards
2 Web scenarios
3 Laatste gegevens
4 Kaarten
5 Discovery
1 Services
2 SLA
3 SLA rapport
1 Overzicht
2 Hosts
1 Systeeminformatie
2 Geplande rapporten
3 Beschikbaarheidsrapport
4 Triggers top 100
5 Audit logboek
6 Actie logboek
7 Meldingen
1 Host groepen
1 Sjabloon groepen
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
5 Maintenance
6 Correlatie van gebeurtenissen
7 Ontdekking
5 Acties
7 Media types
8 Scripts
3 Gebruikers
4 API tokens
4 Gebruikers groepen
1 HTTP
2 LDAP
3 SAML
4 MFA
5 Gebruikers rollen
1 Algemeen
2 Audit log
3 Housekeeping
4 Proxies
4 Proxy groups
5 Macros
6 Wachtrij
1 Globale meldingen
2 Geluid in browsers
4 Globaal zoeken
5 Frontend-onderhoudsmodus
6 Paginaparameters
7 Definities
8 Aanmaken van eigen thema
9 Debug modus
10 Cookies gebruikt door Zabbix
11 Tijdzones
13 Wachtwoord opnieuw instellen
14 Time period selector
1 Securing MySQL/MariaDB
2 Securing PostgreSQL/TimescaleDB
3 Securing Oracle
2 Cryptography
3 Web server
2 Configuration best practices
> Actie-object
actie.maken
actie.update
action.delete
action.get
> Afbeeldingsobject
afbeelding.update
afbeelding.verwijderen
image.create
image.get
apiinfo.versie
> Item prototype-object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Auditlog-object
auditlog.get
> Authenticatie-object
authenticatie.get
authentication.update
> Autoregistratie-object
autoregistration.get
autoregistration.update
configuratie.export
configuratie.import
configuratie.importvergelijking
> Connector object
connector.create
connector.delete
connector.get
connector.update
> Correlatie-object
correlatie.creëren
correlatie.delete
correlation.get
correlation.update
> Dashboardobject
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Actielogboek
2 Klok
3 Gegevensoverzicht
4 Ontdekkingsstatus
5 Favoriete grafieken
6 Favoriete kaarten
7 Wijzer
8 Geografische kaart
8 Grafiek
9 Grafiek (klassiek)
10 Grafiek-prototype
11 Beschikbaarheid van hosts
12 Honingraat
12 Item waarde
13 Kaart
14 Hostnavigator
14 Kaart navigatieboom
15 Itemgeschiedenis
16 Itemnavigator
16 Probleemhosts
17 Problemen
18 Problemen volgens ernst
19 SLA rapport
20 Cirkeldiagram
20 Systeeminformatie
22 Trigger overzicht
26 Top hosts
27 Toptriggers
29 URL
30 Webmonitoring
> Gebeurtenisobject
event.acknowledge
event.get
> Host-object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Gebruikersobject
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
> Gebruikersgroepsobject
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Gebruikersmacro-object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Gebruikersdirectory-object
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> Geschiedenisobject
history.clear
history.get
history.push
> Grafiekobject
grafiek.creëren
grafiek.get
grafiek.update
grafiek.verwijderen
> Grafiek item-object
graphitem.get
> Grafiek prototype-object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Hostinterface-object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Host-groepsobject
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Actie-object
settings.get
settings.update
> Item-object
item.create
item.delete
item.get
item.update
> Kaartobject
kaart.update
map.create
map.delete
map.get
> LLD-regelobject
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Mediatype-object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
MFA-object
mfa.create
mfa.delete
mfa.get
mfa.update
> Module object
module.create
module.delete
module.get
module.update
> Knooppuntobject met hoge beschikbaarheid
hanode.get
> Onderhoudsobject
maintenance.create
maintenance.delete
maintenance.get
onderhoud.update
> Discovery-controleobject
dcheck.get
> Ontdekkingsregelobject
drule.create
drule.delete
drule.get
drule.update
> Serviceobject ontdekt
dservice.get
> Ontdekt host object
dhost.get
> Pictogram kaartobject
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Probleem object
problem.get
Proxygroepobject
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
> Rapporteer object
report.create
report.delete
report.get
report.update
> Reguliere expressie-object
regexp.create
regexp.delete
regexp.get
regexp.update
> Rolobject
role.create
role.delete
role.get
role.update
> Host-object
housekeeping.update
huishouding.get
> Kaartobject
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Service-object
service.create
service.delete
service.get
service.update
> Rapporteer object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Sjabloon dashboardobject
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Sjabloon groep object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> SLA-object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Taakobject
task.create
task.get
> Token-object
token.create
token.delete
token.generate
token.get
token.update
> Trendobject
trend.get
> Trigger-object
trigger.create
trigger.get
trigger.update
trigger.verwijderen
> Item prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Proxy-object
proxy.create
proxy.delete
proxy.get
proxy.update
> Waardekaartobject
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Waarschuwingsobject
alert.get
> Webscenario-object
httptest.create
httptest.delete
httptest.get
httptest.update
Bijlage 1. Referentie commentaar
Bijlage 2. Wijzigingen van 6.4 naar 7.0
Bijlage 3. Wijzigingen in 7.0
1 Loadable modules
1 Laadbare plugins bouwen
3 Frontend modules
1 Database maken
2 Tekenset en sortering van Zabbix-database herstellen
3 Database-upgrade naar primaire sleutels
4 Auditlogtabel voorbereiden voor partitionering
1 MySQL encryptie configuratie
2 PostgreSQL encryptie configuratie
5 TijdschaalDB-configuratie
6 Elasticsearch-configuratie
7 Distributie specifieke noties voor de setup van Nginx voor Zabbix
10 Zabbix-agent op Microsoft Windows
11 SAML-configuratie met Okta
11 SAML-installatie met Microsoft Azure AD
12 Oracle-database instellen
13 Geplande rapporten instellen
13 SAML-installatie met OneLogin
15 Upgrading to numeric values of extended range
16 Extra frontend talen
Zabbix agent 2
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix-agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph plugin
2 Docker plugin
3 Ember+-plug-in
4 Memcached plug-in
5 Modbus-plug-in
6 MongoDB-plug-in
7 MQTT-plug-in
8 MSSQL-plug-in
9 MySQL plug-in
10 Oracle plug-in
11 PostgreSQL plug-in
12 Redis plug-in
13 Smart plug-in
8 Zabbix Java-gateway
9 Zabbix web service
10 Inclusie
1 Server-proxy data-uitwisselingsprotocol
2 Zabbix-agent protocol
4 Header
4 Zabbix agent 2 plugin protocol
5 Zabbix-zenderprotocol
7 Protocol voor exporteren in JSON-indeling met scheidingstekens voor nieuwe regels
1 vm.memory.size parameters
2 Passive and active agent checks
4 Minimaal machtigingsniveau voor Windows-agent items
5 Codering van geretourneerde waarden
6 Ondersteuning voor grote bestanden
7 Sensor
8 Opmerkingen over memtype-parameter in proc.mem-items
9 Notities over het selecteren van processen in proc.mem- en proc.num-items
10 Implementatiedetails van net.tcp.service en net.udp.service controles
11 proc.get parameters
12 Onbereikbare/niet beschikbare hostinterface-instellingen
13 Controle op afstand van Zabbix-statistieken
14 Kerberos configureren met Zabbix
15 modbus.get-parameters
16 Aangepaste prestatie teller items aanmaken voor VMware
16 Return values for system.sw.packages.get
17 Return values for net.dns.get
1 Foreach-functies
2 Bitwise functies
3 Datum en tijd functies
4 Geschiedenisfuncties
5 Trendfuncties
6 Wiskundige functies
7 Operator functies
8 Voorspellingsfuncties
9 Tekstfuncties
1 Ondersteunde macro's
2 Gebruikersmacro's ondersteund door locatie
8 Eenheidssymbolen
9 Syntaxis van tijdsperiode
10 Uitvoering van commando's
11 Versie compatibiliteit
12 Database foutafhandeling
13 Zabbix verzender dynamische koppelingsbibliotheek voor Windows
14 Python library for Zabbix API
16 Vergelijking tussen Agent en Agent 2
17 Upgrade van servicebewaking
18 Andere problemen
18 Voorbeelden van escapes
1 Monitor Linux met Zabbix agent
2 Monitor Windows met Zabbix agent
3 Monitor Apache via HTTP
4 Monitor MySQL met Zabbix agent 2
5 VMware monitoren met Zabbix
5. Monitor network traffic with Zabbix
7 Monitor network traffic using active checks
8 Monitor websites with Browser items
manifest.json
Acties
Views
Assets
Een nieuwe module registreren
Configuratie
Presentatie
Maak een module (handleiding)
Maak een widget (handleiding)
Voorbeelden
Voorbeelden
Maak een plug-in (handleiding)
Plug-in-interfaces
Wijzigingen in extensieontwikkeling
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 Encryptie

Overzicht

Zabbix ondersteunt versleutelde communicatie tussen Zabbix-componenten met behulp van het Transport Layer Security (TLS) protocol v1.2 en 1.3 (afhankelijk van de gebruikte cryptobibliotheek). Versleuteling op basis van certificaten en pre-shared keys (PSK) wordt ondersteund.

Versleuteling kan geconfigureerd worden voor verbindingen:

Versleuteling is optioneel en kan individueel geconfigureerd worden voor verschillende componenten:

  • Sommige proxies en agents kunnen geconfigureerd worden om certificaat-gebaseerde versleuteling met de server te gebruiken, terwijl andere PSK-gebaseerde versleuteling gebruiken, en weer andere doorgaan met onversleutelde communicatie (zoals voorheen).
  • De server (proxy) kan verschillende versleutelingsconfiguraties gebruiken voor verschillende hosts.

Zabbix-daemonprogramma's gebruiken één luisterpoort voor zowel versleutelde als onversleutelde inkomende verbindingen. Het toevoegen van versleuteling vereist geen nieuwe poorten openen in firewalls.

Beperkingen

  • Privésleutels worden onversleuteld opgeslagen in bestanden die leesbaar zijn voor Zabbix-componenten tijdens het opstarten.
  • Pre-shared keys worden ingevoerd in de Zabbix frontend en worden onversleuteld in de Zabbix-database opgeslagen.
  • Ingebouwde versleuteling beschermt communicatie niet:
    • Tussen de webserver waarop de Zabbix frontend draait en de webbrowser van de gebruiker.
    • Tussen Zabbix frontend en Zabbix server.
  • Momenteel wordt elke versleutelde verbinding geopend met een volledige TLS-handshake, er is geen sessie-caching en tickets geïmplementeerd.
  • Het toevoegen van versleuteling verhoogt de tijd die nodig is voor het controleren van items en acties, afhankelijk van de netwerklatentie:
    • Bijvoorbeeld, als de vertraging in de pakketten 100 ms is, dan duurt het ongeveer 200 ms om een TCP-verbinding te openen en een onversleuteld verzoek te verzenden. Met versleuteling wordt ongeveer 1000 ms toegevoegd voor het opzetten van de TLS-verbinding.
    • Time-outs moeten mogelijk worden verhoogd, anders kunnen sommige items en acties die externe scripts op agents uitvoeren werken met onversleutelde verbindingen, maar mislukken met time-outs bij versleutelde verbindingen.
  • Versleuteling wordt niet ondersteund door netwerkontdekking. Zabbix-agentcontroles uitgevoerd door netwerkontdekking zullen niet versleuteld zijn, en als de Zabbix-agent is geconfigureerd om onversleutelde verbindingen te weigeren, zullen dergelijke controles niet slagen.

Zabbix compileren met ondersteuning voor versleuteling

Om versleuteling te ondersteunen, moet Zabbix worden gecompileerd en gekoppeld met een van de ondersteunde cryptobibliotheken:

  • GnuTLS - vanaf versie 3.1.18
  • OpenSSL - versies 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x
  • LibreSSL - getest met versies 2.7.4, 2.8.2:
    • LibreSSL 2.6.x wordt niet ondersteund
    • LibreSSL wordt ondersteund als een compatibele vervanging van OpenSSL; de nieuwe tls_*() specifieke API-functies van LibreSSL worden niet gebruikt. Zabbix-componenten die zijn gecompileerd met LibreSSL kunnen geen PSK gebruiken, alleen certificaten kunnen worden gebruikt.

U kunt meer te weten komen over het instellen van SSL voor de Zabbix frontend door te verwijzen naar deze best practices.

De bibliotheek wordt geselecteerd door de respectievelijke optie aan te geven aan het "configure" script:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (ook gebruikt voor LibreSSL)

Bijvoorbeeld, om de broncode voor de server en agent te configureren met OpenSSL kunt u iets als volgt gebruiken:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Verschillende Zabbix-componenten kunnen worden gecompileerd met verschillende cryptobibliotheken (bijv. een server met OpenSSL, een agent met GnuTLS).

Als u van plan bent om pre-shared keys (PSK) te gebruiken, overweeg dan om GnuTLS of OpenSSL 1.1.0 (of nieuwer) bibliotheken te gebruiken in Zabbix-componenten die PSK's gebruiken. GnuTLS en OpenSSL 1.1.0 bibliotheken ondersteunen PSK-ciphersuites met Perfect Forward Secrecy. Oudere versies van de OpenSSL-bibliotheek (1.0.1, 1.0.2c) ondersteunen ook PSK's, maar beschikbare PSK-ciphersuites bieden geen Perfect Forward Secrecy.

Beheer van verbindingssleutels

Verbindingen in Zabbix kunnen gebruikmaken van:

Er zijn twee belangrijke parameters die worden gebruikt om versleuteling tussen Zabbix-componenten te specificeren:

  • TLSConnect - geeft aan welke versleuteling moet worden gebruikt voor uitgaande verbindingen (ongecodeerd, PSK of certificaat)
  • TLSAccept - geeft aan welke typen verbindingen zijn toegestaan voor inkomende verbindingen (ongecodeerd, PSK of certificaat). Er kunnen één of meer waarden worden gespecificeerd.

TLSConnect wordt gebruikt in de configuratiebestanden voor Zabbix-proxy's (in actieve modus, specificeert alleen verbindingen met de server) en Zabbix-agenten (voor actieve controles). In de Zabbix-frontend is het equivalent van TLSConnect het veld Verbindingen met host in het tabblad Gegevensverzameling → Hosts → <een bepaalde host> en het veld Verbindingen met proxy in het tabblad Beheer → Proxies → <een bepaalde proxy>. Als het geconfigureerde versleutelingstype voor de verbinding mislukt, worden er geen andere versleutelingstypen geprobeerd.

TLSAccept wordt gebruikt in de configuratiebestanden voor Zabbix-proxy's (in passieve modus, specificeert alleen verbindingen vanaf de server) en Zabbix-agenten (voor passieve controles). In de Zabbix-frontend is het equivalent van TLSAccept het veld Verbindingen vanaf host in het tabblad Gegevensverzameling → Hosts → <een bepaalde host> en het veld Verbindingen vanaf proxy in het tabblad Beheer → Proxies → <een bepaalde proxy>.

Normaal gesproken configureert u slechts één type versleuteling voor inkomende versleutelingen. Maar u wilt mogelijk het versleutelingstype wijzigen, bijvoorbeeld van ongecodeerd naar op certificaat gebaseerd met minimale downtime en de mogelijkheid om terug te rollen. Om dit te bereiken:

  • Stel TLSAccept=unencrypted,cert in het configuratiebestand van de agent in en herstart de Zabbix-agent.
  • Test de verbinding met zabbix_get naar de agent met behulp van een certificaat. Als het werkt, kunt u de versleuteling opnieuw configureren voor die agent in de Zabbix-frontend in het tabblad Gegevensverzameling → Hosts → <een bepaalde host> door Verbindingen met host in te stellen op "Certificaat".
  • Wanneer de configuratiecache van de server wordt bijgewerkt (en de proxyconfiguratie wordt bijgewerkt als de host wordt gemonitord door een proxy), worden de verbindingen met die agent versleuteld.
  • Als alles zoals verwacht werkt, kunt u TLSAccept=cert in het configuratiebestand van de agent instellen en de Zabbix-agent opnieuw starten. Nu zal de agent alleen versleutelde certificaatgebaseerde verbindingen accepteren. Ongecodeerde en PSK-gebaseerde verbindingen worden afgewezen.

Op een vergelijkbare manier werkt dit op de server en proxy. Als in de Zabbix-frontend in de hostconfiguratie Verbindingen vanaf host is ingesteld op "Certificaat", worden alleen certificaatgebaseerde versleutelde verbindingen geaccepteerd van de agent (actieve controles) en zabbix_sender (trapper-items).

Waarschijnlijk configureert u inkomende en uitgaande verbindingen om hetzelfde versleutelingstype te gebruiken of helemaal geen versleuteling. Maar technisch gezien is het mogelijk om het asymmetrisch te configureren, bijvoorbeeld certificaatgebaseerde versleuteling voor inkomende en PSK-gebaseerde versleuteling voor uitgaande verbindingen.

De versleutelingsconfiguratie voor elke host wordt weergegeven in de Zabbix-frontend, in Gegevensverzameling → Hosts in de kolom Agentversleuteling. Bijvoorbeeld:

Voorbeeld Verbindingen met host Toegestane verbindingen vanaf host Afgewezen verbindingen vanaf host
none_none.png Ongecodeerd Ongecodeerd Gecodeerd, certificaat- en PSK-gecodeerd
cert_cert.png Gecodeerd, certificaatgebaseerd Gecodeerd, certificaatgebaseerd Ongecodeerd en PSK-gecodeerd
psk_psk.png Gecodeerd, PSK-gebaseerd Gecodeerd, PSK-gebaseerd Ongecodeerd en certificaatgecodeerd
psk_none_psk.png Gecodeerd, PSK-gebaseerd Ongecodeerd en PSK-gecodeerd Certificaatgebaseerd gecodeerd
cert_all.png Gecodeerd, certificaatgebaseerd Ongecodeerd, PSK of certificaatgebaseerd gecodeerd -

Standaard zijn verbindingen niet versleuteld. Versleuteling moet individueel worden geconfigureerd voor elke host en proxy.

zabbix_get en zabbix_sender met versleuteling

Zie de manpagina's voor zabbix_get en zabbix_sender voor het gebruik ervan met versleuteling.

Ciphersuites

Ciphersuites worden standaard intern geconfigureerd tijdens het opstarten van Zabbix en zijn vóór Zabbix 4.0.19, 4.4.7, niet configureerbaar door de gebruiker.

Sinds Zabbix 4.0.19, 4.4.7 worden ook door de gebruiker geconfigureerde ciphersuites ondersteund voor GnuTLS en OpenSSL. Gebruikers kunnen ciphersuites configureren volgens hun beveiligingsbeleid. Het gebruik van deze functie is optioneel (ingebouwde standaard ciphersuites werken nog steeds).

Voor cryptobibliotheken die zijn gecompileerd met standaardinstellingen leiden de ingebouwde regels van Zabbix doorgaans tot de volgende ciphersuites (in volgorde van hogere naar lagere prioriteit):

Bibliotheek Certificaat ciphersuites PSK ciphersuites
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Gebruiker-geconfigureerde ciphersuites

De ingebouwde criteria voor ciphersuite-selectie kunnen worden overschreven met gebruiker-geconfigureerde ciphersuites.

Gebruiker-geconfigureerde ciphersuites is een functie bedoeld voor gevorderde gebruikers die TLS-ciphersuites begrijpen, hun beveiliging en de gevolgen van fouten kennen, en die vertrouwd zijn met TLS probleemoplossing.

De ingebouwde criteria voor ciphersuite-selectie kunnen worden overschreven met behulp van de volgende parameters:

Scope van overschrijving Parameter Waarde Omschrijving
Ciphersuite-selectie voor certificaten TLSCipherCert13 Geldige OpenSSL 1.1.1 ciphersnaren voor TLS 1.3-protocol (hun waarden worden doorgegeven aan de OpenSSL-functie SSL_CTX_set_ciphersuites()). Ciphersuite-selectiecriteria op basis van certificaten voor TLS 1.3

Alleen OpenSSL 1.1.1 of nieuwer.
TLSCipherCert Geldige OpenSSL ciphersnaren voor TLS 1.2 of geldige GnuTLS prioriteitssnaren. Hun waarden worden respectievelijk doorgegeven aan de functies SSL_CTX_set_cipher_list() of gnutls_priority_init(). Ciphersuite-selectiecriteria op basis van certificaten voor TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Ciphersuite-selectie voor PSK TLSCipherPSK13 Geldige OpenSSL 1.1.1 ciphersnaren voor TLS 1.3-protocol (hun waarden worden doorgegeven aan de OpenSSL-functie SSL_CTX_set_ciphersuites()). Ciphersuite-selectiecriteria op basis van PSK voor TLS 1.3

Alleen OpenSSL 1.1.1 of nieuwer.
TLSCipherPSK Geldige OpenSSL ciphersnaren voor TLS 1.2 of geldige GnuTLS prioriteitssnaren. Hun waarden worden respectievelijk doorgegeven aan de functies SSL_CTX_set_cipher_list() of gnutls_priority_init(). Ciphersuite-selectiecriteria op basis van PSK voor TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Gecombineerde ciphersuitelijst voor certificaat en PSK TLSCipherAll13 Geldige OpenSSL 1.1.1 ciphersnaren voor TLS 1.3-protocol (hun waarden worden doorgegeven aan de OpenSSL-functie SSL_CTX_set_ciphersuites()). Ciphersuite-selectiecriteria voor TLS 1.3

Alleen OpenSSL 1.1.1 of nieuwer.
TLSCipherAll Geldige OpenSSL ciphersnaren voor TLS 1.2 of geldige GnuTLS prioriteitssnaren. Hun waarden worden respectievelijk doorgegeven aan de functies SSL_CTX_set_cipher_list() of gnutls_priority_init(). Ciphersuite-selectiecriteria voor TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Om de ciphersuite-selectie te overschrijven in zabbix_get en zabbix_sender hulpprogramma's - gebruik de commandoregelparameters:

  • --tls-cipher13
  • --tls-cipher

De nieuwe parameters zijn optioneel. Als een parameter niet is opgegeven, wordt de interne standaardwaarde gebruikt. Als een parameter is gedefinieerd, kan deze niet leeg zijn.

Als het instellen van een TLSCipher* waarde in de cryptobibliotheek mislukt, zal de server, proxy of agent niet starten en wordt er een fout gelogd.

Het is belangrijk om te begrijpen wanneer elke parameter van toepassing is.

Uitgaande verbindingen

Het eenvoudigste geval betreft uitgaande verbindingen:

  • Voor uitgaande verbindingen met certificaat - gebruik TLSCipherCert13 of TLSCipherCert
  • Voor uitgaande verbindingen met PSK - gebruik TLSCipherPSK13 of TLSCipherPSK
  • In geval van de hulpprogramma's zabbix_get en zabbix_sender kunnen de commandoregelparameters --tls-cipher13 of --tls-cipher worden gebruikt (versleuteling wordt ondubbelzinnig gespecificeerd met een --tls-connect parameter)
Inkomende verbindingen

Het is iets gecompliceerder met inkomende verbindingen omdat de regels specifiek zijn voor componenten en configuratie.

Voor de Zabbix agent:

Instelling agentverbinding Ciphersuite-configuratie
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Voor Zabbix server en proxy:

Verbindingsinstelling Ciphersuite-configuratie
Uitgaande verbindingen met PSK TLSCipherPSK, TLSCipherPSK13
Inkomende verbindingen met certificaten TLSCipherAll, TLSCipherAll13
Inkomende verbindingen met PSK als server geen certificaat heeft TLSCipherPSK, TLSCipherPSK13
Inkomende verbindingen met PSK als server wel een certificaat heeft TLSCipherAll, TLSCipherAll13

In de twee bovenstaande tabellen kan een patroon worden waargenomen:

  • TLSCipherAll en TLSCipherAll13 kunnen alleen worden opgegeven als een gecombineerde lijst van certificaat- en PSK-gebaseerde ciphersuites wordt gebruikt. Er zijn twee gevallen waarin dit het geval is: server (proxy) met een geconfigureerd certificaat (PSK-ciphersuites zijn altijd geconfigureerd op de server, proxy als de cryptobibliotheek PSK ondersteunt), agent geconfigureerd om zowel inkomende verbindingen op basis van certificaten als PSK te accepteren
  • in andere gevallen zijn TLSCipherCert* en/of TLSCipherPSK* voldoende

De volgende tabellen tonen de ingebouwde standaardwaarden voor TLSCipher*. Deze kunnen een goed startpunt zijn voor uw eigen aangepaste waarden.

Parameter GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parameter OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Standaardwaarden verschillen voor oudere OpenSSL-versies (1.0.1, 1.0.2, 1.1.0), voor LibreSSL en als OpenSSL is gecompileerd zonder PSK-ondersteuning.

Voorbeelden van door de gebruiker geconfigureerde ciphersuites

Hieronder volgen enkele voorbeelden van door de gebruiker geconfigureerde ciphersuites:

Testen van ciphersnaren en alleen toestaan van PFS-ciphersuites

Om te zien welke ciphersuites zijn geselecteerd, moet je 'DebugLevel=4' instellen in het configuratiebestand, of de -vv optie gebruiken voor zabbix_sender.

Enig experiment met TLSCipher* parameters kan nodig zijn voordat je de gewenste ciphersuites krijgt. Het is onhandig om Zabbix-server, -proxy of -agent meerdere keren opnieuw te starten om TLSCipher* parameters aan te passen. Meer handige opties zijn het gebruik van zabbix_sender of het openssl commando. Laten we beide methoden bekijken.

1. Gebruik van zabbix_sender.

Laten we een testconfiguratiebestand maken, bijvoorbeeld /home/zabbix/test.conf, met de syntaxis van een zabbix_agentd.conf-bestand:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Je hebt geldige CA- en agentcertificaten en PSK nodig voor dit voorbeeld. Pas certificaat- en PSK-bestandspaden en -namen aan voor jouw omgeving.

Als je geen certificaten gebruikt, maar alleen PSK, kun je een eenvoudiger testbestand maken:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

De geselecteerde ciphersuites kunnen worden bekeken door zabbix_sender uit te voeren (voorbeeld gecompileerd met OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Hier zie je de standaard geselecteerde ciphersuites. Deze standaardwaarden zijn gekozen om interoperabiliteit te waarborgen met Zabbix-agents die draaien op systemen met oudere OpenSSL-versies (vanaf 1.0.1).

Met nieuwere systemen kun je ervoor kiezen om de beveiliging te verscherpen door alleen een paar ciphersuites toe te staan, bijvoorbeeld alleen ciphersuites met PFS (Perfect Forward Secrecy). Laten we proberen alleen ciphersuites met PFS toe te staan met behulp van de TLSCipher* parameters.

Het resultaat zal niet interoperabel zijn met systemen die OpenSSL 1.0.1 en 1.0.2 gebruiken, als PSK wordt gebruikt. Versleuteling op basis van certificaten zou moeten werken.

Voeg twee regels toe aan het test.conf configuratiebestand:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

en test opnieuw:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

De lijsten "certificate ciphersuites" en "PSK ciphersuites" zijn gewijzigd - ze zijn korter dan voorheen en bevatten alleen TLS 1.3 ciphersuites en TLS 1.2 ECDHE-* ciphersuites zoals verwacht.

2. TLSCipherAll en TLSCipherAll13 kunnen niet worden getest met zabbix_sender; ze beïnvloeden de waarde van "certificate and PSK ciphersuites" niet zoals in het bovenstaande voorbeeld. Om TLSCipherAll en TLSCipherAll13 aan te passen, moet je experimenteren met de agent, proxy of server.

Dus om alleen PFS-ciphersuites toe te staan, moet je mogelijk tot drie parameters toevoegen:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

aan zabbix_agentd.conf, zabbix_proxy.conf en zabbix_server_conf als elk van hen een geconfigureerd certificaat heeft en de agent ook PSK heeft.

Als jouw Zabbix-omgeving alleen op PSK-gebaseerde versleuteling gebruikt en geen certificaten, dan slechts één:

  TLSCipherPSK=kECDHEPSK+AES128

Nu je begrijpt hoe het werkt, kun je de ciphersuite-selectie testen, zelfs buiten Zabbix, met het openssl commando. Laten we alle drie de waarden van de TLSCipher* parameters testen:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Je kunt ook openssl ciphers met de optie -V gebruiken voor een meer gedetailleerde uitvoer:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

Op een vergelijkbare manier kun je de prioriteitssnaren testen voor GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Overschakelen van AES128 naar AES256

Zabbix gebruikt AES128 als de ingebouwde standaard voor gegevens. Laten we aannemen dat u certificaten gebruikt en wilt overschakelen naar AES256, op OpenSSL 1.1.1.

Dit kan worden bereikt door de respectieve parameters toe te voegen in zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Hoewel alleen cijfers met betrekking tot certificaten worden gebruikt, zijn de TLSCipherPSK* parameters ook gedefinieerd om de standaardwaarden te vermijden, die minder veilige cijfers bevatten voor bredere interoperabiliteit. PSK-cijfers kunnen niet volledig worden uitgeschakeld op server/proxy.

En in zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy