13 Складиштење тајни

Преглед

Zabbix се може конфигурисати за преузимање осетљивих информација из безбедног трезора. Подржане су следеће услуге тајног управљања: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Тајне се могу користити за проналажење:

• вредности макроа корисника
• акредитиве за приступ бази података

Zabbix обезбеђује приступ тајнама у трезору само за читање, под претпоставком да тајнама управља неко други.

За информације о специфичној конфигурацији добављача трезора, погледајте:

• HashiCorp конфигурација
• Конфигурација CyberArk

Кеширање тајних вредности

Вредности макроа тајне трезора преузима Zabbix сервер при сваком освежавању конфигурационих података и затим их чува у кешу конфигурације. Zabbix прокси прима вредности тајних макроа трезора са Zabbix сервера при свакој синхронизацији конфигурације и складишти их у сопственој конфигурационој кеш меморији.

Да бисте ручно покренули освежавање кешираних тајних вредности из трезора, користите командну линију 'secrets_reload' опција.

За Zabbix кориснички интерфејс базу података кеширање је подразумевано онемогућено, али се може омогућити постављањем опције $DB['VAULT_CACHE'] = true у zabbix.conf.php. Акредитиви ће бити ускладиштени у локалном кешу користећи привремени директоријум датотека система датотека. Веб сервер мора да дозволи писање у приватној привременој фасцикли (на пример, за Апацхе мора бити подешена опција конфигурације PrivateTmp=True). Да бисте контролисали колико често се кеш података освежава/поништава, користите ZBX_DATA_CACHE_TTL константа.

TLS конфигурација

Да бисте конфигурисали TLS за комуникацију између Zabbix компоненти и трезора, додајте сертификат који је потписао ауторитет сертификата (CA) у подразумевано складиште CA на нивоу система. Да бисте користили другу локацију, наведите директоријум у конфигурационом параметру SSLCALocation Zabbix сервер/прокси поставите датотеку сертификата у тај директоријум, а затим покрените CLI команда:

c_rehash .