Documentation

1 Структура упутства
2 Шта је Zabbix
3 Zabbix карактеристике
4 Zabbix преглед
5 Шта је ново у Zabbix-у 7.0.0
6 Шта је ново у Zabbix-у 7.0.1
7 Шта је ново у Zabbix-у 7.0.2
8 Шта је ново у Zabbix-у 7.0.3
9 Шта је ново у Zabbix-у 7.0.4
10 Шта је ново у Zabbix-у 7.0.5
11 Шта је ново у Zabbix-у 7.0.6
12 Шта је ново у Zabbix-у 7.0.7
13 Шта је ново у Zabbix-у 7.0.8
14 Шта је ново у Zabbix-у 7.0.9
15 What's new in Zabbix 7.0.10
1 Висока доступност
2 Агент
3 Агент 2
4 Прокси
1 Подешавање из извора
2 Подешавање из RHEL пакета
3 Подешавање из Debian/Ubuntu пакета
6 Пошиљалац
7 Get
8 JS
9 Веб услуга
1 Преузимање Zabbix
1 Зависности PostgreSQL додатака
2 Зависности MongoDB додатака
1 Изградња Zabbix агента на Windows-у
2 Изградња Zabbix агента 2 на Windows-у
3 Компилација Zabbix агента на macOS-у
1 Red Hat Enterprise Linux и деривати
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Инсталација Windows агента из MSI-ја
5 Инсталација Mac OS агента из PKG-а
6 Нестабилна издања
5 Инсталација из контејнера
6 Инсталација веб интерфејса
1 Надоградња из извора
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Надоградња из контејнера
1 Проблеми са компилацијом
10 Промене шаблона
11 Напомене о надоградњи за 7.0.0
12 Напомене о надоградњи за 7.0.1
13 Напомене о надоградњи за 7.0.2
14 Напомене о надоградњи за 7.0.3
15 Напомене о надоградњи за 7.0.4
16 Напомене о надоградњи за 7.0.5
17 Напомене о надоградњи за 7.0.6
18 Напомене о надоградњи за 7.0.7
19 Напомене о надоградњи за 7.0.8
20 Напомене о надоградњи за 7.0.9
21 Напомене о надоградњи за 7.0.10
1 Пријава и конфигурисање корисника
2 Нови домаћин
3 Нова ставка
4 Нови окидач
5 Примање обавештења о проблему
6 Нови шаблон
6 Zabbix уређај
7 Дефиниције
1 Конфигурисање домаћина
2 Инвентар
2 Конфигурисање групе домаћина
3 Масовно ажурирање
1 Формат кључа ставке
2 Прилагођени интервали
1 Тестирање предобраде
2 Детаљи претходне обраде
3 Примери предобраде
1 Избегавање специјалних знакова из вредности LLD макроа у JSONPath-у
1 Додатни JavaScript објекти
2 Објекти JavaScript ставке Browser-а
6 Предобрада CSV-а у JSON
1 Zabbix агент 2
2 Zabbix агент за Windows
1 Динамички индекси
2 Специјални OID-ови
3 MIB датотеке
3 SNMP замке
4 ИПМИ провере
1 VMware кључеви ставки за надгледање
6 Надгледање датотеке дневника
1 Збирни прорачуни
8 Интерне провере
9 SSH провере
10 Telnet провере
11 Екстерне провере
12 Trapper ставке
13 ЈМКС надгледње
14 ODBC надгледање
15 Зависне ставке
16 HTTP агент
17 Prometheus checks
18 Ставке скрипте
19 Ставке претраживача
4 Историја и трендови
1 Проширивање Zabbix агената
6 Windows бројачи перформанси
7 Масовно ажурирање
8 Мапирање вредности
9 Ред
10 Кеш вредности
11 Извршите сада
12 Ограничавање провера агената
1 Конфигурисање окидача
2 Окидач израз
3 Зависности покретача
4 Озбиљност окидача
5 Прилагођавање озбиљности окидача
6 Масовно ажурирање
7 Предиктивне функције окидача
1 Окидач за генерисање догађаја
2 Други извори догађаја
3 Ручно затварање проблема
1 Корелација догађаја заснована на окидачу
2 Глобална корелација догађаја
6 Означавање
1 Једноставни графикони
2 Прилагођени графикони
3 Ad-hoc графикони
4 Агрегација у графиконима
1 Конфигурисање мрежне мапе
2 Елементи групе домаћина
3 Индикатори везе
3 Контролне табле
1 Конфигурисање шаблона
2 Конфигурисање групе шаблона
2 Повезивање/прекидање везе
3 Угнежђење
4 Масовно ажурирање
1 Операција шаблона Zabbix агента
2 Zabbix агент 2 шаблонска операција
3 HTTP радња шаблона
4 Операција IPMI шаблона
5 Операција JMX шаблона
6 Операција ODBC шаблона
7 Стандардизовани шаблони за мрежне уређаје
8 Рад са VMware шаблоном
1 Email
2 SMS
3 Прилагођене скрипте упозорења
1 Примери Вебхук скрипти
1 Услови
1 Слање поруке
2 Даљинске команде
3 Додатне операције
4 Коришћење макроа у порукама
3 Операције опоравка
4 Операције ажурирања
5 Ескалације
3 Примање обавештења о неподржаним ставкама
1 Макро функције
2 Кориснички макрои
3 Кориснички макрои са контекстом
4 Тајни кориснички макрои
5 Макрои за откривање ниског нивоа
6 Макрои израза
1 Конфигурисање корисника
2 Дозволе
3 Групе корисника
1 CyberArk конфигурација
2 HashiCorp конфигурација
14 Планирани извештаји
1 Извези у датотеке
3 СНМП мрежни пролаз
Преглед
1 Стабло услуга
2 SLA
3 Пример подешавања
1 Ставке за праћење веба
2 Сценарио из стварног живота
1 VMware кључеви ставки за надгледање
2 Кључна поља за откривање виртуелне машине
3 JSON примера за VMware ставке
4 Пример подешавања VMware надгледања
11 Одржавање
12 Регуларни изрази
1 Сузбијање проблема
1 Групе шаблона
2 Групе домаћина
3 Шаблони
4 Домаћини
5 Мрежне мапе
6 Типови медија
1 Конфигурисање правила за откривање мреже
2 Аутоматска регистрација активног агента
1 Прототипови предмета
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Напомене о откривању ниског нивоа
1 Откривање монтираних система датотека
2 Откривање мрежних интерфејса
3 Откриће CPUs и CPU језгара
4 Откривање SNMP OIDs
5 Откривање SNMP OID-а (застарело)
6 Откривање JMX објеката
7 Откривање IPMI сензора
8 Откривање системских услуга
9 Откривање Windows услуга
10 Откривање инстанци бројача перформанси Windows-а
11 Откривање помоћу WMI упита
12 Откривање помоћу ODBC SQL упита
13 Откриће помоћу података Prometheus
14 Откривање блок уређаја
15 Откривање домаћина интерфејса у Zabbix-у
7 Прилагођена LLD правила
1 Синхронизација конфигурације надгледања
2 Балансирање оптерећења проксија и висока доступност
1 Коришћење сертификата
2 Коришћење унапред дељених кључева
1 Проблеми са типом везе или дозволама
2 Проблеми са сертификатом
3 PSK проблеми
1 Мени догађаја
2 Мени домаћина
3 Мени ставки
1 Дневник акција
2 Сат
3 Преглед података
4 Статус откривања
5 Омиљени графици
6 Омиљене мапе
7 Индикатор
8 Геомапа
9 Граф
10 Графикон (класичан)
11 Прототип графа
12 Honeycomb
13 Доступност домаћина
14 Навигатор домаћина
15 Историја ставке
16 Навигатор ставки
17 Вредност ставке
18 Мапа
19 Мапа навигационог стабла
20 Pie графикон
21 Проблем домаћина
22 Проблеми
23 Проблеми по озбиљности
24 SLA извештај
25 Информације о систему
26 Најважнији домаћини
27 Најважнији окидачи
28 Преглед окидача
29 URL
30 Веб надгледање
1 Узрок и проблеми са симптомима
1 Графови
2 Контролне табле домаћина
3 Веб сценарији
3 Најновији подаци
4 Мапе
5 Откривање
1 Услуге
2 SLA
3 SLA извештај
1 Преглед
2 Домаћини
1 Информације о систему
2 Планирани извештаји
3 Извештај о доступности
4 Најбољих 100 окидача
5 Дневник ревизије
6 Дневник акција
7 Обавештења
1 Групе шаблона
2 Групе домаћина
1 Ставке
2 Окидачи
3 Графови
1 Прототипови предмета
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Веб сценарија
1 Ставке
2 Окидачи
3 Графови
1 Прототипови ставке
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Веб сценарија
5 Одржавање
6 Корелација догађаја
7 Откривање
1 Акције
2 Типови медија
3 Скрипте
1 Групе корисника
2 Улоге корисника
3 Корисници
4 API токени
1 HTTP
2 LDAP
3 SAML
4 MFA
1 Опште
2 Дневник ревизије
3 Одржавање домаћинства
4 Проксији
5 Прокси групе
6 Макрои
7 Ред
1 Глобална обавештења
2 Звук у претраживачима
4 Глобална претрага
5 Режим одржавања корисничког интерфејса
6 Параметри странице
7 Дефиниције
8 Креирање сопствене теме
9 Режим за отклањање грешака
10 Колачићи које користи Zabbix
11 Временске зоне
12 Ресетовање лозинке
13 Селектор временског периода
1 Securing MySQL/MariaDB
2 Securing PostgreSQL/TimescaleDB
3 Securing Oracle
2 Cryptography
3 Web server
2 Најбоље праксе за конфигурацију
LLD објекат правила
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
MFA објекат
mfa.create
mfa.delete
mfa.get
mfa.update
SLA објекат
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Акциони објекат
action.create
action.delete
action.get
action.update
Обjекат упозорења
alert.get
Објекат аутентификације
authentication.get
authentication.update
Ауторегистрациони објекат
autoregistration.get
autoregistration.update
Објекат веб сценарија
httptest.create
httptest.delete
httptest.get
httptest.update
Графички објекат
graph.create
graph.delete
graph.get
graph.update
Графички објекат
graphitem.get
Објекат групе домаћина
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Објекат корисничке групе
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Објекат групе шаблона
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Објекат дневника ревизије
auditlog.get
Објекат догађаја
event.acknowledge
event.get
Објекат домаћина
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Објекат задатка
task.create
task.get
Пријавите објекат
report.create
report.delete
report.get
report.update
Објекат интерфејса домаћина
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
apiinfo.version
Историја објект
history.clear
history.get
history.push
Објекат конектора
connector.create
connector.delete
connector.get
connector.update
Објекат контролне табле
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Дневник акција
2 Сат
3 Преглед података
4 Статус откривања
5 Омиљени графици
6 Омиљене мапе
7 Индикатор
8 Геомапа
9 Граф
10 Графикон (класичан)
11 Прототип графа
12 Honeycomb
13 Доступност домаћина
14 Host navigator
15 Историја предмета
16 Навигатор ставки
17 Вредност ставке
18 Мапа
19 Мапа навигационог стабла
20 Pie chart
21 Проблем домаћина
22 Проблеми
23 Проблеми по озбиљности
24 SLA извештај
25 Информације о систему
26 Top hosts
27 Најважнији окидачи
28 Преглед окидача
29 URL
30 Web monitoring
configuration.export
configuration.import
configuration.importcompare
Корелациони објекат
correlation.create
correlation.delete
correlation.get
correlation.update
Кориснички објекат
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Објекат корисничког директоријума
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Објекат макроа корисника
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Објекат мапе
map.create
map.delete
map.get
map.update
Објекат мапе вредности
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Икона мапа објекта
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Објекат модула
module.create
module.delete
module.get
module.update
Објекат одржавања
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Објекат домаћина
housekeeping.get
housekeeping.update
Окидач објекат
trigger.create
trigger.delete
trigger.get
trigger.update
Откривени сервисни објекат
dservice.get
Discovered host object
dhost.get
Објекат подешавања
settings.get
settings.update
Објекат правила откривања
drule.create
drule.delete
drule.get
drule.update
Проблемски објекат
problem.get
Обjекат за проверу откривања
dcheck.get
Прокси објекат
proxy.create
proxy.delete
proxy.get
proxy.update
Објекат групе прокси
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Графички прототип објекта
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Покрени објекат прототипа
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Објект прототипа ставке
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Објекат регуларног израза
regexp.create
regexp.delete
regexp.get
regexp.update
Објекат скрипте
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Објекат слике
image.create
image.delete
image.get
image.update
Објекат ставке
item.create
item.delete
item.get
item.update
Објекат типа медија
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Објекат токена
token.create
token.delete
token.generate
token.get
token.update
Објекат тренда
trend.get
Објекат улоге
role.create
role.delete
role.get
role.update
Објекат сервиса
service.create
service.delete
service.get
service.update
Чворни објекат високе доступности
hanode.get
Објекат шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Објекат контролне табле шаблона
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Додатак 1. Референтни коментар
Додатак 2. Промене са 6.4 на 7.0
Додатак 3. Промене у 7.0
1 Модули који се могу учитати
1 Израда додатака који се могу учитати
3 Кориснички интерфјес модули
1 Креирање базе података
2 Преправка скупа карактера и поређења у Zabbix бази података
3 Надоградња базе података на примарне кључеве
4 Припрема auditlog табеле за партиционисање
1 Конфигурација MySQL шифровања
2 Конфигурација PostgreSQL енкрипције
6 TimescaleDB подешавање
7 Elasticsearch подешавање
8 Напомене специфичне за дистрибуцију о подешавању Nginx за Zabbix
9 Покретање агента као root
10 Zabbix агент на Microsoft Windows-у
11 SAML конфигурисање са Microsoft Entra ID-ијем
12 Подешавање SAML-ом са Okta-ом
13 SAML подешавање са OneLogin-ом
14 Подешавање Oracle базе података
15 Надоградња на нумеричке вредности проширеног опсега
16 Подешавање планираних извештаја
17 Додатни језици корисничког интерфејса
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph додатак
2 Docker plugin
3 Ember+ plugin
4 Memcached plugin
5 Modbus plugin
6 MongoDB plugin
7 MQTT plugin
8 MSSQL plugin
9 MySQL plugin
10 Oracle plugin
11 PostgreSQL plugin
12 Redis plugin
13 Smart plugin
8 Zabbix Java gateway
9 Zabbix web service
10 Инклузија
1 Сервер-прокси протокол за размену података
2 Zabbix agent/agent2 protocol
4 Zabbix agent 2 plugin protocol
5 Zabbix sender protocol
6 Заглавље
7 Протокол извоза у формате JSON са новим редом
1 параметри vm.memory.size
2 Провере пасивног и активног агента
3 Минимални ниво дозволе за ставке Windows агента
4 Кодирање враћених вредности
5 Подршка за велике датотеке
6 Сензор
7 Напомене о параметру memtype у ставкама proc.mem
8 Напомене о одабиру процеса у proc.mem и proc.num ставкама
9 Детаљи имплементације провера net.tcp.service и net.udp.service
10 proc.get параметри
11 Подешавања за недоступан/непостојећи интерфејс домаћина
12 Даљинско праћење Zabbix статистике
13 Конфигурисање Kerberos-а са Zabbix-ом
14 modbus.get параметри
15 Креирање прилагођених имена бројача перформанси за VMware
16 Повратне вредности за system.sw.packages.get
17 Повратне вредности за net.dns.get
18 Напомене о ставкама system.cpu.util на Windows-у
1 Foreach функције
2 Битовске функције
3 Функције датума и времена
4 Функције историје
5 Функције трендова
6 Математичке функције
7 Функције оператора
8 Функције предвиђања
9 Стринг функције
1 Подржани макрои
2 Кориснички макрои подржани од стране локације
7 Unit symbols
8 Time period syntax
9 Извршење команде
10 Компатибилност верзија
11 Руковање грешкама у бази података
12 Zabbix sender dynamic link library for Windows
13 Python library for Zabbix API
14 Service monitoring upgrade
15 Остала питања
16 Поређење агента и агента 2
17 Escaping примери
1 Надгледајте Linux са Zabbix агентом
2 Надгледајте Windows помоћу Zabbix агента
3 Надгледајте Apache преко HTTP-а
4 Надгледајте MySQL са Zabbix агентом 2
5 Надгледајте VMware помоћу Zabbix-а
6 Надгледајте мрежни саобраћај помоћу Zabbix-а
7 Надгледајте мрежни саобраћај користећи активне провере
8 Надгледајте веб локације помоћу ставки претраживача
manifest.json
Акције
Погледи
Assets
Региструјте нови модул
Конфигурација
Презентација
Креирајте модул (водич)
Направите виџет (водич)
Примери
Примери
Интерфејси додатака
Направите додатак (водич)
Промене у развоју екстензија
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 Шифровање

Преглед

Zabbix подржава шифровану комуникацију између Zabbix компоненти користећи Протокол безбедности транспортног слоја (TLS) в.1.2 и 1.3 (у зависности од крипто библиотека). Шифровање засновано на сертификатима и унапред дељеном кључу је подржано.

Шифровање се може конфигурисати за везе:

Шифровање је опционо и може се конфигурисати за појединачне компоненте:

  • Неки проксији и агенти се могу конфигурисати да користе на основу сертификата шифровање са сервером, док други могу да користе унапред дељено шифровање засновано на кључу, а други настављају са нешифрованим комуникације (као и раније)
  • Сервер (прокси) може да користи различите конфигурације шифровања за различитих домаћина

Zabbix демон програми користе један порт за слушање за шифроване и нешифроване долазне везе. Додавање енкрипције није потребно отварање нових портова на заштитним зидовима.

Ограничења

  • Приватни кључеви се чувају у обичном тексту у датотекама које Zabbix чита компоненте током покретања
  • Pre-shared кључеви се уносе у Zabbix кориснички интерфејс и чувају у Zabbix-у база података у обичном тексту
  • Уграђено шифровање не штити комуникацију:
    • Између веб сервера који покреће Zabbix кориснички интерфејс и корисничког веба претраживач
    • Између Zabbix кориснички интерфејс и Zabbix сервера
  • Тренутно се свака шифрована веза отвара са пуним TLS руковањем, нема кеширања сесије и тикети су имплементирани
  • Додавање шифровања повећава време за проверу ставки и радње, у зависности од кашњења мреже:
    • На пример, ако је кашњење пакета 100ms онда отварање TCP-а повезивање и слање нешифрованог захтева траје око 200 мс. Са шифровањем се додаје око 1000ms за успостављање TLS-а веза;
    • Временска ограничења ће можда морати да се повећају, иначе неке ставке и акције које покрећу удаљене скрипте на агентима могу радити са нешифроване везе, али не успевају са временским ограничењем са шифрованим.
  • мрежа не подржава шифровање откриће. Zabbix агент провере извршено откривањем мреже биће нешифровано и ако Zabbix агент је конфигурисан да одбије нешифроване везе као такве провере неће успети.

Компајлирање Zabbix-а са подршком за шифровање

Да би подржао шифровање, Zabbix мора бити компајлиран и повезан са једним од подржане крипто библиотеке:

  • GnuTLS - од верзије 3.1.18
  • OpenSSL - верзије 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x
  • LibreSSL - тестирано са верзијама 2.7.4, 2.8.2:
    • LibreSSL 2.6.x није подржан
    • LibreSSL је подржан као компатибилна замена за OpenSSL; нове tls_*() функције API-ја специфичне за LibreSSL се не користе. Zabbix компоненте компајлиране са LibreSSL неће моћи да се користе PSK, могу се користити само сертификати.

Можете сазнати више о подешавању SSL-а за Zabbix кориснички интерфејс позивањем на ове најбоље праксе.

Библиотека се бира навођењем одговарајуће опције за "configure" скрипта:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (користи се и за LibreSSL)

На пример, да конфигуришете изворе за сервер и агент са OpenSSL можете користити нешто попут:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Различите Zabbix компоненте могу се компајлирати са различитим криптовалутама библиотеке (нпр. сервер са OpenSSL, агент са GnuTLS).

Ако планирате да користите унапред дељене кључеве (PSK), размислите о коришћењу библиотека GnuTLS или OpenSSL 1.1.0 (или новијих) у Zabbix компоненте које користе PSK-ове. Библиотеке GnuTLS и OpenSSL 1.1.0 подржава ПСК пакете шифровања са Perfect Forward Secrecy. Старије верзије библиотеке OpenSSL (1.0.1, 1.0.2c) такође подржавају PSK, али доступни PSK пакети шифровања не пружају савршено напредовање Тајност.

Управљање шифровањем везе

Везе у Zabbix-у могу да користе:

Постоје два важна параметра која се користе за одређивање шифровања између Zabbix компоненте:

  • TLSConnect - одређује коју енкрипцију треба користити за одлазне везе (нешифроване, PSK или сертификат)
  • TLSAccept - специфицира које врсте веза су дозвољене долазне везе (нешифроване, PSK или сертификат). Један или више вредности се могу специфицирати.

TLSConnect се користи у конфигурационим датотекама за Zabbix проки (ин активни режим, специфицира само везе са сервером) и Zabbix агент (за активне провере). У Zabbix кориснички интерфејс TLSConnect еквивалент је Поље Везе са домаћином у Прикупљање података → Домаћини → <неки домаћин> → картица Шифровање и поље Везе са проксијем Администрација → Проксији → <неки прокси> → картица Шифровање. Ако је конфигурисани тип шифровања за везу не успева, ниједно друго шифровање врсте ће бити испробане.

TLSAccept се користи у конфигурационим датотекама за Zabbix прокси (у пасивни режим, специфицира само везе са сервера) и Zabbix агент (за пасивне провере). У Zabbix кориснички интерфејс TLSAccept еквивалент је Веза са домаћином поља у Прикупљање података → Домаћини → <неки домаћин> → картица Шифровање и поље Везе са проксија Администрација → Проксији → <неки прокси> → картица Шифровање.

Обично конфигуришете само један тип шифровања за долазне везе. Али можда ћете желети да промените тип шифровања, нпр. из нешифровано на основу сертификата са минималним застојима и враћањем могућност. Да бисте то постигли:

  • Подесите TLSAccept=unencrypted,cert у конфигурационој датотеци агента и поново покрените Zabbix агент
  • Тестирајте везу са zabbix_get до агента користећи сертификат. Ако ради, можете поново конфигурисати шифровање за тог агента у Zabbix корисничком интерфејсу у збирци података → Домаћин → <неки домаћин> → Картица Шифровање подешавањем Везе за домаћина на "Сертификат".
  • Када се кеш конфигурације сервера ажурира (и прокси конфигурација се ажурира ако домаћин надгледа прокси) тада везе са тим агентом ће бити шифроване
  • Ако све функционише како је очекивано, можете подесити TLSAccept=cert у конфигурациону датотеку агента и поново покрените Zabbix агент. Сада агент прихватаће само шифроване везе засноване на сертификатима. Нешифроване везе и везе засноване на PSK-у ће бити одбијене.

На сличан начин ради на серверу и проксију. Ако је у Zabbix корисничком интерфејсу у конфигурација домаћина Везе са домаћином је тада подешена на "Сертификат". само шифроване везе засноване на сертификатима биће прихваћене од агент (активне провере) и zabbix_sender (ставци трапера).

Највероватније ћете конфигурисати долазне и одлазне везе за коришћење исти тип шифровања или уопште нема шифровања. Али технички јесте могуће је конфигурисати асиметрично, нпр. на основу сертификата енкрипција за долазне и PSK заснована за одлазне везе.

Конфигурација шифровања за сваког домаћина је приказана у Zabbix-у корисничком интерфејсу, у Прикупљање података → Домаћини у колони Шифровање агента. на пример:

Example Connections to host Allowed connections from host Rejected connections from host
none_none.png Нешифровано Нешифровано Шифровано, шифровано на основу сертификата и PSK
cert_cert.png Шифровано, на основу сертификата Шифровано, на основу сертификата Нешифровано и шифровано на основу PSK-а
psk_psk.png Шифровано, на бази PSK Шифровано, на бази PSK Нешифровано и шифровано на основу сертификата
psk_none_psk.png Шифровано, базирано на PSK Нешифровано и шифровано на бази PSK Шифровано на основу сертификата
cert_all.png Шифровано, на основу сертификата Нешифровано, PSK или шифровано на основу сертификата -

Везе су подразумевано нешифроване. Шифровање мора бити конфигурисан за сваки домаћин и прокси појединачно.

zabbix_get и zabbix_sender са шифровањем

Погледајте zabbix_get и zabbix_sender странице за њихово коришћење са енкрипција.

Ciphersuites

Ciphersuites се подразумевано конфигуришу интерно током покретања Zabbix-а.

Такође су подржани кориснички конфигурисани пакети шифровања за GnuTLS и OpenSSL. Корисници могу кофигурисати комплети шифровања према њихове безбедносне политике. Коришћење ове функције је опционо (уграђено подразумевани пакети шифровања и даље раде).

За крипто библиотеке компајлиране са подразумеваним подешавањима уграђеним Zabbix-ом правила обично резултирају следећим шифрама (по реду од већи до нижи приоритет):

Library Certificate ciphersuites PSK ciphersuites
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1

|OpenSSL 1.0.2c|ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA|PSK-AES128-CBC-SHA| |OpenSSL 1.1.0|ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
|ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA| |OpenSSL 1.1.1d|TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA|TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA|

Кориснички конфигурисани пакети шифровања

Уграђени критеријуми за избор шифрованог пакета могу се заменити помоћу кориснички конфигурисани пакети шифровања.

Кориснички конфигурисани пакети шифровања су функција намењена за напредне кориснике који разумеју TLS пакете шифровања, њихову безбедност и последице грешака и који су задовољни TLS-ом отклањање проблема.

Уграђени критеријуми за одабир шифрованог пакета могу се заменити коришћењем следећи параметри:

Override scope Parameter Value Description
Избор пакета шифровања за сертификате TLSCipherCert13 Важећи OpenSSL 1.1.1 низови шифре за TLS 1.3 протокол (њихове вредности се прослеђују функцији OpenSSL SSL_CTX_set_ciphersuites()). Критеријуми за избор комплета за шифровање засновани на сертификатима за TLS 1.3

Само OpenSSL 1.1.1 или новији.

|^|TLSCipherCert|Важећи OpenSSL стрингови шифре за TLS 1.2 или важећи GnuTLS приоритетни низови. Њихове вредности се прослеђују функцијама SSL_CTX_set_cipher_list() или gnutls_priority_init(), респективно.|Критеријуми за избор комплета шифровања заснованих на сертификатима за TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)| |Избор шифрованог пакета за PSK|TLSCipherPSK13|Важећи OpenSSL 1.1.1 стрингови шифре за TLS 1.3 протокол (њихове вредности се прослеђују функцији OpenSSL SSL_CTX_set_ciphersuites()).|Критеријуми за избор шифрованог пакета за TLS 1.3

Само OpenSSL 1.1.1 или новији.| |^|TLSCipherPSK|Важећи OpenSSL стрингови шифре за TLS 1.2 или важећи GnuTLS низови приоритета. Њихове вредности се прослеђују функцијама SSL_CTX_set_cipher_list() или gnutls_priority_init(), респективно.|Критеријуми за избор пакета шифровања засновани на PSK-у за TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)| |Комбинована листа пакета шифровања за сертификат и PSK|TLSCipherAll13|Важећи OpenSSL 1.1.1 низови шифре за TLS 1.3 протокол (њихове вредности се прослеђују функцији OpenSSL SSL_CTX_set_ciphersuites()).|Критеријуми за избор пакета шифровања за TLS 1.3

Само OpenSSL 1.1.1 или новији.| |^|TLSCipherAll|Важећи OpenSSL низови шифре за TLS 1.2 или важећи GnuTLS низови приоритета. Њихове вредности се прослеђују функцијама SSL_CTX_set_cipher_list() или `gnutls_priority_init(), респективно.|Критеријуми за избор пакета шифровања за TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)|

Да бисте поништили избор шифрованог пакета у zabbix_get и zabbix_sender услужни програми - користите параметри командне линије:

  • --tls-cipher13
  • --tls-cipher

Нови параметри су опциони. Ако параметар није наведен, користи се интерна подразумевана вредност. Ако је параметар дефинисан, то не може бити празан.

Ако подешавање вредности TLSCipher* у крипто библиотеци не успе сервер, прокси или агент се неће покренути и грешка се евидентира.

Важно је разумети када је сваки параметар применљив.

Одлазне везе

Најједноставнији случај су одлазне везе:

  • За одлазне везе са сертификатом - користите TLSCipherCert13 или TLSCipherCert
  • За одлазне везе са PSK - користите TLSCipherPSK13 или TLSCipherPSK
  • У случају zabbix_get и zabbix_sender услужних програма командну линију могу се користити параметри --tls-cipher13 или --tls-cipher (шифровање је недвосмислено наведено са --tls-connect параметар)
Долазне везе

Мало је компликованије са долазним везама јер правила постоје специфичне за компоненте и конфигурацију.

За Zabbix агент:

Agent connection setup Cipher configuration
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

За Zabbix сервер и прокси:

Connection setup Cipher configuration
Одлазне везе користећи PSK TLSCipherPSK, TLSCipherPSK13
Долазне везе помоћу сертификата TLSCipherAll, TLSCipherAll13
Долазне везе користе PSK ако сервер нема сертификат TLSCipherPSK, TLSCipherPSK13
Долазне везе користе PSK ако сервер има сертификат TLSCipherAll, TLSCipherAll13

Неки образац се може видети у две горње табеле:

  • TLSCipherAll и TLSCipherAll13 могу бити специфицирани само ако су комбиновани користи се листа и пакета шифровања заснованих на PSK-у. тамо су два случаја када се одвија: сервер (прокси) са конфигурисаним сертификат (PSK пакети шифровања су увек конфигурисани на серверу, проксију ако крипто библиотека подржава PSK), агент конфигурисан да прихвати оба долазне везе засноване на сертификатима и PSK-у
  • у другим случајевима довољни су TLSCipherCert* и/или TLSCipherPSK*

Следеће табеле показују TLSCipher* уграђене подразумеване вредности. Они може бити добра полазна тачка за ваше сопствене прилагођене вредности.

Parameter GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parameter OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Подразумеване вредности су различите за старије верзије OpenSSL-а (1.0.1, 1.0.2, 1.1.0), за LibreSSL и ако је OpenSSL компајлиран без PSK-а подршка.

Примери комплета шифровања које је конфигурисао корисник

У наставку погледајте следеће примере шифрованих пакета које је конфигурисао корисник:

Тестирање низова шифри и дозвољавање само PFS пакета шифровања

Да бисте видели који пакети шифровања су изабрани, потребно је да подесите 'DebugLevel=4' у конфигурационој датотеци или користите опцију -vv за zabbix_sender.

Можда ће бити потребно експериментисање са TLSCipher* параметрима пре него што добијете жељене пакете шифровања. Незгодно је поново покренути Zabbix сервер, проки или агент више пута само да бисте подесили TLSCipher* параметре. Погодније опције су коришћење zabbix_sender или команде openssl. Хајде да покажемо обоје.

1. Коришћење zabbix_sender.

Хајде да направимо тест конфигурациону датотеку, на пример /home/zabbix/test.conf, са синтаксом а zabbix_agentd.conf датотека:

Hostname=nonexisting ServerActive=nonexisting

TLSConnect=cert TLSCAFile=/home/zabbix/ca.crt TLSCertFile=/home/zabbix/agent.crt TLSKeyFile=/home/zabbix/agent.key TLSPSKIdentity=nonexisting TLSPSKFile=/home/zabbix/agent.psk

Потребни су вам важећи сертификати CA и агента и PSK за овај пример. Подесите путање и називе датотека сертификата и ПСК за ваше окружење.

Ако не користите сертификате, већ само ПСК, можете направити најједноставнији фајл:

Hostname=nonexisting ServerActive=nonexisting

TLSConnect=psk TLSPSKIdentity=nonexisting TLSPSKFile=/home/zabbix/agentd.psk

Изабране шифре се могу видети покретањем zabbix_sender (пример компајлиран са OpenSSL 1.1.d):

$ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Овде видите стандардно одабране шифре. Ове подразумеване вредности су изабране да обезбеде интероперабилност са Zabbix агентима који раде на системима са старијим верзијама OpenSSL-а (од 1.0.1).

Са новијим системима можете изабрати да појачате безбедност тако што ћете дозволити само неколико шифрованих пакета, нпр. само шифре са PFC (Perfect Forward Secrecy). Покушајмо да дозволимо само пакете шифровања са PFC користећи параметре TLSCipher*.

Резултат неће бити интероперабилан са системима који користе OpenSSL 1.0.1 и 1.0.2, ако се користи PSK. Шифровање засновано на сертификатима би требало да функционише.

Додајте два реда у конфигурациону датотеку test.conf:

TLSCipherCert=EECDH+aRSA+AES128 TLSCipherPSK=kECDHEPSK+AES128

и поново тестирај:

$ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Листе "сети за шифровање сертификата" и "PSK пакета за шифровање" су промењене – краће су него раније, садрже само TLS 1.3 пакете шифровања и TLS 1.2 ECDHE-* пакете шифровања како се очекивало.

2. TLSCipherAll и TLSCipherAll13 не може се тестирати са zabbix_sender; они не утичу на вредност "сертификата и PSK шифара" приказану у примеру изнад. Да бисте подесили TLSCipherAll и TLSCipherAll13, потребно је да експериментишете са агентом, проксијем или сервером.

Дакле, да бисте дозволили само PFS пакете шифровања, можда ћете морати да додате до три параметра

TLSCipherCert=EECDH+aRSA+AES128 TLSCipherPSK=kECDHEPSK+AES128 TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

за zabbix_agentd.conf, zabbix_proxy.conf и zabbix_server_conf ако сваки од њих има конфигурисан сертификат, а агент такође има PSK.

Ако ваше Zabbix окружење користи само шифровање засновано на PSK-у и без сертификата, онда само један:

TLSCipherPSK=kECDHEPSK+AES128

Сада када разумете како то функционише, можете тестирати избор пакета шифри чак и ван Zabbix-а, помоћу команде openssl. Хајде да тестирамо три вредности параметара TLSCipher*:

$ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g' TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g' TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g' TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Можда ћете више волети openssl ciphers са опцијом -V за детаљнији излаз:

$ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128 0x13,0x02 - TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD 0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD 0x13,0x01 - TLS_AES_128_GCM_SHA256TLSv1.3 Kx=any Au=any Enc=AESGCM(128) Mac=AEAD 0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD 0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128)Mac=SHA256 0xC0,0x13 - ECDHE-RSA-AES128-SHA TLSv1 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1 0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK Enc=AES(128) Mac=SHA256 0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK Enc=AES(128) Mac=SHA1

Слично томе, можете тестирати приоритетне стрингове за GnuTLS:

$ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509 Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509 TLS_ECDHE_RSA_AES_128_GCM_SHA256 0xc0, 0x2f TLS1.2 TLS_ECDHE_RSA_AES_128_CBC_SHA256 0xc0, 0x27 TLS1.2

Protocols: VERS-TLS1.2 Ciphers: AES-128-GCM, AES-128-CBC MACs: AEAD, SHA256 Key Exchange Algorithms: ECDHE-RSA Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192 PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1

Прелазак са AES128 на AES256

Zabbix користи AES128 као уграђени подразумевани за податке. Претпоставимо вас користе сертификате и желе да пређу на AES256, на OpenSSL 1.1.1.

Ово се може постићи додавањем одговарајућих параметара у zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Иако само пакети шифровања у вези са сертификатима ће се користити, TLSCipherPSK* параметри су такође дефинисани да би се избегли њихове подразумеване вредности које укључују мање безбедне шифре за шире интероперабилност. PSK пакети шифровања не могу бити потпуно онемогућени сервер/прокси.

И у zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy