Documentation

Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Únase a nuestro proyecto de traducción y ayude a traducir la documentación de Zabbix a su lengua materna.
1 Estructura del manual
2 Qué es Zabbix
3 Características de Zabbix
4 Descripción general de Zabbix
5 What's new in Zabbix 7.2.0
2 Definiciones
1 Clúster de alta disponibilidad
2 Agente
3 Agente 2
4 Proxy
1 Configuración desde fuentes
2 Configuración desde paquetes RHEL
3 Configuración desde paquetes Debian/Ubuntu
6 Remitente
7 Obtener
8 JS
9 Servicio web
1 Obtener Zabbix
1 MySQL/MariaDB
2 PostgreSQL/TimescaleDB
2 Criptografía
3 Web server
1 Dependencias del complemento PostgreSQL
2 Dependencias del complemento MongoDB
1 Compilando el agente Zabbix en Windows
2 Compilando Zabbix agent 2 en Windows
3 Compilando Zabbix agent en macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Servidor empresarial Linux
4 Instalación del agente Windows desde MSI
5 Instalación del agente de Mac OS desde PKG
6 Versiones inestables
5 Instalación desde contenedores
6 Instalación de la interfaz web
1 Problemas de compilación
1 Actualizar desde las fuentes
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Actualizar desde contenedores
9 Cambios en las plantillas
11 Upgrade notes for 7.2.0
1 Iniciar sesión y configurar usuario
2 Nuevo equipo
3 Nueva métrica
4 Nuevo iniciador
5 Recibir notificaciones de problemas
6 Nueva plantilla
6. Zabbix Appliance
1 Configuración de un equipo
2 Inventario
3 Actualización masiva
1 Formato de clave de elemento
2 Intervalos personalizados
1 Preprocessing testing
2 Detalles de preprocesamiento
3 Ejemplos de preprocesamiento
1 Escapar caracteres especiales de valores de macro LLD en JSONPath
1 Objetos JavaScript adicionales
2 Browser item JavaScript objects
5 Preprocesamiento de CSV a JSON
1 Agente Zabbix 2
2 Agente de Windows Zabbix
1 Índices dinámicos
2 OID especiales
3 Archivos MIB
3 Capturador SNMP
4 Comprobaciones de IPMI
1 Claves de métricas de monitoreo de VMware
6 Monitoreo de archivos de registro
1 Cálculos agregados
8 Comprobaciones internas
9 Comprobaciones SSH
10 Comprobaciones de Telnet
11 Comprobaciones externas
12 Métricas de captura
13 Monitoreando JMX
14 Monitorizando ODBC
15 Métricas dependientes
16 Agente HTTP
17 Revisiones Prometheus
18 Métricas scripts
19 Browser items
4 Historial y tendencias
1 Ampliación de agentes de Zabbix
6 Contadores de rendimiento de Windows
7 Actualización masiva
8 Mapeo de valores
9 Cola
10 Caché de valores
11 Ejecutar ahora
12 Restringir comprobaciones del agente
1 Configurando un iniciador
2 Expresión de iniciador
3 Dependencias del iniciador
4 Gravedad del iniciador
5 Personalización de la gravedad de los disparadores
6 Actualización masiva
7 Funciones predictivas de iniciador
1 Generación de eventos de iniciador
2 Otras fuentes de eventos
3 Cierre manual de problemas
1 Correlación de eventos basada en iniciadores
2 Correlación de eventos globales
6 Etiquetado
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad-hoc
4 Agregación en gráficos
1 Configurando un mapa de red
2 Elementos de grupo de equipos
3 Indicadores de enlace
3 Tableros
1 Configurando una plantilla
2 Vincular/desvincular
3 Anidamiento
4 Actualización masiva
1 Funcionamiento de plantillas de agente Zabbix
2 Funcionamiento de plantillas del Agente 2 Zabbix
3 Funcionamiento de plantillas HTTP
4 Funcionamiento de plantillas IPMI
5 Funcionamiento de plantillas JMX
6 Funcionamiento de plantillas ODBC
7 Plantillas estandarizadas para dispositivos de red
8 VMware template operation
1 Correo electrónico
2 SMS
3 Scripts de alerta personalizados
1 Ejemplos de script de webhook
1 Condiciones
1 Enviando mensaje
2 Comandos remotos
3 Operaciones adicionales
4 Usando macros en los mensajes
3 Operaciones de recuperación
4 Operaciones de actualización
5 Escalado
3 Recibiendo notificaciones sobre métricas no soportadas
1 Funciones de macro
2 Macros de usuario
3 Macros de usuario con contexto
4 Macros de usuario secretas
5 Macros de descubrimiento de bajo nivel
6 Macros de expresión
1 Configurar un usuario
2 Permisos
3 Grupos de usuarios
1 Configuración de CyberArk
2 Configuración de HashiCorp
14 Informes programados
1 Exportar a archivos
2 Transmisión a sistemas externos
3 SNMP gateway
1 Árbol de servicios
2 Acuerdo de Nivel de Servicio
3 Ejemplo de configuración
1 Métricas de monitoreo web
2 Escenario de la vida real
1 Claves de métricas de monitoreo de VMware
2 Campos clave para el descubrimiento de máquinas virtuales
3 Ejemplos JSON para métricas de VMware
4 Ejemplo de configuración de monitoreo de VMware
11 Mantenimiento
12 Expresiones regulares
1 Supresión de problemas
1 Grupos de plantillas
2 Grupos de equipos
3 Plantillas
4 Equipos
5 Mapas de red
6 Tipos de medios
1 Configurar una regla de descubrimiento de red
2 Autorregistro de agente activo
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipos
5 Notas sobre el descubrimiento de bajo nivel
1 Descubrimiento de sistemas de archivos montados
2 Descubrimiento de interfaces de red
3 Descubrimiento de CPU y núcleos de CPU
4 Descubrimiento de OID SNMP
5 Descubrimiento de OID SNMP (obsoleto)
6 Descubrimiento de objetos JMX
7 Descubrimiento de sensores IPMI
8 Descubrimiento de los servicios systemd
9 Descubrimiento de los servicios de Windows
10 Descubrimiento de instancias de contadores de rendimiento de Windows
11 Descubrimiento mediante consultas WMI
12 Descubrimiento mediante consultas SQL ODBC
13 Descubrimiento utilizando datos de Prometheus
14 Descubrimiento de dispositivos de bloque
15 Descubrimiento de interfaces de equipos en Zabbix
7 Reglas de descubrimiento personalizadas
1 Sincronización de la configuración de monitoreo
2 Proxy load balancing
1 Usando certificados
2 Usando claves precompartidas
1 Problemas de tipo de conexión o permisos
2 Problemas con el certificado
3 Problemas de PSK
1 Menú de eventos
2 Menú de equipo
3 Menú de métricas
1 Registro de acciones
2 Reloj
3 Vista general de datos
4 Estado del descubrimiento
5 Gráficos favoritos
6 Mapas favoritos
7 Geomapa
8 Gráfico
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Disponibilidad del equipo
12 Honeycomb
12 Valor de métrica
13 Mapa
14 Host navigator
14 Árbol de navegación del mapa
15 Item history
15 Item navigator
16 Equipos con problemas
16 Pie chart
17 Problemas
18 Problemas por gravedad
19 Informe SLA
20 Información del sistema
21 Equipos Top
22 Vista general de iniciadores
23 Top triggers
23 URL
24 Monitoreo web
25 Gauge
1 Problemas de causa y síntomas
1 Gráficos
2 Escenarios web
2 Host dashboards
3 Últimos datos
4 Mapas
5 Descubrimiento
1 Servicios
2 Acuerdo de Nivel de Servicio
3 informe SLA
1 Información general
2 Equipos
1 Información del sistema
2 Informes programados
3 Informe de disponibilidad
4 Los 100 iniciadores principales
5 Registro de auditoría
6 Registro de acciones
7 Notificaciones
1 Grupos de plantillas
2 Grupos de equipos
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Escenarios web
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Escenarios web
5 Mantenimiento
6 Correlación de eventos
7 Descubrimiento
1 Acciones
2 Tipos de medios
3 Scripts
1 Grupos de usuarios
2 Roles de usuario
3 Usuarios
4 Tokens API
1 HTTP
2 LDAP
3 SAML
4 MFA
1 General
2 Registro de auditoría
3 Limpieza interna
4 Proxies
4 Proxy groups
5 Macros
6 Cola
1 Notificaciones globales
2 Sonido en navegadores
4 Búsqueda global
5 Modo de mantenimiento frontend
6 Parámetros de la página
7 Definiciones
8 Creando tu propio tema
9 Modo de depuración
10 Cookies utilizadas por Zabbix
11 Zonas horarias
12 Restablecer contraseña
13 Selector del periodo de tiempo
Objeto de acción
action.create
action.delete
action.get
action.update
> Objeto de configuración
settings.get
settings.update
Objeto Alerta
alert.get
Objeto de autenticación
authentication.get
authentication.update
Objeto de autorregistro
autoregistration.get
autoregistration.update
Objeto de comprobación de descubrimiento
dcheck.get
Objeto conector
connector.create
connector.delete
connector.get
connector.update
configuration.export
configuration.import
configuration.importcompare
Objeto de correlación
correlation.create
correlation.delete
correlation.get
correlation.update
Objeto de directorio de usuario
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Objeto de equipo
host.create
host.eliminar
host.get
host.massadd
host.massremove
host.massupdate
host.update
Objeto de equipo descubierto
dhost.get
Objeto de escenario web
httptest.create
httptest.delete
httptest.get
httptest.update
Objeto de evento
event.acknowledge
event.get
> Objeto de expresión regular
regexp.create
regexp.delete
regexp.get
regexp.update
Objeto de grupo de equipos
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Objeto de grupo de plantilla
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Objeto de grupo proxy
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Objeto de grupo de usuarios
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Objeto de gráfico
graph.create
graph.delete
graph.get
graph.update
Objeto de historial
history.clear
history.get
history.push
Objeto de imagen
image.create
image.delete
image.get
image.update
apiinfo.version
> Objeto de informe
report.create
report.delete
report.get
report.update
Objeto iniciador
trigger.create
trigger.delete
trigger.get
trigger.update
Objeto de interfaz de equipo
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
Objeto de limpieza
housekeeping.get
housekeeping.update
> Objeto de macro de usuario
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Objeto de mantenimiento
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Objeto de mapa
map.create
map.delete
map.get
map.update
Objeto de mapa de iconos
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
MFA object
mfa.create
mfa.delete
mfa.get
mfa.update
Objeto de métrica
item.create
item.delete
item.get
item.update
Objeto de gráfico de métrica
graphitem.get
> Objeto de módulo
module.create
module.delete
module.get
module.update
Objeto de nodo de alta disponibilidad
hanode.get
> Objeto de plantilla
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Objeto de plantilla de tablero
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objeto de problema
problem.get
Objeto prototipo de equipo
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Objeto prototipo de gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objeto de prototipo de iniciador
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Objeto prototipo de métrica
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
Objeto de registro de auditoría
auditlog.get
Objeto de regla de descubrimiento
drule.create
drule.delete
drule.get
drule.update
Objeto de regla LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objeto de rol
role.create
role.delete
role.get
role.update
> Objeto de script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Objeto de servicio
service.create
service.delete
service.get
service.update
Objeto de servicio descubierto
dservice.get
Objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Objeto de tablero
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Registro de acciones
2 Reloj
3 Resumen de datos
4 Estado de descubrimiento
5 Gráficos favoritos
6 Mapas favoritos
7 Medidor radial
8 Geomapa
9 Gráfico
10 Gráfico (clásico)
11 Prototipo de gráfico
12 Panal
13 Disponibilidad del equipo
14 Navegador de equipos
15 Historial de métrica
16 Navegador de métricas
17 Valor de métrica
18 Mapa
19 Árbol de navegación del mapa
20 Gráfico circular
21 Equipos con problemas
22 Problemas
23 Problemas por gravedad
24 Informe SLA
25 Información del sistema
26 Equipos principales
27 Iniciadores principales
28 Vista general de iniciadores
29 URL
30 Monitoreo web
> Objeto de tarea
task.create
task.get
Objeto de tendencia
trend.get
Objeto de tipo de medio
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objeto token
token.create
token.delete
token.generate
token.get
token.update
> Objeto de usuario
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Apéndice 1. Comentario de referencia
Apéndice 2. Cambios de 6.4 a 7.0
1 Módulos cargables
1 Creación de complementos cargables
3 Módulos de la interfaz
1 Creación de la base de datos
2 Reparar el juego de caracteres y collation de la base de datos Zabbix
3 Actualización de la base de datos a claves primarias
1 Configuración de cifrado MySQL
2 Configuración de cifrado PostgreSQL
4 Preparing auditlog table for partitioning
5 Configuración de TimescaleDB
6 Configuración de Elasticsearch
7 Notas específicas de la distribución sobre la configuración de Nginx para Zabbix
8 Ejecutar agente como root
9 Agente Zabbix en Microsoft Windows
11 Configuración de SAML con Microsoft Azure AD
11 Configuración de SAML con Okta
12 SAML setup with OneLogin
14 Configurar informes programados
16 Idiomas de interfaz adicionales
1 Servidor Zabbix
2 Proxy de Zabbix
3 Agente Zabbix (UNIX)
4 Zabbix agente 2 (UNIX)
2 Complemento Docker
3 Complemento Ember+
4 Complemento Memcached
5 Complemento Modbus
6 Complemento MongoDB
7 Complemento MQTT
8 Complemento MSSQL
9 Complemento MySQL
10 Complemento de Oracle
11 Complemento PostgreSQL
12 Complemento Redis
13 Complemento Smart
Resumen
5 Agente Zabbix (Windows)
6 Agente Zabbix 2 (Windows)
8 Pasarela Zabbix Java
9 Servicio web Zabbix
10 Inclusión
1 Protocolo de intercambio de datos servidor-proxy
2 Protocolo del agente Zabbix
4 Protocolo del plugin Zabbix Agent 2
5 Protocolo de remitente Zabbix
6 Encabezado
7 Protocolo de exportación JSON delimitado por 'salto de linea'
1 Parámetros vm.memory.size
2 Comprobaciones pasivas y activas del agente
4 Nivel mínimo de permiso para métricas del agente de Windows
5 Codificación de valores devueltos
6 Compatibilidad con archivos grandes
7 Sensor
8 Notas sobre el parámetro memtype en las métricas proc.mem
9 Notas sobre la selección de procesos en los elementos proc.mem y proc.num
10 Detalles de implementación de las comprobaciones de net.tcp.service y net.udp.service
11 Parámetros proc.get
12 Configuración de interfaz de equipo inalcanzable/no disponible
13 Configurando Kerberos con Zabbix
13 Monitoreo remoto de las estadísticas de Zabbix
14 Parámetros modbus.get
16 Creación de nombres de contadores de rendimiento personalizados para VMware
16 Return values for system.sw.packages.get
17 Return values for net.dns.get
1 Funciones Foreach
2 Funciones bit a bit
3 Funciones de fecha y hora
4 Funciones de historial
5 Funciones de tendencia
6 Funciones matemáticas
7 Funciones de operador
8 Funciones de predicción
9 Funciones de cadena
1 Macros soportadas
2 Macros de usuario soportados por localización
8 Símbolos de unidad
9 Sintaxis de período de tiempo
10 Ejecución de comandos
11 Compatibilidad de versiones
12 Manejo de errores de la base de datos
13 Biblioteca de enlaces dinámicos del remitente Zabbix para Windows
14 Biblioteca Python para API Zabbix
15 Actualización del monitoreo de servicios
16 Otros temas
17 Comparación entre agente y agente 2
18 Ejemplos de escape
1 Monitorear Linux con el agente Zabbix
2 Monitorear Windows con el agente Zabbix
3 Monitorear Apache a través de HTTP
4 Monitorear MySQL con el agente 2 Zabbix
5 Monitorear VMware con Zabbix
6 Monitorear tráfico de red con Zabbix
7 Monitor network traffic using active checks
8 Monitor websites with Browser items
manifest.json
Acciones
Vistas
Activos
Registrar un nuevo módulo
Configuración
Presentación
Crear un módulo (tutorial)
Crear un widget (tutorial)
Ejemplos
Ejemplos
Crear un complemento (tutorial)
Interfaces de complementos
Cambios en el desarrollo de extensiones
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 Cifrado

Descripción general

Zabbix admite comunicaciones cifradas entre componentes de Zabbix utilizando el Protocolo Transport Layer Security (TLS) v.1.2 y 1.3 (según la biblioteca criptográfica). El cifrado basado en certificados y basado en claves precompartidas esta soportado.

El cifrado se puede configurar para las conexiones:

El cifrado es opcional y configurable para componentes individuales:

  • Algunos servidores proxy y agentes se pueden configurar para utilizar cifrado basado en certificados con el servidor, mientras que otros pueden usar cifrado basado en claves precompartidas y otros continúan con comunicaciones sin cifrar (como antes)
  • El servidor (proxy) puede utilizar diferentes configuraciones de cifrado para diferentes equipos

Los programas daemon de Zabbix utilizan un puerto de escucha para archivos cifrados y conexiones entrantes no cifradas. Agregar un cifrado no requiere abrir nuevos puertos en los firewalls.

Limitaciones

  • Las claves privadas se almacenan en texto plano en archivos legibles por los componentes de Zabbix durante el inicio
  • Las claves precompartidas se ingresan en la interfaz de Zabbix y se almacenan en la base de datos de Zabbix en texto plano
  • El cifrado integrado no protege las comunicaciones:
    • Entre el servidor web que ejecuta el frontend de Zabbix y el navegador web del usuario
    • Entre el frontend de Zabbix y el servidor de Zabbix.
  • Actualmente, cada conexión cifrada se abre con un protocolo de enlace TLS completo, no se implementa el almacenamiento en caché de sesiones y se implementan tickets
  • Agregar cifrado aumenta el tiempo para las comprobaciones y acciones de las métricas dependiendo de la latencia de la red:
    • Por ejemplo, si el retraso del paquete es de 100 ms, entonces abrir una conexión TCP y el envío de una solicitud no cifrada tardan unos 200 ms. Con el cifrado se añaden unos 1000 ms para establecer la conexión TLS;
    • Es posible que sea necesario aumentar los tiempos de espera; de lo contrario, algunas métricas y las acciones que ejecutan scripts remotos en agentes pueden funcionar con conexiones no cifradas, pero fallarán con el tiempo de espera con las cifradas.
  • El cifrado no es compatible con el descubrimiento de red. Los controles del agente Zabbix realizados por el descubrimiento de red no estarán cifrados y si el agente Zabbix está configurado para rechazar conexiones no cifradas, tales comprobaciones. no tendrán éxito.

Compilando Zabbix con soporte de cifrado

Para admitir el cifrado, Zabbix debe compilarse y vincularse con una de las bibliotecas criptográficas compatibles:

  • GnuTLS - desde la versión 3.1.18
  • OpenSSL - versiones 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x
  • LibreSSL - probado con las versiones 2.7.4, 2.8.2:
    • LibreSSL 2.6.x no es compatible
    • LibreSSL se admite como reemplazo compatible de OpenSSL; las nuevas funciones API específicas de LibreSSL tls_*() no se utilizan. Los componentes de Zabbix compilados con LibreSSL no podrán usar PSK, sólo se pueden utilizar certificados.

Puede obtener más información sobre la configuración de SSL para la interfaz de Zabbix consultando estas mejores prácticas.

La biblioteca se selecciona especificando la opción respectiva en secuencia de comandos "configure":

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (also used for LibreSSL)

Por ejemplo, para configurar las fuentes para el servidor y el agente con OpenSSL puede usar algo como:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Se pueden compilar diferentes componentes de Zabbix con diferentes librerías criptográficas (por ejemplo, un servidor con OpenSSL, un agente con GnuTLS).

Si planea utilizar claves precompartidas (PSK), considere usar bibliotecas GnuTLS o OpenSSL 1.1.0 (o más reciente) en los componentes de Zabbix que utilizan PSK. Bibliotecas GnuTLS y OpenSSL 1.1.0 admite conjuntos de cifrado PSK con Perfect Forward Secreto. Las versiones anteriores de la libraría OpenSSL (1.0.1, 1.0.2c) también admiten PSK, pero los conjuntos de cifrado PSK disponibles no proporcionan Perfect Forward Secreto.

Gestión de cifrado de la conexión

Las conexiones en Zabbix pueden usar:

Hay dos parámetros importantes que se utilizan para especificar el cifrado entre componentes de Zabbix:

  • TLSConnect: especifica qué cifrado utilizar para las conexiones salientes (sin cifrar, PSK o certificado)
  • TLSAccept: especifica qué tipos de conexiones están permitidas para conexiones entrantes (sin cifrar, PSK o certificado). Se pueden especificar uno o mas valores.

TLSConnect se utiliza en los archivos de configuración para el proxy Zabbix (en modo activo, especifica solo conexiones al servidor) y el agente Zabbix (para controles activos). En la interfaz de Zabbix, el equivalente de TLSConnect es el Campo Conexiones al equipo en Recopilación de datos → Equipos → <algún equipo> → pestaña Cifrado y el campo Conexiones al proxy en Administración → Proxies → <algún proxy> → pestaña Cifrado. Si el el tipo de cifrado configurado para la conexión falla, no se probarán ningún otro tipo de cifrado.

TLSAccept se utiliza en los archivos de configuración para el proxy Zabbix (en modo pasivo, especifica solo conexiones desde el servidor) y agente Zabbix (para controles pasivos). En la interfaz de Zabbix, el equivalente de TLSAccept es el Conexiones desde el equipo en Recopilación de datos → Equipos → <algún equipo> → pestaña Cifrado y el campo Conexiones desde proxy en Administración → Proxies → <algún proxy> → pestaña Cifrado.

Normalmente se configura sólo un tipo de cifrado para los cifrados de las comunicaciones entrantes. Pero es posible que desee cambiar el tipo de cifrado, p. e. de sin cifrar a basado en certificados con un tiempo de inactividad y reversión mínimos. Para lograr esto:

  • Establezca TLSAccept=unencrypted,cert en el archivo de configuración del agente y reinicie el agente Zabbix
  • Probar la conexión con zabbix_get al agente mediante certificado. Si funciona, puede reconfigurar el cifrado para ese agente en Zabbix frontend en Recopilación de datos → Equipos → <algún equipo> → pestaña Cifrado configurando Conexiones al equipo en "Certificado".
  • Cuando se actualiza la caché de configuración del servidor (y la configuración del proxy se actualiza si el equipo es monitoreado por proxy) entonces las conexiones a ese agente se cifrarán
  • Si todo funciona como se esperaba, puede configurar TLSAccept=cert en el archivo de configuración del agente y reiniciar el agente Zabbix. Ahora el agente aceptará únicamente conexiones cifradas basadas en certificados. Se rechazarán las conexiones no cifradas y basadas en PSK.

De manera similar funciona en servidor y proxy. Si en la interfaz de Zabbix en la configuración del equipo Conexiones desde el equipo está configurada en "Certificado", luego sólo se aceptarán conexiones cifradas basadas en certificados desde el agente (verificaciones activas) y zabbix_sender (métricas de captura).

Lo más probable es que configure las conexiones entrantes y salientes para usar el mismo tipo de cifrado o ningún cifrado. Pero técnicamente es posible configurarlo asimétricamente, p.e. cifrado basado en certificado para conexiones entrantes y basado en PSK para conexiones salientes.

La configuración de cifrado para cada equipo se muestra en la interfaz de Zabbix, en Recopilación de datos → Equipos en la columna Cifrado del agente. Por ejemplo:

Ejemplo Conexiones al equipo Conexiones permitidas desde el equipo Conexiones rechazadas desde el equipo
none_none.png Sin cifrar Sin cifrar Cifrado, certificado y cifrado basado en PSK
cert_cert.png Cifrado, basado en certificado Cifrado, basado en certificado Sin cifrar y cifrado basado en PSK
psk_psk.png Cifrado, basado en PSK Cifrado, basado en PSK Sin cifrar y cifrado basado en certificado
psk_none_psk.png Cifrado, basado en PSK Sin cifrar y cifrado basado en PSK Cifrado basado en certificado
cert_all.png Cifrado, basado en certificado Sin cifrar, PSK o cifrado basado en certificado -

Las conexiones no están cifradas de forma predeterminada. El cifrado debe configurarse para cada equipo y proxy individualmente.

zabbix_get y zabbix_sender con cifrado

Consulte las páginas de manual de zabbix_get y zabbix_sender para usarlos con cifrado.

Suites de cifrado

Los Ciphersuites de forma predeterminada se configuran internamente durante el inicio de Zabbix y, antes de Zabbix 4.0.19, 4.4.7, no son configurables por el usuario.

Desde Zabbix 4.0.19, 4.4.7 también se incluyen conjuntos de cifrado configurados por el usuario compatibles con GnuTLS y OpenSSL. Los usuarios pueden configurar conjuntos de cifrado según sus políticas de seguridad. El uso de esta función es opcional ( los conjuntos de cifrado integrados predeterminados todavía funcionan).

Para bibliotecas criptográficas compiladas con la configuración predeterminada incorporada en Zabbix, las reglas generalmente dan como resultado los siguientes conjuntos de cifrado (en orden de mayor a menor prioridad):

Biblioteca Suites de cifrado de certificados Suites de cifrado PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Conjuntos de cifrado configurados por el usuario

Los criterios de selección del conjunto de cifrado incorporado se pueden anular con conjuntos de cifrado configurados por el usuario.

Los conjuntos de cifrado configurados por el usuario son una característica destinada a usuarios avanzados que entienden los conjuntos de cifrado TLS, su seguridad y las consecuencias de los errores y quiénes se sienten cómodos con la solución de problemas de TLS.

Los criterios de selección del conjunto de cifrado incorporado se pueden anular utilizando los siguientes parámetros:

Anular alcance Parámetro Valor Descripción
Selección de conjunto de cifrado para certificados TLSCipherCert13 OpenSSL 1.1.1 [cadenas de cifrado] válidas (https://www.openssl.org/docs/man1.1.1/man1/ciphers.html) para el protocolo TLS 1.3 (sus valores se pasan a la función OpenSSL SSL_CTX_set_ciphersuites()). Criterios de selección de conjunto de cifrado basado en certificados para TLS 1.3

Solo OpenSSL 1.1.1 o posterior.
TLSCipherCert OpenSSL válido cadenas de cifrado para TLS 1.2 o GnuTLS válido cadenas de prioridad. Sus valores se pasan a las funciones SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivamente. Criterios de selección del conjunto de cifrado basado en certificados para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Selección de conjunto de cifrado para PSK TLSCipherPSK13 OpenSSL 1.1.1 [cadenas de cifrado] válidas (https://www.openssl.org/docs/man1.1.1/man1/ciphers.html) para el protocolo TLS 1.3 (sus valores se pasan a la función OpenSSL SSL_CTX_set_ciphersuites()). Criterios de selección de conjunto de cifrado basado en PSK para TLS 1.3

Solo OpenSSL 1.1.1 o posterior.
TLSCipherPSK OpenSSL válido cadenas de cifrado para TLS 1.2 o GnuTLS válido cadenas de prioridad. Sus valores se pasan a las funciones SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivamente. Criterios de selección del conjunto de cifrado basado en PSK para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Lista de conjuntos de cifrado combinados para certificado y PSK TLSCipherAll13 OpenSSL 1.1.1 válido cadenas de cifrado para el protocolo TLS 1.3 (sus valores se pasan a la función OpenSSL SSL_CTX_set_ciphersuites()). Criterios de selección de Ciphersuite para TLS 1.3

Solo OpenSSL 1.1.1 o posterior.
TLSCipherAll OpenSSL válido cadenas de cifrado para TLS 1.2 o GnuTLS válido cadenas de prioridad. Sus valores se pasan a las funciones SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivamente. Criterios de selección de Ciphersuite para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Para anular la selección del conjunto de cifrado en zabbix_get y Utilidades zabbix_sender: utilice la parámetros de línea de comando:

  • --tls-cipher13 ---tls-cipher

Los nuevos parámetros son opcionales. Si no se especifica un parámetro, el Se utiliza el valor predeterminado interno. Si se define un parámetro, no se puede vacío.

Si falla la configuración de un valor TLSCipher* en la biblioteca criptográfica, entonces el servidor, proxy o agente no se inicia y se registra un error.

Es importante comprender cuándo es aplicable cada parámetro.

Conexiones salientes

El caso más simple son las conexiones salientes:

  • Para conexiones salientes con certificado, utilice TLSCipherCert13 o TLSCifreCert
  • Para conexiones salientes con PSK - utilice TLSCipherPSK13 o TLSCifradoPSK
  • En el caso de las utilidades zabbix_get y zabbix_sender, se pueden utilizar en la línea de comandos los parámetros --tls-cipher13 o --tls-cipher (el cifrado se especifica inequívocamente con el parámetro --tls-connect)
Conexiones entrantes

Es un poco más complicado con las conexiones entrantes porque las reglas son específicas para componentes y configuración.

Para el agente Zabbix :

Configuración de conexión del agente Configuración de cifrado
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Para el servidor y proxy Zabbix:

Configuración de conexión Configuración de cifrado
Conexiones salientes mediante PSK TLSCipherPSK, TLSCipherPSK13
Conexiones entrantes mediante certificados TLSCipherAll, TLSCipherAll13
Conexiones entrantes usando PSK si el servidor no tiene certificado TLSCipherPSK, TLSCipherPSK13
Conexiones entrantes usando PSK si el servidor tiene certificado TLSCipherAll, TLSCipherAll13

Se puede ver algún patrón en las dos tablas anteriores:

  • TLSCipherAll y TLSCipherAll13 solo se pueden especificar si se utiliza una lista de conjuntos de cifrado basados en la combinación de certificados y PSK. Hay dos casos en los que se produce: servidor (proxy) con un certificado configurado (los conjuntos de cifrado PSK siempre están configurados en el servidor, proxy si la biblioteca criptográfica admite PSK), agente configurado para aceptar ambas conexiones entrantes basadas en certificados y PSK
  • en otros casos, TLSCipherCert* y/o TLSCipherPSK* son suficientes

Las siguientes tablas muestran los valores predeterminados integrados de TLSCipher*. Podrían ser un buen punto de partida para sus propios valores personalizados.

Parámetro GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parámetro OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Los valores predeterminados son diferentes para las versiones anteriores de OpenSSL (1.0.1, 1.0.2, 1.1.0), para LibreSSL y si OpenSSL está compilado sin soporte PSK.

Ejemplos de conjuntos de cifrado configurados por el usuario

Vea a continuación los siguientes ejemplos de conjuntos de cifrado configurados por el usuario:

Probar cadenas de cifrado y permitir solo conjuntos de cifrado PFS

Para ver qué conjuntos de cifrado se han seleccionado, debe configurar 'DebugLevel=4' en el archivo de configuración, o usar la opción -vv para zabbix_sender.

Podría ser necesario experimentar con los parámetros TLSCipher* antes de obtener los conjuntos de cifrado deseados. Es inconveniente reiniciar Servidor, proxy o agente Zabbix varias veces solo para modificar TLSCipher* parámetros. Opciones más convenientes son usar zabbix_sender o el Comando openssl. Mostremos ambos.

1. Usando zabbix_sender.

Hagamos un archivo de configuración de prueba, por ejemplo. /home/zabbix/test.conf, con la sintaxis de un archivo zabbix_agentd.conf:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Necesita certificados de agente y CA válidos y PSK para este ejemplo. Ajuste las rutas y los nombres de los archivos PSK y certificados para su entorno.

Si no está utilizando certificados, sino sólo PSK, puede hacer una solución más sencilla. archivo de prueba:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

Los conjuntos de cifrado seleccionados se pueden ver ejecutando zabbix_sender (ejemplo compilado con OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Aquí verá los conjuntos de cifrado seleccionados de forma predeterminada. Estos valores predeterminados se eligen para garantizar la interoperabilidad con los agentes Zabbix que se ejecutan en sistemas con versiones anteriores de OpenSSL (desde 1.0.1).

Con los sistemas más nuevos, puede optar por reforzar la seguridad permitiendo solo un pocos conjuntos de cifrado, p. sólo conjuntos de cifrado con PFS (Perfect Forward Secreto). Intentemos permitir solo conjuntos de cifrado con PFS usando Parámetros TLSCipher*.

El resultado no será interoperable con los sistemas usando OpenSSL 1.0.1 y 1.0.2, si se usa PSK. Basado en certificado el cifrado debería funcionar.

Agregue dos líneas al archivo de configuración test.conf:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

y pruebe otra vez:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Las listas de "conjuntos de cifrado de certificados" y "conjuntos de cifrado PSK" han cambiado - son más cortos que antes y solo contienen conjuntos de cifrado TLS 1.3 y Conjuntos de cifrado TLS 1.2 ECDHE-* como se esperaba.

2. TLSCipherAll y TLSCipherAll13 no se pueden probar con zabbix_sender; no afectan a los "certificados y conjuntos de cifrado PSK" valor mostrado en el ejemplo anterior. Para modificar TLSCipherAll y TLSCipherAll13 necesita experimentar con el agente, proxy o servidor.

Por lo tanto, para permitir solo conjuntos de cifrado PFS, es posible que deba agregar hasta tres parámetros

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

a zabbix_agentd.conf, zabbix_proxy.conf y zabbix_server_conf si cada uno de ellos tiene un certificado configurado y el agente también tiene PSK.

Si su entorno Zabbix utiliza sólo cifrado basado en PSK y no certificados, entonces solo uno:

  TLSCipherPSK=kECDHEPSK+AES128

Ahora que comprende cómo funciona, puede probar el conjunto de cifrado. selección incluso fuera de Zabbix, con el comando openssl. vamos a probar los tres valores de parámetro TLSCipher*:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Es posible que prefiera cifrados openssl con la opción -V para obtener una información más detallada. producción:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

De manera similar, puedes probar las cadenas de prioridad para GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Cambio de AES128 a AES256

Zabbix utiliza AES128 como valor predeterminado para los datos. Supongamos que usted están utilizando certificados y desean cambiar a AES256, en OpenSSL 1.1.1.

Esto se puede lograr agregando los parámetros respectivos en zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Aunque sólo se utilizarán los conjuntos de cifrado relacionados con certificados , los parámetros TLSCipherPSK* también se definen para evitar sus valores predeterminados que incluyen cifrados menos seguros para una interoperabilidad más amplia. Los conjuntos de cifrado PSK no se pueden desactivar completamente en el servidor/proxy.

Y en zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy