3 Безопасные соединения с базой данных

Обзор

Можно настроить безопасные соединения TLS с базами данных MySQL и PostgreSQL из:

  • Веб-интерфейса Zabbix
  • Zabbix сервера или прокси

Настройка веб-интерфейса

Опции для настройки безопасных соединений с базой данных становятся доступными, когда флажок TLS шифрование отмечен на шаге Настроить соединение с БД при установке веб-интерфейса Zabbix.

Параметр Описание
Шифрование TLS Установите этот флажок, чтобы активировать шифрование для соединений с базой данных Zabbix.
Даже если другие параметры не заполнены, соединения будут зашифрованы TLS, если этот флажок установлен.
Параметры TLS
Файл TLS ключа Укажите полный путь к действительному файлу TLS ключа.
Файл TLS сертификата Укажите полный путь к действительному файлу TLS сертификата.
//Файл TLS источника сертификатов // Укажите полный путь к действительному файлу источника сертификации TLS.
С проверкой хоста Установите этот флажок, чтобы активировать проверку узла сети.
Список TLS шифров Укажите собственный список допустимых шифров. Формат списка шифров должен соответствовать стандарту OpenSSL.
Это поле доступно только для MySQL.

Параметры TLS должны корректно указывать на файлы. Если они указывают на несуществующие или недействительные файлы, будет отображаться ошибка соединения. Если параметры TLS указывают на файлы, которые открыты для записи, веб-интерфейс сгенерирует предупреждение в отчете Информация о системе о том, что "Файлы сертификата TLS должны быть доступны только для чтения."

Примеры использования
Настройка Результат
Нет (оставьте Шифрование TLS неотмеченным) Подключение к базе данных без шифрования.
1. Установите только флажок Шифрование TLS Безопасное соединение TLS с базой данных.
1. Установите флажок Шифрование TLS
2. Укажите файл источника TLS сертификации
Безопасное соединение TLS с базой данных;
Сертификат сервера базы данных проверен и подтвержден тем,
что он подписан доверенным центром.
1. Установите флажок Шифрование TLS
2. Укажите файл источника TLS сертификации
3. Установите С проверкой хоста
4. Укажите список шифров TLS (необязательно)
Безопасное соединение TLS с базой данных;
Сертификат сервера базы данных проверяется путем сравнения имени узла сети,
указанного в сертификате, с именем хоста, к которому он подключен;
Подтверждено, что сертификат подписан доверенным центром.
1. Установите флажок Шифрование TLS
2. Укажите файл TLS ключа
3. Укажите файл TLS сертификата
4. Укажите файл источника TLS сертификации
5. Установите С проверкой хоста
6. Укажите список шифров TLS (необязательно)
Защищенные TLS соединения с базой данных устанавливаются с максимальной безопасностью.
Требование к клиентской части представить свои сертификаты настраивается на стороне сервера.

Настройка Zabbix сервера/прокси

Защищенные соединения с базой данных можно настроить с помощью соответствующих параметров в файле конфигурации Zabbix сервера и/или прокси.

Настройка Результат
Нет Соединение с базой данных без шифрования.
1. Установите DBTLSConnect=required Сервер/прокси устанавливают TLS-соединение с базой данных. Незашифрованное соединение не допускается.
1. Установите DBTLSConnect=verify_ca
2. В DBTLSCAFile укажите файл центра сертификации TLS
Сервер/прокси устанавливает TLS-соединение с базой данных после проверки сертификата базы данных.
1. Установите DBTLSConnect=verify_full
2. В DBTLSCAFile укажите файл центра сертификации TLS
Сервер / прокси-сервер устанавливает TLS-соединение с базой данных после проверки сертификата базы данных и идентификации хоста базы данных.
1. В DBTLSCAFile укажите файл центра сертификации TLS
2. В DBTLSCertFile укажите файл сертификата открытого ключа клиента
3. В DBTLSKeyFile указать файл закрытого ключа клиента
Сервер / прокси предоставляют клиентский сертификат при подключении к базе данных.
1. В DBTLSCipher укажите список шифровальных шифров, которые клиент разрешает для соединений, использующих протоколы TLS до TLS 1.2

или в DBTLSCipher13 - список шифровальных шифров, которые клиент разрешает для соединений по протоколу TLS 1.3.
(MySQL) TLS-соединение осуществляется с использованием шифра из предоставленного списка.
(PostgreSQL) Установка этой опции будет считаться ошибкой.