2 PostgreSQL titkosítási konfiguráció

Áttekintés

Ez a szakasz több titkosítási konfigurációs példát mutat be a következőhöz CentOS 8.2 és PostgreSQL 13.

A Zabbix frontend és a PostgreSQL közötti kapcsolat nem lehetséges titkosított (a GUI paraméterei le vannak tiltva), ha az Database értéke host mező perjellel kezdődik, vagy a mező üres.

Előtanulmányok

Telepítse a PostgreSQL adatbázist a official tárhely.

A PostgreSQL nincs úgy konfigurálva, hogy azonnal elfogadja a TLS-kapcsolatokat. Kérjük, kövesse a PostgreSQL dokumentációjában található utasításokat bizonyítvány elkészítése a postgresql.conf és felhasználói hozzáféréshez is control a ph_hba.conf-on keresztül.

Alapértelmezés szerint a PostgreSQL socket a localhosthoz van kötve, a a hálózati távoli kapcsolatok lehetővé teszik a valós hálózaton történő hallgatást felület.

PostgreSQL beállítások mindenkinek modes így nézhet ki ez:

/var/lib/pgsql/13/data/postgresql.conf:

...
       ssl = be
       ssl_ca_file = 'root.crt'
       ssl_cert_file = 'server.crt'
       ssl_key_file = 'szerver.kulcs'
       ssl_ciphers = 'MAGAS:KÖZEPES:+3DES:!aNULL'
       ssl_prefer_server_ciphers = be
       ssl_min_protocol_version = 'TLSv1.3'
       ...

A hozzáférés-vezérléshez állítsa be a /var/lib/pgsql/13/data/pg_hba.conf beállítást:

...
       ### megköveteli
       hostssl mind 0.0.0.0/0 md5
       
       ### hitelesítse a CA-t
       hostssl all all 0.0.0.0/0 md5 clientcert=verify-ca
       
       ### ellenőrizze, hogy megtelt
       hostssl all all 0.0.0.0/0 md5 clientcert=verify-full
       ...

Kötelező mód

Frontend

Csak szállítási titkosítás engedélyezése a Zabbix közötti kapcsolatokhoz frontend és az adatbázis:

  • Ellenőrizze az adatbázis TLS-titkosítását
  • Hagyja bejelöletlenül az Verify adatbázis tanúsítványt

Szerver

Csak szállítási titkosítás engedélyezése a szerver és a kiszolgáló közötti kapcsolatokhoz az adatbázisban állítsa be az /etc/zabbix/zabbix_server.conf fájlt:

...
       DBHost=10.211.55.9
       DBName=zabbix
       DBUser=zbx_srv
       DBPassword=<strong_password>
       DBTLSConnect=telező
       ...

Ellenőrizze a CA módot

Frontend

A titkosítás engedélyezése a tanúsító hatóság ellenőrzésével a következőnél kapcsolatok a Zabbix frontend és az adatbázis között:

  • Ellenőrizze az Adatbázis TLS-titkosítást és az Az adatbázis-tanúsítvány ellenőrzését
  • Adja meg az Adatbázis TLS kulcsfájl elérési útját
  • Adja meg az Adatbázis TLS CA-fájl elérési útját
  • Adja meg az Adatbázis TLS-tanúsítványfájl elérési útját

Alternatív megoldásként ez beállítható az /etc/zabbix/web/zabbix.conf.php: fájlban.

...
       $DB['TITKOSÍTÁS'] = igaz;
       $DB['KEY_FILE'] = ';
       $DB['CERT_FILE'] = ';
       $DB['CA_FILE'] = '/etc/ssl/pgsql/root.crt';
       $DB['VERIFY_HOST'] = hamis;
       $DB['CIPHER_LIST'] = ';
       ...

Szerver

A titkosítás engedélyezése a kapcsolatok tanúsítvány-ellenőrzésével a Zabbix szerver és az adatbázis között, konfigurálja /etc/zabbix/zabbix_server.conf:

...
       DBHost=10.211.55.9
       DBName=zabbix
       DBUser=zbx_srv
       DBPassword=<strong_password>
       DBTLSConnect=verify_ca
       DBTLSCAFile=/etc/ssl/pgsql/root.crt
       ...

Ellenőrizze a teljes módot

Frontend

A titkosítás engedélyezése tanúsítvánnyal és adatbázis-gazdaazonosítóval a Zabbix frontend és az adatbázis közötti kapcsolatok ellenőrzése:

  • Ellenőrizze az Adatbázis TLS-titkosítást és az Az adatbázis-tanúsítvány ellenőrzését
  • Adja meg az Adatbázis TLS kulcsfájl elérési útját
  • Adja meg az Adatbázis TLS CA-fájl elérési útját
  • Adja meg az Adatbázis TLS-tanúsítványfájl elérési útját
  • Ellenőrizze az Adatbázis gazdagép ellenőrzését

Alternatív megoldásként ez beállítható az /etc/zabbix/web/zabbix.conf.php: fájlban.

$DB['TITKOSÍTÁS'] = igaz;
       $DB['KEY_FILE'] = ';
       $DB['CERT_FILE'] = ';
       $DB['CA_FILE'] = '/etc/ssl/pgsql/root.crt';
       $DB['VERIFY_HOST'] = igaz;
       $DB['CIPHER_LIST'] = ';
       ...

Szerver

A titkosítás engedélyezése tanúsítvánnyal és adatbázis-gazdaazonosítóval a Zabbix szerver és az adatbázis közötti kapcsolatok ellenőrzése, /etc/zabbix/zabbix_server.conf konfigurálása:

...
       DBHost=10.211.55.9
       DBName=zabbix
       DBUser=zbx_srv
       DBPassword=<strong_password>
       DBTLSConnect=verify_full
       DBTLSCAFile=/etc/ssl/pgsql/root.crt
       DBTLSCertFile=/etc/ssl/pgsql/client.crt
       DBTLSKeyFile=/etc/ssl/pgsql/client.key
       ...