Documentation

1 Handmatige structuur
2 Wat is Zabbix
3 Zabbix-functies
4 Zabbix overzicht
5 Wat is nieuw in Zabbix 6.0.0
6 Wat is er nieuw in Zabbix 6.0.1
7 Wat is er nieuw in Zabbix 6.0.2
8 Wat is er nieuw in Zabbix 6.0.3
9 Wat is er nieuw in Zabbix 6.0.4
10 Wat is er nieuw in Zabbix 6.0.5
11 Wat is er nieuw in Zabbix 6.0.6
12 Wat is er nieuw in Zabbix 6.0.7
13 Wat is er nieuw in Zabbix 6.0.8
14 Wat is er nieuw in Zabbix 6.0.9
15 Wat is er nieuw in Zabbix 6.0.10
16 Wat is er nieuw in Zabbix 6.0.11
17 Wat is er nieuw in Zabbix 6.0.12
18 Wat is er nieuw in Zabbix 6.0.13
19 Wat is er nieuw in Zabbix 6.0.14
20 Wat is er nieuw in Zabbix 6.0.15
21 Wat is er nieuw in Zabbix 6.0.16
22 Wat is er nieuw in Zabbix 6.0.17
23 Wat is er nieuw in Zabbix 6.0.18
24 Wat is er nieuw in Zabbix 6.0.19
25 Wat is er nieuw in Zabbix 6.0.20
26 Wat is er nieuw in Zabbix 6.0.21
27 Wat is er nieuw in Zabbix 6.0.22
28 What's new in Zabbix 6.0.23
29 What's new in Zabbix 6.0.24
30 What's new in Zabbix 6.0.25
31 What's new in Zabbix 6.0.26
32 What's new in Zabbix 6.0.27
33 What's new in Zabbix 6.0.28
34 What's new in Zabbix 6.0.29
2. Definities
1 Hoge beschikbaarheid
2 Agent
3 Agent 2
4 Proxy
1 Instellen vanuit bronnen
2 Installatie vanaf RHEL pakketten
3 Setup vanuit Debian/Ubuntu-pakketten
6 Sender
7 Get
8 JS
9 Webservice
1 Getting Zabbix
1 PostgreSQL-plug-ins afhankelijkheden
2 MongoDB-plug-ins afhankelijkheden
2 Best practices voor veilige Zabbix-installatie
1 Zabbix-agent bouwen op Windows
2 Zabbix agent 2 bouwen op Windows
3 Zabbix-agent bouwen op macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise-server
4 Windows agent installatie van MSI
5 Mac OS-agentinstallatie vanaf PKG
6 Onstabiele releases
5 Installatie vanuit containers
1 Debian/Ubuntu frontend-installatie
1 Upgrade van sources
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
1 Compilation issues
9 Wijzigingen in sjablonen
10 Upgrade notities voor 6.0.0
11 Upgrade-opmerkingen voor 6.0.1
12 Upgrade-opmerkingen voor 6.0.2
13 Upgrade-opmerkingen voor 6.0.3
14 Upgrade-opmerkingen voor 6.0.4
15 Upgrade-opmerkingen voor 6.0.5
16 Upgrade-opmerkingen voor 6.0.6
17 Upgrade-opmerkingen voor 6.0.7
18 Upgrade-opmerkingen voor 6.0.8
19 Upgrade-opmerkingen voor 6.0.9
20 Upgrade-opmerkingen voor 6.0.10
21 Upgrade notities voor 6.0.11
22 Upgrade-opmerkingen voor 6.0.12
23 Upgrade noties voor 6.0.13
24 Upgrade-opmerkingen voor 6.0.14
25 Upgrade-opmerkingen voor 6.0.15
26 Upgrade-opmerkingen voor 6.0.16
27 Upgrade-opmerkingen voor 6.0.17
28 Upgrade-opmerkingen voor 6.0.18
29 Upgrade-opmerkingen voor 6.0.19
30 Upgrade-opmerkingen voor 6.0.20
31 Upgrade-opmerkingen voor 6.0.21
32 Upgrade opmerkingen voor 6.0.22
33 Upgrade notes for 6.0.23
34 Upgrade notes for 6.0.24
35 Upgrade notes for 6.0.25
36 Upgrade notes for 6.0.26
37 Upgrade notes for 6.0.27
38 Upgrade notes for 6.0.28
39 Upgrade notes for 6.0.29
1 Inloggen en gebruiker configureren
2 Nieuwe host
3 Nieuw item
4 Nieuwe trigger
5 Probleemmelding ontvangen
6 Nieuw template
6. Zabbix appliance
1 Configuratie van een host
2 Inventaris
3 Massa update
1 Indeling van item-sleutel
2 Aangepaste intervallen
1 Gebruiksvoorbeelden
2 Voorverwerkingsdetails
1 Escapen van speciale tekens van LLD-macrowaarden in JSONPath
1 Extra JavaScript-objecten
5 CSV naar JSON voorverwerking
1 Specifieke objectsleutels voor agent 2
2 Windows-specifieke item sleutels
1 Dynamische indexen
2 Speciale OIDs
3 MIB bestanden
3 SNMP traps
4 IPMI-controles
1 VMware monitoring item sleutels
6 Logbestand monitoring
1 Geaggregeerde berekeningen
8 Interne controles
9 SSH controles
10 Telnet controles
11 Externe Controles
12 Trapper items
13 JMX bewaking
1 Aanbevolen UnixODBC instellingen voor MySQL
2 Aanbevolen UnixODBC instellingen voor PostgreSQL
3 Aanbevolen UnixODBC instellingen voor Oracle
4 Aanbevolen UnixODBC instellingen voor MSSQL
15 Afhankelijke items
16 HTTP agent
17 Prometheus controles
18 Script-items
4 Geschiedenis en trends
1 Zabbix-agents uitbreiden
6 Laadbare modules
7 Windows prestatietellers
8 Massa update
9 Waarde Mapping
10 Wachtrij
11 Waardecache
12 Nu uitvoeren
13 Controles van agenten beperken
1 Laadbare plugins bouwen
1 Een trigger configureren
2 Trigger-expressie
3 Trigger afhankelijkheden
4 Triggerniveaus
5 Aanpassen van trigger ernst
6 Massa-update
7 Voorspellende triggerfuncties
1 Trigger event genereren
2 Andere gebeurtenis bronnen
3 Handmatig sluiten van problemen
1 Op triggers gebaseerde gebeurteniscorrelatie
2 Global event correlation
6 Taggen
1 Simpele grafieken
2 Aangepaste grafieken
3 Ad-hocgrafieken
4 Aggregatie in grafieken
1 Een netwerk map configureren
2 Host group elements
3 Verbindingsindicatoren
3 Dashboards
4 Hostdashboards
1 Een sjabloon configureren
2 Koppelen/ontkoppelen
3 Nesting
4 Massa-update
3 HTTP-templatebewerking
4 IPMI-sjabloonbewerking
5 JMX sjablooneffectuering
7 Gestandaardiseerde sjablonen voor netwerkapparaten
ODBC Template Werking
Stappen voor correcte werking van Zabbix agent 2 templates
Stappen voor correcte werking van Zabbix agent templates
1 E-mail
2 SMS
3 Aangepaste waarschuwingsscripts
1 Webhook-scriptvoorbeelden
1 Voorwaarden
1 Bericht verzenden
2 Remote opdrachten
3 Extra operaties
4 Macro’s gebruiken in berichten
3 Hersteloperaties
4 Updatebewerkingen
5 Escalaties
3 Melding ontvangen over niet-ondersteunde items
1 Macrofuncties
2 Gebruikersmacro's
3 Gebruikersmacro's met context
4 Ontdekkingsmacro's op laag niveau
5 Expressiemacro's
1 Een gebruiker configureren
2 Machtigingen
3 Gebruikersgroepen
13 Opslag van geheimen
14 Geplande rapporten
1 Serviceoverzicht
2 Serviceacties
3 SLA
4 Installatievoorbeeld
1 Web monitoring items
2 Real-life scenario
1 Velden voor virtual machine ontdekkingsleutels
11 Onderhoud
12 Reguliere expressies
13. Probleemherkenning
1 Hostgroepen
2 Sjablonen
3 Hosts
4 Netwerk kaart
5 Media types
1 Een netwerkdetectieregel configureren
2 Automatische registratie van actieve agenten
1 Item-prototypen
2 Triggerprototypen
3 Grafiek-prototypen
4 Opmerkingen over low-level detectie
1 Ontdekking van gekoppelde bestandssystemen
2 Discovery of network interfaces
4 Ontdekking van SNMP OID's
5 Ontdekking van JMX-objecten
6 Ontdekking van IPMI-sensoren
7 Ontdekking van systemd-services
8 Ontdekking van Windows-services
9 Ontdekking van Windows-prestatiemeterinstanties
10 Ontdekking met behulp van WMI-query's
11 Ontdekking met behulp van ODBC SQL query's
12 Ontdekking met behulp van Prometheus-gegevens
13 Discovery of block devices
14 Discovery of host interfaces in Zabbix
Discovery of CPUs and CPU cores
6 Aangepaste LLD-regels
1 Proxies
1 Certificaten gebruiken
2 Gebruik van vooraf gedeelde sleutels
1 Verbindingstype of toestemmingsproblemen
2 Certificate problems
3 PSK-problemen
1 Menu
1 Actielogboek
2 Klok
3 Gegevensoverzicht
4 Ontdekkingsstatus
5 Favoriete grafieken
6 Favoriete kaarten
7 Geomap
8 Grafiek
9 Grafiek (klassiek)
10 Grafiek-prototype
11 Beschikbaarheid van hosts
12 Item waarde
13 Kaart
14 Kaart navigatieboom
15 Plain text
16 Probleemhosts
17 Problemen
18 Problemen volgens ernst
19 SLA rapport
20 Systeeminformatie
21 Top hosts
22 Triggeroverzicht
23 URL
24 Web monitoring
2 Problemen
1 Grafieken
2 Web scenarios
4 Laatste gegevens
5 Kaarten
6 Discovery
1 Services
2 Serviceacties
3 SLA
4 SLA rapport
1 Overzicht
2 Hosts
1 Systeeminformatie
2 Geplande rapporten
3 Beschikbaarheidsrapport
4 Triggers top 100
5 Audit
6 Actie logboek
7 Meldingen
1 Host groepen
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
4 Onderhoud
5 Acties
6 Correlatie van gebeurtenissen
7 Ontdekking
1 Algemeen
1 Proxies
3 Authenticatie
4 Gebruikersgroepen
5 Gebruikersrollen
6 Gebruikers
7 Mediatypen
8 Scripts
9 Wachtrij
1 Globale meldingen
2 Geluid in browsers
4 Globale zoekopdracht
5 Frontend-onderhoudsmodus
6 Paginaparameters
7 Definities
8 Aanmaken van eigen thema
9 Debug modus
10 Cookies gebruikt door Zabbix
11 Tijdzones
13 Wachtwoord opnieuw instellen
> Actie-object
actie.maken
actie.update
actie.verwijderen
action.get
> Afbeeldingsobject
afbeelding.update
afbeelding.verwijderen
image.create
image.get
apiinfo.versie
> Item prototype-object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Auditlog-object
auditlog.get
> Authenticatie-object
authenticatie.get
authenticatie.update
> Autoregistratie-object
autoregistratie.get
autoregistratie.update
configuratie.export
configuratie.import
configuratie.importvergelijk
> Correlatie-object
correlatie.creëren
correlatie.delete
correlatie.get
correlatie.update
> Dashboard-object
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.creëren
dashboard.get
dashboard.update
dashboard.verwijderen
> Gebeurtenisobject
event.acknowledge
event.get
> Host-groepsobject
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Host-object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Gebruikersobject
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Gebruikersgroepsobject
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Gebruikersmacro-object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Geschiedenisobject
history.clear
history.get
> Grafiekobject
grafiek.creëren
grafiek.get
grafiek.update
grafiek.verwijderen
> Grafiek item-object
graphitem.get
> Grafiek prototype-object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Hostinterface-object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Actie-object
settings.get
settings.update
> Item-object
item.create
item.delete
item.get
item.update
> Kaartobject
kaart.update
map.create
map.delete
map.get
> LLD-regelobject
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Mediatype-object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Knooppuntobject met hoge beschikbaarheid
hanode.get
> Onderhoudsobject
maintenance.create
maintenance.delete
maintenance.get
onderhoud.update
> Service-object
service.create
service.delete
service.get
service.update
> Discovery-controleobject
dcheck.get
> Ontdekkingsregelobject
drule.create
drule.delete
drule.get
drule.update
> Serviceobject ontdekt
dservice.get
> Host-object ontdekt
dhost.get
> Pictogram kaartobject
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Probleemobject
problem.get
> Rapporteer object
report.create
report.delete
report.get
report.update
> Reguliere expressie-object
regexp.create
regexp.delete
regexp.get
regexp.update
> Rolobject
role.create
role.delete
role.get
role.update
> Host-object
housekeeping.update
huishouding.get
> Kaartobject
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Rapporteer object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Sjabloon dashboardobject
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> SLA-object
sla.creëren
sla.get
sla.getsli
sla.update
sla.verwijderen
> Taakobject
task.create
task.get
> Token-object
token.create
token.delete
token.generate
token.get
token.update
> Trendobject
trend.get
> Trigger-object
trigger.adddependencies
trigger.create
trigger.deletedependencies
trigger.get
trigger.update
trigger.verwijderen
> Item prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Proxy-object
proxy.create
proxy.delete
proxy.get
proxy.update
> Waardekaartobject
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Waarschuwingsobject
alert.get
> Webscenario-object
httptest.create
httptest.delete
httptest.get
httptest.update
Bijlage 1. Referentie commentaar
Bijlage 2. Wijzigingen van 5.4 naar 6.0
Zabbix API-wijzigingen in 6.0
20 Modules
1 Database maken
2 Tekenset en sortering van Zabbix-database herstellen
3 Database-upgrade naar primaire sleutels
1 MySQL-coderingsconfiguratie
2 PostgreSQL-coderingsconfiguratie
5 TijdschaalDB-configuratie
6 Elasticsearch-configuratie
7 Realtime export van gebeurtenissen, itemwaarden, trends
8 Distributiespecifieke opmerkingen over het instellen van Nginx voor Zabbix
9 Zabbix-agent als root uitvoeren
10 Zabbix-agent op Microsoft Windows
11 SAML-configuratie met Okta
12 Oracle-database instellen
13 Geplande rapporten instellen
14 Extra frontendtalen
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix-agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph plugin
2 Docker plugin
3 Memcached plugin
4 Modbus plugin
5 MongoDB plugin
6 MQTT plugin
7 MSSQL plugin
7 MySQL-plugin
8 Oracle plugin
9 PostgreSQL plugin
10 Redis plugin
11 Smart plugin
8 Zabbix Java-gateway
9 Zabbix web service
10 Inclusie
1 Server-proxy data-uitwisselingsprotocol
2 Zabbix-agent protocol
3 Zabbix agent 2-protocol
4 Header
4 Zabbix Agent 2-pluginprotocol
5 Zabbix-zenderprotocol
7 Protocol voor realtime export
1 Items supported by platform
2 vm.geheugen.grootte parameters
3 Passieve en Actieve agent controles
4 Trapper-items
5 Minimaal toestemmingsniveau voor Windows-agentitems
6 Codering van geretourneerde waarden
7 Ondersteuning voor grote bestanden
8 Sensor
9 Opmerkingen over memtype-parameter in proc.mem-items
10 Opmerkingen over het selecteren van processen in proc.mem en proc.num items
11 Implementatie details van net.tcp.service en net.udp.service checks
12 Onbereikbare/niet beschikbare hostinterface-instellingen
13 Controle op afstand van Zabbix-statistieken
14 Kerberos configureren met Zabbix
15 modbus.get-parameters
16 Aangepaste prestatie teller items aanmaken voor VMware
1 Foreach-functies
2 Bitwise-functies
3 Functies voor datum en tijd
4 Geschiedenisfuncties
5 Trendfuncties
6 Wiskundige functies
7 Operatorfuncties
8 Voorspellingsfuncties
9 String functions
1 Ondersteunde macro's
2 Gebruikersmacro's ondersteund door locatie
8 Eenheidssymbolen
9 Syntaxis van tijdsperiode
10 Commando-uitvoering
12 Database foutafhandeling
13 Versie compatibiliteit
13 Zabbix sender dynamische linkbibliotheek voor Windows
14 Python library for Zabbix API
14 Upgrade van servicemonitoring
15 Andere problemen
18 Escaping examples
Veelgestelde vragen en Probleemoplossing
Vergelijking tussen Agent en Agent 2
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 Encryptie

Overzicht

Zabbix ondersteunt versleutelde communicatie tussen Zabbix-componenten met behulp van het Transport Layer Security (TLS) protocol v1.2 en 1.3 (afhankelijk van de cryptobibliotheek). Versleuteling op basis van certificaten en vooraf gedeelde sleutels (PSK) wordt ondersteund.

Versleuteling kan geconfigureerd worden voor verbindingen:

Versleuteling is optioneel en configureerbaar voor individuele componenten:

  • Sommige proxies en agents kunnen geconfigureerd worden om certificaatgebaseerde versleuteling te gebruiken met de server, terwijl anderen vooraf gedeelde sleutel-gebaseerde versleuteling kunnen gebruiken, en weer anderen kunnen doorgaan met onversleutelde communicatie (zoals voorheen)
  • De server (proxy) kan verschillende versleutelingsconfiguraties gebruiken voor verschillende hosts

Zabbix daemonprogramma's gebruiken één luisterpoort voor versleutelde en onversleutelde inkomende verbindingen. Het toevoegen van versleuteling vereist geen opening van nieuwe poorten in firewalls.

Beperkingen

  • Privésleutels worden in platte tekst opgeslagen in bestanden die leesbaar zijn voor Zabbix-componenten tijdens het opstarten
  • Vooraf gedeelde sleutels worden ingevoerd in de Zabbix-frontend en in platte tekst opgeslagen in de Zabbix-database
  • Ingebouwde versleuteling beschermt de communicatie niet:
    • Tussen de webserver die Zabbix-frontend uitvoert en de webbrowser van de gebruiker
    • Tussen Zabbix-frontend en Zabbix-server
  • Momenteel wordt elke versleutelde verbinding geopend met een volledige TLS-handshake, er is geen sessiecaching en tickets geïmplementeerd
  • Het toevoegen van versleuteling verhoogt de tijd voor itemcontroles en acties, afhankelijk van de netwerklatentie:
    • Bijvoorbeeld, als de pakketvertraging 100 ms is, duurt het openen van een TCP-verbinding en het verzenden van een onversleuteld verzoek ongeveer 200 ms. Met versleuteling wordt ongeveer 1000 ms toegevoegd voor het tot stand brengen van de TLS-verbinding.
    • Time-outs moeten mogelijk worden verhoogd, anders kunnen sommige items en acties die op afstand scripts uitvoeren op agents werken met onversleutelde verbindingen, maar mislukken vanwege time-outs bij versleutelde verbindingen.
  • Versleuteling wordt niet ondersteund door netwerkontdekking. Controles uitgevoerd door de Zabbix-agent tijdens netwerkontdekking zijn onversleuteld en als de Zabbix-agent is geconfigureerd om onversleutelde verbindingen te weigeren, zullen dergelijke controles niet lukken.

Compileren van Zabbix met versleutelingsondersteuning

Om versleuteling te ondersteunen, moet Zabbix worden gecompileerd en gelinkt met een van de ondersteunde cryptobibliotheken:

  • GnuTLS - vanaf versie 3.1.18
  • OpenSSL - versies 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. Merk op dat 3.0.x wordt ondersteund vanaf Zabbix 6.0.4.
  • LibreSSL - getest met versies 2.7.4, 2.8.2:
    • LibreSSL 2.6.x wordt niet ondersteund
    • LibreSSL wordt ondersteund als een compatibele vervanging van OpenSSL; de nieuwe tls_*() LibreSSL-specifieke API-functies worden niet gebruikt. Zabbix-componenten gecompileerd met LibreSSL kunnen geen PSK gebruiken, alleen certificaten kunnen worden gebruikt.

U kunt meer te weten komen over het instellen van SSL voor de Zabbix-frontend door te verwijzen naar deze best practices.

De bibliotheek wordt geselecteerd door de respectieve optie aan te geven aan het "configure"-script:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (ook gebruikt voor LibreSSL)

Bijvoorbeeld, om de bronnen voor de server en agent te configureren met OpenSSL, kunt u iets als het volgende gebruiken:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Verschillende Zabbix-componenten kunnen worden gecompileerd met verschillende cryptobibliotheken (bijvoorbeeld een server met OpenSSL, een agent met GnuTLS).

Als u van plan bent om vooraf gedeelde sleutels (PSK) te gebruiken, overweeg dan om de GnuTLS of OpenSSL 1.1.0 (of nieuwere) bibliotheken te gebruiken in Zabbix-componenten die PSK's gebruiken. GnuTLS en OpenSSL 1.1.0 bibliotheken ondersteunen PSK-ciphersuites met Perfect Forward Secrecy. Oudere versies van de OpenSSL-bibliotheek (1.0.1, 1.0.2c) ondersteunen ook PSK's, maar de beschikbare PSK-ciphersuites bieden geen Perfect Forward Secrecy.

Beheer van verbinding versleuteling

In Zabbix kunnen verbindingen gebruik maken van:

Er zijn twee belangrijke parameters die worden gebruikt om versleuteling tussen Zabbix-componenten te specificeren:

  • TLSConnect - geeft aan welke versleuteling moet worden gebruikt voor uitgaande verbindingen (ongecodeerd, PSK of certificaat)
  • TLSAccept - geeft aan welke soorten verbindingen zijn toegestaan voor inkomende verbindingen (ongecodeerd, PSK of certificaat). Eén of meer waarden kunnen worden gespecificeerd.

TLSConnect wordt gebruikt in de configuratiebestanden voor de Zabbix-proxy (in actieve modus, specificeert alleen verbindingen naar de server) en de Zabbix-agent (voor actieve controles). In de Zabbix-frontend komt het equivalent van TLSConnect overeen met het veld Verbindingen met host in het tabblad Configuratie → Hosts → <een bepaalde host> → Versleuteling en het veld Verbindingen met proxy in het tabblad Beheer → Proxies → <een bepaalde proxy> → Versleuteling. Als het geconfigureerde versleutelingstype voor de verbinding mislukt, zullen er geen andere versleutelingstypen worden geprobeerd.

TLSAccept wordt gebruikt in de configuratiebestanden voor de Zabbix-proxy (in passieve modus, specificeert alleen verbindingen vanaf de server) en de Zabbix-agent (voor passieve controles). In de Zabbix-frontend komt het equivalent van TLSAccept overeen met het veld Verbindingen vanaf host in het tabblad Configuratie → Hosts → <een bepaalde host> → Versleuteling en het veld Verbindingen vanaf proxy in het tabblad Beheer → Proxies → <een bepaalde proxy> → Versleuteling.

Normaal gesproken configureert u slechts één type versleuteling voor inkomende versleutelingen. Maar u wilt mogelijk het versleutelingstype omschakelen, bijvoorbeeld van ongecodeerd naar certificaatgebaseerd met minimale downtime en de mogelijkheid tot terugdraaien. Om dit te bereiken:

  • Stel TLSAccept=unencrypted,cert in het configuratiebestand van de agent in en start de Zabbix-agent opnieuw op.
  • Test de verbinding met zabbix_get naar de agent met behulp van een certificaat. Als dit werkt, kunt u de versleuteling opnieuw configureren voor die agent in de Zabbix-frontend in het tabblad Configuratie → Hosts → <een bepaalde host> → Versleuteling door Verbindingen met host in te stellen op "Certificaat".
  • Wanneer de serverconfiguratiecache wordt bijgewerkt (en de proxyconfiguratie wordt bijgewerkt als de host wordt bewaakt door een proxy), zullen verbindingen met die agent worden versleuteld.
  • Als alles zoals verwacht werkt, kunt u TLSAccept=cert instellen in het configuratiebestand van de agent en de Zabbix-agent opnieuw starten. Nu zal de agent alleen versleutelde certificaatgebaseerde verbindingen accepteren. Ongecodeerde en PSK-gebaseerde verbindingen worden afgewezen.

Op een vergelijkbare manier werkt dit op de server en proxy. Als in de Zabbix-frontend in de hostconfiguratie Verbindingen vanaf host is ingesteld op "Certificaat", worden alleen op certificaat gebaseerde versleutelde verbindingen geaccepteerd vanaf de agent (actieve controles) en zabbix_sender (trapper-items).

Waarschijnlijk configureert u inkomende en uitgaande verbindingen om hetzelfde versleutelingstype te gebruiken of helemaal geen versleuteling. Technisch gezien is het echter mogelijk om dit asymmetrisch te configureren, bijvoorbeeld certificaatgebaseerde versleuteling voor inkomende verbindingen en PSK-gebaseerde versleuteling voor uitgaande verbindingen.

De versleutelingsconfiguratie voor elke host wordt weergegeven in de Zabbix-frontend, in Configuratie → Hosts in de kolom Agentversleuteling. Bijvoorbeeld:

Voorbeeld Verbindingen met host Toegestane verbindingen vanaf host Afgewezen verbindingen vanaf host
none_none.png Ongecodeerd Ongecodeerd Gecodeerd, certificaat en PSK-gebaseerd gecodeerd
cert_cert.png Gecodeerd, certificaatgebaseerd Gecodeerd, certificaatgebaseerd Ongecodeerd en PSK-gebaseerd gecodeerd
psk_psk.png Gecodeerd, PSK-gebaseerd Gecodeerd, PSK-gebaseerd Ongecodeerd en certificaatgebaseerd gecodeerd
psk_none_psk.png Gecodeerd, PSK-gebaseerd Ongecodeerd en PSK-gebaseerd gecodeerd Certificaatgebaseerd gecodeerd
cert_all.png Gecodeerd, certificaatgebaseerd Ongecodeerd, PSK of certificaatgebaseerd gecodeerd -

Verbindingen zijn standaard ongecodeerd. Versleuteling moet voor elke host en proxy individueel worden geconfigureerd.

zabbix_get en zabbix_sender met versleuteling

Zie de manpagina's voor zabbix_get en zabbix_sender voor het gebruik ervan met versleuteling.

Ciphersuites

Standaard worden ciphersuites intern geconfigureerd tijdens het opstarten van Zabbix en, vóór Zabbix 4.0.19 en 4.4.7, zijn ze niet configureerbaar door gebruikers.

Sinds Zabbix 4.0.19 en 4.4.7 worden ook door gebruikers geconfigureerde ciphersuites ondersteund voor GnuTLS en OpenSSL. Gebruikers kunnen ciphersuites configureren volgens hun beveiligingsbeleid. Het gebruik van deze functie is optioneel (de ingebouwde standaard ciphersuites werken nog steeds).

Voor cryptobibliotheken die zijn gecompileerd met de standaardinstellingen, resulteren Zabbix's ingebouwde regels meestal in de volgende ciphersuites (in volgorde van hogere naar lagere prioriteit):

Bibliotheek Ciphersuites voor certificaten Ciphersuites voor PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Door de gebruiker geconfigureerde ciphersuites

De ingebouwde ciphersuite-selectiecriteria kunnen worden overschreven met door de gebruiker geconfigureerde ciphersuites.

Door de gebruiker geconfigureerde ciphersuites is een functie bedoeld voor gevorderde gebruikers die TLS-ciphersuites begrijpen, hun beveiliging en de gevolgen van fouten, en die comfortabel zijn met het oplossen van TLS-problemen.

De ingebouwde ciphersuite-selectiecriteria kunnen worden overschreven met behulp van de volgende parameters:

Overschrijvingsbereik Parameter Waarde Beschrijving
Ciphersuite-selectie voor certificaten TLSCipherCert13 Geldige OpenSSL 1.1.1 cipher strings voor TLS 1.3-protocol (hun waarden worden doorgegeven aan de OpenSSL-functie SSL_CTX_set_ciphersuites()). Ciphersuite-selectiecriteria voor certificaten voor TLS 1.3

Alleen OpenSSL 1.1.1 of nieuwer.
TLSCipherCert Geldige OpenSSL cipher strings voor TLS 1.2 of geldige GnuTLS priority strings. Hun waarden worden respectievelijk doorgegeven aan de functies SSL_CTX_set_cipher_list() of gnutls_priority_init(). Ciphersuite-selectiecriteria voor certificaten voor TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Ciphersuite-selectie voor PSK TLSCipherPSK13 Geldige OpenSSL 1.1.1 cipher strings voor TLS 1.3-protocol (hun waarden worden doorgegeven aan de OpenSSL-functie SSL_CTX_set_ciphersuites()). Ciphersuite-selectiecriteria voor PSK voor TLS 1.3

Alleen OpenSSL 1.1.1 of nieuwer.
TLSCipherPSK Geldige OpenSSL cipher strings voor TLS 1.2 of geldige GnuTLS priority strings. Hun waarden worden respectievelijk doorgegeven aan de functies SSL_CTX_set_cipher_list() of gnutls_priority_init(). Ciphersuite-selectiecriteria voor PSK voor TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Gecombineerde ciphersuite-lijst voor certificaat en PSK TLSCipherAll13 Geldige OpenSSL 1.1.1 cipher strings voor TLS 1.3-protocol (hun waarden worden doorgegeven aan de OpenSSL-functie SSL_CTX_set_ciphersuites()). Ciphersuite-selectiecriteria voor TLS 1.3

Alleen OpenSSL 1.1.1 of nieuwer.
TLSCipherAll Geldige OpenSSL cipher strings voor TLS 1.2 of geldige GnuTLS priority strings. Hun waarden worden respectievelijk doorgegeven aan de functies SSL_CTX_set_cipher_list() of gnutls_priority_init(). Ciphersuite-selectiecriteria voor TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Om de ciphersuite-selectie in de hulpprogramma's zabbix_get en zabbix_sender te overschrijven, gebruik je de volgende commandoregelparameters:

  • --tls-cipher13
  • --tls-cipher

De nieuwe parameters zijn optioneel. Als een parameter niet is gespecificeerd, wordt de interne standaardwaarde gebruikt. Als een parameter is gedefinieerd, kan deze niet leeg zijn.

Als het instellen van een TLSCipher* waarde in de cryptobibliotheek mislukt, wordt de server, proxy of agent niet gestart en wordt er een fout gelogd.

Het is belangrijk om te begrijpen wanneer elke parameter van toepassing is.

Uitgaande verbindingen

Het eenvoudigste geval betreft uitgaande verbindingen:

  • Voor uitgaande verbindingen met een certificaat - gebruik TLSCipherCert13 of TLSCipherCert
  • Voor uitgaande verbindingen met PSK - gebruik TLSCipherPSK13 en TLSCipherPSK
  • In het geval van zabbix_get en zabbix_sender hulpprogramma's kunnen de command-line parameters --tls-cipher13 en --tls-cipher worden gebruikt (versleuteling wordt ondubbelzinnig gespecificeerd met een --tls-connect parameter)
Inkomende verbindingen

Het is iets ingewikkelder met inkomende verbindingen omdat de regels specifiek zijn voor componenten en configuraties.

Voor de Zabbix-agent:

Instelling agent verbinding Versleutelings Configuratie
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Voor Zabbix-server en proxy:

Verbindings configuratie Versleutelings configuratie
Uitgaande verbindingen met PSK TLSCipherPSK, TLSCipherPSK13
Inkomende verbindingen met certificaten TLSCipherAll, TLSCipherAll13
Inkomende verbindingen met PSK als de server geen certificaat heeft TLSCipherPSK, TLSCipherPSK13
Inkomende verbindingen met PSK als de server een certificaat heeft TLSCipherAll, TLSCipherAll13

Er is een patroon te zien in de twee bovenstaande tabellen:

  • TLSCipherAll en TLSCipherAll13 kunnen alleen worden gespecificeerd als een gecombineerde lijst van cijfersuites voor certificaten en PSK wordt gebruikt. Er zijn twee gevallen waarin dit gebeurt: server (proxy) met een geconfigureerd certificaat (PSK-cijfersuites worden altijd geconfigureerd op server, proxy als de crypto-bibliotheek PSK ondersteunt), agent geconfigureerd om zowel op certificaat- als PSK-gebaseerde inkomende verbindingen te accepteren
  • in andere gevallen zijn TLSCipherCert* en/of TLSCipherPSK* voldoende

De volgende tabellen tonen de TLSCipher* ingebouwde standaardwaarden. Deze kunnen een goed startpunt zijn voor uw eigen aangepaste waarden.

Parameter GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parameter OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Standaardwaarden zijn anders voor oudere OpenSSL-versies (1.0.1, 1.0.2, 1.1.0), voor LibreSSL en als OpenSSL is gecompileerd zonder PSK-ondersteuning.

** Voorbeelden van door de gebruiker geconfigureerde cijfersuites **

Hieronder vindt u enkele voorbeelden van door de gebruiker geconfigureerde versleutelingssuites:

Testen van ciphersuite-strings en alleen toestaan van PFS-ciphersuites

Om te zien welke ciphersuites zijn geselecteerd, moet je 'DebugLevel=4' instellen in het configuratiebestand, of de -vv optie gebruiken voor zabbix_sender.

Enig experimenteren met TLSCipher* parameters kan nodig zijn voordat je de gewenste ciphersuites krijgt. Het is onhandig om de Zabbix-server, proxy of agent meerdere keren opnieuw te moeten starten om TLSCipher* parameters aan te passen. Handiger opties zijn het gebruik van zabbix_sender of het openssl commando. Laten we beide methoden bekijken.

1. Gebruik van zabbix_sender.

Laten we een testconfiguratiebestand maken, bijvoorbeeld /home/zabbix/test.conf, met de syntaxis van een zabbix_agentd.conf bestand:

Hostname=nonexisting
       ServerActive=nonexisting

       TLSConnect=cert
       TLSCAFile=/home/zabbix/ca.crt
       TLSCertFile=/home/zabbix/agent.crt
       TLSKeyFile=/home/zabbix/agent.key
       TLSPSKIdentity=nonexisting
       TLSPSKFile=/home/zabbix/agent.psk

Voor dit voorbeeld heb je geldige CA- en agent-certificaten en PSK nodig. Pas de paden en namen van certificaat- en PSK-bestanden aan voor jouw omgeving.

Als je alleen PSK gebruikt en geen certificaten, kun je een eenvoudiger testbestand maken:

Hostname=nonexisting
       ServerActive=nonexisting

       TLSConnect=psk
       TLSPSKIdentity=nonexisting
       TLSPSKFile=/home/zabbix/agentd.psk

De geselecteerde ciphersuites kunnen worden weergegeven door zabbix_sender uit te voeren (het voorbeeld is gecompileerd met OpenSSL 1.1.1):

$ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
       zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
       zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
       zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Hier zie je de ciphersuites die standaard zijn geselecteerd. Deze standaardwaarden worden gekozen om interoperabiliteit met Zabbix-agents op systemen met oudere OpenSSL-versies (vanaf 1.0.1) te garanderen.

Met nieuwere systemen kun je de beveiliging aanscherpen door alleen een paar ciphersuites toe te staan, bijvoorbeeld alleen ciphersuites met PFS (Perfect Forward Secrecy). Laten we proberen alleen ciphersuites met PFS toe te staan met behulp van de TLSCipher* parameters.

Het resultaat zal niet interoperabel zijn met systemen die OpenSSL 1.0.1 en 1.0.2 gebruiken, als PSK wordt gebruikt. Versleuteling op basis van certificaten zou wel moeten werken.

Voeg twee regels toe aan het test.conf configuratiebestand:

TLSCipherCert=EECDH+aRSA+AES128
       TLSCipherPSK=kECDHEPSK+AES128

en test opnieuw:

$ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
       zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
       zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
       zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-C

       BC-SHA

De lijsten "certificate ciphersuites" en "PSK ciphersuites" zijn veranderd - ze zijn korter dan voorheen en bevatten alleen TLS 1.3 ciphersuites en TLS 1.2 ECDHE-* ciphersuites zoals verwacht.

2. TLSCipherAll en TLSCipherAll13 kunnen niet worden getest met zabbix_sender; ze hebben geen invloed op de waarde van "certificate and PSK ciphersuites" zoals hierboven getoond. Om TLSCipherAll en TLSCipherAll13 aan te passen, moet je experimenteren met de agent, proxy of server.

Dus om alleen PFS ciphersuites toe te staan, moet je mogelijk tot drie parameters toevoegen:

TLSCipherCert=EECDH+aRSA+AES128
       TLSCipherPSK=kECDHEPSK+AES128
       TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

aan zabbix_agentd.conf, zabbix_proxy.conf en zabbix_server.conf, als elk van hen een geconfigureerd certificaat heeft en de agent ook PSK heeft.

Als jouw Zabbix-omgeving alleen op PSK-gebaseerde versleuteling vertrouwt en geen certificaten gebruikt, dan alleen:

TLSCipherPSK=kECDHEPSK+AES128

Nu je begrijpt hoe het werkt, kun je de ciphersuite-selectie zelfs buiten Zabbix testen, met het openssl commando. Laten we alle drie TLSCipher* parameterwaarden testen:

$ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
       TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
       $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
       TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
       $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
       TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Je kunt ook openssl ciphers gebruiken met de optie -V voor een meer gedetailleerde uitvoer:

$ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                       0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                       0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                       0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                       0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                       0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                       0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                       0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                       0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

Op vergelijkbare wijze kun je de prioriteitssnaren voor GnuTLS testen:

$ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
       Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
       TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
       TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2

       Protocols: VERS-TLS1.2
       Ciphers: AES-128-GCM, AES-128-CBC
       MACs: AEAD, SHA256
       Key Exchange Algorithms: ECDHE-RSA
       Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
       PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-

       ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Overschakelen van AES128 naar AES256

Zabbix gebruikt standaard AES128 voor gegevensversleuteling. Stel dat je certificaten gebruikt en wilt overschakelen naar AES256 op OpenSSL 1.1.1.

Dit kan worden bereikt door de respectievelijke parameters toe te voegen in zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Hoewel alleen ciphersuites met betrekking tot certificaten zullen worden gebruikt, zijn ook TLSCipherPSK* parameters gedefinieerd om hun standaardwaarden te vermijden, die minder veilige ciphers bevatten voor bredere interoperabiliteit. PSK-ciphersuites kunnen niet volledig worden uitgeschakeld op server/proxy.

En in zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy