Documentation

1. Структура руководства
2. Что такое Zabbix
3. Возможности Zabbix
4. Обзор Zabbix
5. Что нового в Zabbix 6.0.0
6. Что нового в Zabbix 6.0.1
7. Что нового в Zabbix 6.0.2
8. Что нового в Zabbix 6.0.3
9. Что нового в Zabbix 6.0.4
10. Что нового в Zabbix 6.0.5
11. Что нового в Zabbix 6.0.6
12. Что нового в Zabbix 6.0.7
13. Что нового в Zabbix 6.0.8
14. Что нового в Zabbix 6.0.9
15. Что нового в Zabbix 6.0.10
16. Что нового в Zabbix 6.0.11
17. Что нового в Zabbix 6.0.12
18. Что нового в Zabbix 6.0.13
19. Что нового в Zabbix 6.0.14
20. Что нового в Zabbix 6.0.15
21. Что нового в Zabbix 6.0.16
22. Что нового в Zabbix 6.0.17
23. Что нового в Zabbix 6.0.18
24. Что нового в Zabbix 6.0.19
25. Что нового в Zabbix 6.0.20
26. Что нового в Zabbix 6.0.21
27. Что нового в Zabbix 6.0.22
28. Что нового в Zabbix 6.0.23
29. Что нового в Zabbix 6.0.24
30. Что нового в Zabbix 6.0.25
31. Что нового в Zabbix 6.0.26
32. Что нового в Zabbix 6.0.27
33. Что нового в Zabbix 6.0.28
34. Что нового в Zabbix 6.0.29
2. Определения
1. Кластер высокой доступности
2. Агент
3. Агент 2
4. Прокси
1 Установка из исходных кодов
2 Установка из пакетов RHEL
3 Установка из пакетов Debian/Ubuntu
6. Sender
7. Get
8. JS
9. Веб-сервис
1. Получение Zabbix
1. Зависимости плагина PostgreSQL
2. Зависимости плагина MongoDB
2. Наилучшие практики для безопасной установки Zabbix
1. Сборка Zabbix агента на Windows
2. Сборка Zabbix агента 2 на Windows
3. Сборка Zabbix агента на macOS
1. Red Hat Enterprise Linux
2. Debian/Ubuntu/Raspbian
3. SUSE Linux Enterprise Server
4. Установка Windows агента из MSI
5. Установка агента на Mac OS из PKG
6. Нестабильные релизы
5. Установка из контейнеров
1. Установка веб-интерфейса на Debian/Ubuntu
1. Обновление из исходных кодов
1. Red Hat Enterprise Linux
2. Debian/Ubuntu
1. Проблемы при компиляции
9. Изменения в шаблонах
10. Заметки по обновлению для 6.0.0
11. Заметки по обновлению для 6.0.1
12. Заметки по обновлению для 6.0.2
13. Заметки по обновлению для 6.0.3
14. Заметки по обновлению для 6.0.4
15. Заметки по обновлению для 6.0.5
16. Заметки по обновлению для 6.0.6
17. Заметки по обновлению для 6.0.7
18. Заметки по обновлению для 6.0.8
19. Заметки по обновлению для 6.0.9
20. Заметки по обновлению для 6.0.10
21. Заметки по обновлению для 6.0.11
22. Заметки по обновлению для 6.0.12
23. Заметки по обновлению для 6.0.13
24. Заметки по обновлению для 6.0.14
25. Заметки по обновлению для 6.0.15
26. Заметки по обновлению для 6.0.16
27. Заметки по обновлению для 6.0.17
28. Заметки по обновлению для 6.0.18
29. Заметки по обновлению для 6.0.19
30. Заметки по обновлению для 6.0.20
31. Заметки по обновлению для 6.0.21
32. Заметки по обновлению для 6.0.22
33. Заметки по обновлению для 6.0.23
34. Заметки по обновлению для 6.0.24
35. Заметки по обновлению для 6.0.25
36. Заметки по обновлению для 6.0.26
37. Заметки по обновлению для 6.0.27
38. Заметки по обновлению для 6.0.28
39. Заметки по обновлению для 6.0.29
1. Вход и настройка пользователя
2. Новый узел сети
3. Новый элемент данных
4. Новый триггер
5. Получение оповещения о проблеме
6. Новый шаблон
6. Готовое решение Zabbix
1. Настройка узла сети
2. Инвентаризация
3. Массовое обновление
1. Формат ключа элемента данных
2. Пользовательские интервалы
1 Примеры использования
2 Детали предобработки значений элементов данных
1 Экранирование спецсимволов из значений LLD макросов в JSONPath
1 Дополнительные объекты Javascript
5 Предобработка CSV в JSON
1 Специфичные ключи элементов данных для агента 2
2 Специфичные ключи элементов данных для Windows
1 Динамические индексы
2 Специальные OID'ы
3 MIB файлы
3 SNMP трапы
4 Проверки IPMI
1 Ключи элементов данных для мониторинга VMware
6 Мониторинг файлов журналов
1 Агрегированные вычисления
8 Внутренние проверки
9 Проверки через SSH
10 Проверки через Telnet
11 Внешние проверки
12 Траппер элементы данных
13 JMX мониторинг
1 Рекомендуемые настройки UnixODBC для MySQL
2 Рекомендуемые настройки UnixODBC для PostgreSQL
3 Рекомендуемые настройки UnixODBC для Oracle
4 Рекомендуемые настройки UnixODBC для MSSQL
15 Зависимые элементы данных
16 HTTP агент
17 Проверки Prometheus
18 Скриптовые элементы данных
4 История и динамика изменений
1 Расширение Zabbix агентов
6 Подгружаемые модули
7 Счетчики производительности Windows
8 Массовое обновление
9 Преобразование значений
10 Очередь
11 Кэш значений
12 Выполнить сейчас
13 Ограничение проверок агента
1 Создание подгружаемых плагинов
1 Настройка триггера
2 Выражение триггера
3 Зависимости триггеров
4 Важность триггеров
5 Пользовательские важности триггеров
6 Массовое обновление
7 Прогнозирующие функции триггеров
1 Генерация событий на триггеры
2 Другие источники событий
3 Закрытие проблем вручную
1 Корреляция событий на основе триггеров
2 Глобальная корреляция событий
6 Тегирование
1 Простые графики
2 Пользовательские графики
3 Ситуационные графики
4 Агрегирование на графиках
1 Настройка карты сети
2 Элементы групп узлов сети
3 Индикаторы связей
3 Панели
4 Панели узлов сети
1 Настройка шаблона
2 Присоединение/отсоединение
3 Наследование
4 Массовое обновление
1 Работа с Zabbix агент шаблонами
2 Работа с Zabbix агент 2 шаблонами
3 Работа с HTTP шаблонами
4 Работа с IPMI шаблонами
5 Работа с JMX шаблонами
6 Работа с ODBC шаблонами
7 Унифицированные шаблоны для сетевых устройств
1 E-mail
2 SMS
3 Пользовательские скрипты оповещений
1 Примеры скриптов вебхуков
1 Условия
1 Отправка сообщений
2 Удалённые команды
3 Дополнительные операции
4 Использование макросов в сообщениях
3 Операции восстановления
4 Операции обновления
5 Эскалации
3 Получение оповещений о неподдерживаемых элементах данных
1 Функции макросов
2 Пользовательские макросы
3 Пользовательские макросы с контекстом
4 Макросы низкоуровневого обнаружения
5 Макросы выражений
1 Настройка пользователя
2 Права доступа
3 Группы пользователей
13 Хранение секретов
14 Регулярные отчёты
1 Дерево услуг
2 Действия на услуги
3 SLA
4 Пример настройки
1 Элементы данных веб-мониторинга
2 Сценарий из реальной жизни
1 Поля ключей обнаружения виртуальных машин
11. Обслуживание
12. Регулярные выражения
13. Подтверждение проблем
1 Группы узлов сети
2 Шаблоны
3 Узлы сети
4 Карты сети
5 Способы оповещений
1 Настройка правила сетевого обнаружения
2 Авторегистрация активных агентов
1 Прототипы элементов данных
2 Прототипы триггеров
3 Прототипы графиков
4 Заметки по низкоуровневому обнаружению
1 Обнаружение примонтированных файловых систем
2 Обнаружение сетевых интерфейсов
3 Обнаружение CPU и ядер CPU
4 Обнаружение SNMP OID-ов
5 Обнаружение JMX объектов
6 Обнаружение датчиков IPMI
7 Обнаружение служб systemd
8 Обнаружение служб Windows
9 Обнаружение экземпляров счётчиков производительности Windows
10 Обнаружение с использованием запросов WMI
11 Обнаружение с использованием запросов ODBC SQL
12 Обнаружение с использованием данных Prometheus
13 Обнаружение блочных устройств
14 Обнаружение интерфейсов узлов сети в Zabbix
6 Пользовательские правила LLD
1 Прокси
1 Использование сертификатов
2 Использование общих ключей (pre-shared keys)
1 Проблемы с типом подключения или правами
2 Проблемы с сертификатами
3 Проблемы с PSK
1. Меню
1. Журнал действий
2. Часы
3. Обзор данных
4. Состояние обнаружения
5. Избранные графики
6. Избранные карты
7. Геокарта
8. График
9. График (классический)
10. Прототип графиков
11. Доступность узла сети
12. Значение элемента данных
13. Карта сети
14. Дерево навигации карт сетей
15. Простой текст
16. Узлы сети с проблемами
17. Проблемы
18. Проблемы по важности
19. SLA отчёт
20. Информация о системе
21. Топ узлов сети
22. Обзор триггеров
23. URL
24. Веб-мониторинг
2. Проблемы
1. Графики
2. Веб-сценарии
4. Последние данные
5. Карты сетей
6. Обнаружение
1. Услуги
2. Действия на услуги
3. SLA
4. SLA отчёт
1. Обзор
2. Узлы сети
1. Информация о системе
2. Регулярные отчёты
3. Отчёт о доступности
4. 100 наиболее загруженных триггеров
5. Аудит
6. Журнал действий
7. Оповещения
1. Группы узлов сети
1. Элементы данных
2. Триггеры
3. Графики
1. Прототипы элементов данных
2. Прототипы триггеров
3. Прототипы графиков
4. Прототипы узлов сети
5. Веб-сценарии
1. Элементы данных
2. Триггеры
3. Графики
1. Прототипы элементов данных
2. Прототипы триггеров
3. Прототипы графиков
4. Прототипы узлов сети
5. Веб-сценарии
4. Обслуживание
5. Действия
6. Корреляция событий
7. Обнаружение
1. Общие
2. Прокси
3. Аутентификация
4. Группы пользователей
5. Роли пользователей
6. Пользователи
7. Способы оповещений
8. Скрипты
9. Очередь
1. Глобальные оповещения
2. Звук в браузерах
4. Глобальный поиск
5. Режим обслуживания веб-интерфейса
6. Параметры страницы
7. Определения
8. Создание своей собственной темы
9. Режим отладки
10. Файлы сookie, используемые Zabbix
11. Часовые пояса
12. Сброс пароля
> Объект alert
alert.get
apiinfo.version
> Housekeeping object
housekeeping.get
housekeeping.update
> Объект регулярного выражения
regexp.create
regexp.delete
regexp.get
regexp.update
> Объект отчёта
report.create
report.delete
report.get
report.update
> Settings object
settings.get
settings.update
> SLA object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Объект панели шаблона
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Объект токена
token.create
token.delete
token.generate
token.get
token.update
> Объект пользователя
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Authentication object
autoregistration.get
autoregistration.update
> Authentication object
authentication.get
authentication.update
> Объект веб-сценария
httptest.create
httptest.delete
httptest.get
httptest.update
> Объект графика
graph.create
graph.delete
graph.get
graph.update
> Объект группы пользователей
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Объект группы узлов сети
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Объект действия
action.create
action.delete
action.get
action.update
> Объект динамики изменений
trend.get
> Audit log object
auditlog.get
> Task object
task.create
task.get
> Объект изображения
image.create
image.delete
image.get
image.update
> Объект
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Объект истории
history.clear
history.get
> Объект карты
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
configuration.importcompare
> Объект корреляции
correlation.create
correlation.delete
correlation.get
correlation.update
> Объект обнаруженного сервиса
dservice.get
> Объект обнаруженный узел сети
dhost.get
> Объект обслуживания
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Объект панели
1 Action log
2 Clock
3 Обзор данных
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21. Топ узлов сети
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Объект пользовательского макроса
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Объект правила LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Объект правила обнаружения
drule.create
drule.delete
drule.get
drule.update
> Объект преобразования значений
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Объект проблемы
problem.get
> Объект проверки обнаружения
dcheck.get
> Объект прокси
proxy.create
proxy.delete
proxy.get
proxy.update
> Объект прототипа графика
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Объект прототипа триггеров
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Объект прототипа узла сети
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Объект прототипа элемента данных
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Объект роли
role.create
role.delete
role.get
role.update
> Объект скрипта
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Объект события
event.acknowledge
event.get
> Объект соответствия иконок
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Объект способа оповещения
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Объект триггера
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Объект узла высокой доступности
hanode.get
> Объект узла сети
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Объект услуги
service.create
service.delete
service.get
service.update
> Объект шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Объект элемента графика
graphitem.get
> Объект элемента данных
item.create
item.delete
item.get
item.update
Изменения в API Zabbix 6.0
Приложение 1. Справочные комментарии
Приложение 2. Изменения с 5.4 на 6.0
20. Модули
1. Часто задаваемые вопросы / Решение проблем
1 Создание базы данных
2 Восстановление набора символов и сопоставления базы данных Zabbix
3 Обновление базы данных для использования первичных ключей
1 Настройка шифрования для MySQL
2 Настройка шифрования для PostgreSQL
5 Настройка TimescaleDB
6 Настройка Elasticsearch
7 Экспорт событий, значений и динамики изменений в режиме реального времени
8 Примечания по настройке Nginx для Zabbix на различных дистрибутивах
9 Запуск агента от имени root
10 Zabbix агент на Microsoft Windows
11 Настройка SAML с Okta
12 Настройка базы данных Oracle
13 Настройка отчётов по расписанию
14 Дополнительные языки веб-интерфейса
1 Zabbix сервер
2 Zabbix прокси
3 Zabbix агент (UNIX)
4 Zabbix агент 2 (UNIX)
5 Zabbix агент (Windows)
6 Zabbix агент 2 (Windows)
1. Плагин Ceph
2. Плагин Docker
3. Плагин Memcached
4. Плагин Modbus
5. Плагин MongoDB
6. Плагин MQTT
7. Плагин MSSQL
8. Плагин MySQL
9. Плагин Oracle
10. Плагин PostgreSQL
11. Плагин Redis
12. Плагин Smart
8 Zabbix Java gateway
9 Zabbix веб-сервис
10 Включение
1. Протокол обмена данными сервер-прокси
2. Протокол Zabbix агента
3. Протокол Zabbix агента 2
4. Протокол плагина Zabbix Агента 2
5. Протокол Zabbix sender
6. Заголовок
7. Протокол экспорта в режиме реального времени
1. Поддерживаемые элементы данных по платформам
2. Параметры vm.memory.size
3. Пассивные и активные проверки агента
4. Траппер элементы данных
5. Минимальный уровень прав для элементов данных агента Windows
6. Кодировка получаемых значений
7. Поддержка больших файлов
8. Датчики
9. Заметки о параметре «тип памяти» в элементах данных proc.mem
10. Заметки по выбору процессов в элементах данных proc.mem и proc.num
11. Подробности реализации проверок net.tcp.service и net.udp.service
12. Настройки недостижимости/недоступности интерфейса узла сети
13. Удалённый мониторинг статистики Zabbix
14. Настройка Kerberos с Zabbix
15. Параметры modbus.get
16. Создание пользовательских имен счётчиков производительности для VMware
1. Функции foreach
2. Побитовые функции
3. Функции даты и времени
4. Функции истории
5. Функции динамики изменений
6. Математические функции
7. Операторные функции
8. Функции прогнозирования
9. Строковые функции
1. Поддерживаемые макросы
2. Пользовательские макросы, поддерживаемые по местоположению
8. Символы единиц измерения
9. Настройка периодов времени
10. Выполнение команд
11. Совместимость версий
12. Обработка ошибок базы данных
13. Динамическая библиотека Zabbix sender для Windows
14. Библиотека Python для Zabbix API
15. Обновление мониторинга услуг
16. Другие проблемы
17. Отличия между Zabbix агентом и Zabbix агентом 2
18. Примеры экранирования
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17. Шифрование

Обзор

Zabbix поддерживает шифрование коммуникаций между компонентами Zabbix с использованием протокола Transport Layer Security (TLS) версий 1.2 и 1.3 (в зависимости от криптографической библиотеки). Поддерживается шифрование на основе сертификата и на основе общего ключа (pre-shared key, PSK).

Шифрование может быть настроено для соединений:

Шифрование опционально и настраивается для отдельных компонентов:

  • некоторые прокси и агенты можно настроить на использование шифрования с сервером на основе сертификатов, в то время как другие могут использовать шифрование на основе общего ключа, а остальные могут продолжать использовать незашифрованные соединения (как и ранее)
  • сервер (прокси) может использовать различные настройки шифрования для разных узлов сети

Программы Zabbix демонов слушают один порт для зашифрованных и незашифрованных входящих подключений. Добавление шифрования не потребует открывать новые порты на брандмауэрах.

Ограничения

  • Закрытые ключи хранятся в виде обычного текста в файлах, которые компоненты Zabbix считывают в процессе запуска.
  • Общие ключи вводятся в веб-интерфейсе Zabbix и хранятся в базе данных Zabbix в виде обычного текста.
  • Встроенное шифрование не защищает коммуникации:
    • между веб-сервером с веб-интерфейсом Zabbix и веб-браузером на строне пользователя
    • между веб-интерфейсом Zabbix и сервером Zabbix
  • В данный момент каждое шифрованное соединение начинается с полных TLS переговоров (TLS handshake), кэширование сессий и мандаты (tickets) не реализованы.
  • Добавление шифрования увеличивает время на проверки элементов данных и действия, в зависимости от сетевых задержек:
    • Например, если задержка пакета составляет 100мс, тогда открытие TCP соединения и отправка незашифрованного запроса займет около 200мс. При наличии шифрования добавится около 1000 мс на установление TLS соединения.
    • Возможно, потребуется увеличить время ожидания (тайм-ауты), в противном случае некоторые элементы данных и действия, выполняющие удалённые скрипты на агентах, смогут работать с незашифрованными соединениями, но не смогут при шифрованном соединении (будет превышено время ожидания).
  • Шифрование не поддерживается сетевым обнаружением. Проверки агентов Zabbix, выполняемые сетевым обнаружением, будут нешифрованными, и если агент Zabbix настроен отвергать нешифрованные соединения, то такие проверки не будут успешными.

Компиляция Zabbix с поддержкой шифрования

Для поддержки шифрования Zabbix должен быть скомпилирован и слинкован с одной из поддерживаемых криптобиблиотек:

  • GnuTLS - с версии 3.1.18
  • OpenSSL - версии 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. Обратите внимание, что 3.0.x поддерживается с версии Zabbix 6.0.4.
  • LibreSSL - протестировано с версиями 2.7.4, 2.8.2:
    • LibreSSL 2.6.x не поддерживается;
    • LibreSSL поддерживается как совместимая замена для OpenSSL; новые функции API tls_*(), специфичные для LibreSSL, не используются. Компоненты Zabbix, скомпилированные с LibreSSL, не смогут использовать PSK, могут использоваться только сертификаты.

Вы можете найти более подробную информацию о настройке SSL для веб-интерфейса Zabbix по ссылке на наилучшие практики.

Библиотека выбирается при помощи соответствующей опции в скрипте «configure»:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (также используется и для LibreSSL)

Например, чтобы сконфигурировать исходные коды для сервера и агента с OpenSSL, вы можете использовать что-то вроде:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Разные компоненты Zabbix можно скомпилировать с различными криптобиблиотеками (например, сервер с OpenSSL, агент с GnuTLS).

Если вы планируете использовать общие ключи (pre-shared keys, PSK), рассмотрите возможность использования библиотек GnuTLS или OpenSSL 1.1.0 (или новее) с компонентами Zabbix, использующими PSK. Библиотеки GnuTLS и OpenSSL 1.1.0 поддерживают наборы шифров PSK с совершенной прямой секретностью (Perfect forward secrecy). Более старые версии библиотеки OpenSSL (1.0.1, 1.0.2c) также поддерживают PSK, но доступные наборы шифров PSK не обеспечивают совершенную прямую секретность.

Управление зашифрованными соединениями

Соединения в Zabbix могут использовать:

Имеется два важных параметра, которые используются, чтобы указать шифрование между компонентами Zabbix:

  • TLSConnect - указывает, какое шифрование использовать для исходящих соединений (unencrypted, PSK или certificate);
  • TLSAccept - указывает, какие виды соединений разрешены для входящих соединений (unencrypted, PSK или certificate). Можно указать одно или несколько значений.

TLSConnect используется в файлах конфигурации Zabbix прокси (в активном режиме, задаёт только подключения к серверу) и Zabbix агентов (для активных проверок). В веб-интерфейсе Zabbix эквивалентом параметру TLSConnect является поле Подключения к узлу сети на вкладке Настройка → Узлы сети → <какой-то узел сети> → Шифрование и поле Подключения к прокси на вкладке Администрирование → Прокси → <какой-то прокси> → Шифрование. Если настроенный тип шифрования для соединения завершится неудачей, другие типы шифрования не будут опробованы

TLSAccept используется в файлах конфигурации Zabbix прокси (в пассивном режиме, задаёт только соединения от сервера) и Zabbix агента (для пассивных проверок). В веб-интерфейсе Zabbix эквивалентом параметра TLSAccept является поле Соединения с узла сети на вкладке Настройка → Узлы сети → <какой-то узел сети> → Шифрование и поля Соединения с прокси на вкладке Администрирование → Прокси → <какой-то прокси> → Шифрование.

Как правило, вы настраиваете только один тип шифрования для входящих подключений. Но вы можете захотеть переключить режим шифрования, например, с незашированного на основанный на сертификатах с минимальным временем простоя и с возможностью отката. Чтобы достичь этого:

  • Выставьте TLSAccept=unencrypted,cert в файле конфигурации агента Zabbix и перезапустите агента.
  • Проверьте подключение от zabbix_get к агенту с использованием сертификата. Если подключение работает, вы можете перенастроить шифрование у этого агента в веб-интерфейсе Zabbix на вкладке Настройка → Узлы сети → <какой-то узел сети> → Шифрование, переключив настройку Подключения к узлу сети на «Сертификат».
  • Когда кэш конфигурации сервера обновится (и обновится конфигурация прокси, если узел сети наблюдается через прокси), тогда подключения к этому агенту будут зашифрованными.
  • Если всё работает как ожидается, вы можете задать TLSAccept=cert в файле конфигурации агента и перезапустить Zabbix агента. Теперь агент будет принимать только зашифрованные подключения на основе сертификатов. Незашифрованные и основанные на PSK подключения будут отклонены.

Шифрование на сервере и прокси работает аналогичным образом. Если в веб-интерфейсе Zabbix в настройке узла сети Соединения с узла сети задано равным «Сертификат», тогда от агента (активные проверки) и zabbix_sender (траппер элементы данных) будут приниматься только зашифрованные соединения на основе сертификатов.

Скорее всего, вы настроите входящие и исходящие соединения на использование одного типа шифрования или без шифрования вовсе. Но, технически, имеется возможность настроить шифрование асимметрично, например, шифрование на основе сертификатов для входящих подключений и на основе PSK для исходящих подключений.

Настройки шифрования по каждому узлу сети отображаются в веб-интерфейсе Zabbix Настройка→Узлы сети, в колонке Шифрование агента. Примеры отображения настроек:

Пример Подключения К узлу сети Разрешённые подключения ОТ узла сети Отклоненные подключения С узла сети
none_none.png Незашифровано Незашифровано Зашифровано, на основе сертификата и PSK
cert_cert.png Зашифровано на основе сертификата Зашифровано на основе сертификата Незашифровано и зашифровано на основе PSK
psk_psk.png Зашифровано на основе PSK Зашифровано на основе PSK Незашифровано и зашифровано на основе сертификата
psk_none_psk.png Зашифровано на основе PSK Незашифровано и зашифровано на основе PSK Зашифровано на основе сертификата
cert_all.png Зашифровано на основе сертификата Незашифровано, зашифровано на основе PSK или зашифровано на основе сертификата -

По умолчанию используются незашифрованные подключения. Шифрование необходимо настраивать по каждому узлу сети и прокси отдельно.

zabbix_get и zabbix_sender с шифрованием

Смотрите страницы помощи zabbix_get и zabbix_sender по использованию этих утилит при наличии шифрования.

Алгоритмы шифрования

Алгоритмы по умолчанию настраиваются внутри в процессе запуска Zabbix, и до версий Zabbix 4.0.19, 4.4.7 нет возможности их конфигурирования пользователями.

Начиная с версий Zabbix 4.0.19 и 4.4.7, поддерживаются также и заданные пользователем алгоритмы шифрования для GnuTLS и OpenSSL. Пользователи могут настраивать алгоритмы в соответствии со своими политиками безопасности. Использование этой возможности опционально (встроенные алгоритмы по умолчанию всё ещё работают).

Для криптобиблиотек, скомпилированных с настройками по умолчанию, встроенные в Zabbix правила обычно дают в итоге следующие алгоритмы шифрования (от более высокого уровня приоритета к более низкому):

Библиотека Алгоритмы шифрования сертификатов Алгоритмы шифрования PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Алгоритмы шифрования, заданные пользователем

Встроенные критерии выбора алгоритмов шифрования могут быть переопределены алгоритмами шифрования, заданными пользователем.

Алгоритмы шифрования, заданные пользователем, - это возможность, предназначенная для продвинутых пользователей, которые понимают алгоритмы шифрования TLS, их безопасность и последствия ошибок, и которые разбираются в устранении неполадок с TLS.

Встроенные критерии выбора алгоритмов шифрования могут быть переопределены, используя следующие параметры:

Область действия переопределения Параметр Значение Описание
Выбор алгоритмов шифрования для сертификатов TLSCipherCert13 Корректные строки шифров OpenSSL 1.1.1 для протокола TLS 1.3 (их значения передаются функции OpenSSL SSL_CTX_set_ciphersuites()). Критерии выбора алгоритмов шифрования при использовании сертификатов для TLS 1.3.

Только OpenSSL 1.1.1 или новее.
TLSCipherCert Корректные строки шифров OpenSSL для TLS 1.2 или корректные строки приоритетов GnuTLS. Их значения передаются функциям SSL_CTX_set_cipher_list() или gnutls_priority_init(), соответственно. Критерии выбора алгоритмов шифрования при использовании сертификатов для TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL).
Выбор алгоритмов шифрования для PSK TLSCipherPSK13 Корректные строки шифров OpenSSL 1.1.1 для протокола TLS 1.3 (их значения передаются функции OpenSSL SSL_CTX_set_ciphersuites()). Критерии выбора алгоритмов шифрования при использовании PSK для TLS 1.3

Только OpenSSL 1.1.1 или новее.
TLSCipherPSK Корректные строки шифров OpenSSL для TLS 1.2 или корректные строки приоритетов GnuTLS. Их значения передаются функциям SSL_CTX_set_cipher_list() или gnutls_priority_init(), соответственно. Критерии выбора алгоритмов шифрования при использовании PSK для TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL).
Комбинированный список алгоритмов шифрования для сертификатов и PSK TLSCipherAll13 Корректные строки шифров OpenSSL 1.1.1 для протокола TLS 1.3 (их значения передаются функции OpenSSL SSL_CTX_set_ciphersuites()). Критерии выбора алгоритмов шифрования для TLS 1.3

только OpenSSL 1.1.1 или новее.
TLSCipherAll Корректные строки шифров OpenSSL для TLS 1.2 или корректные строки приоритетов GnuTLS. Их значения передаются функциям SSL_CTX_set_cipher_list() или gnutls_priority_init(), соответственно. Критерии выбора алгоритмов шифрования для TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL).

Чтобы переопределить выбор алгоритмов шифрования в утилиах zabbix_get и zabbix_sender - используйте параметры командной строки:

  • --tls-cipher13
  • --tls-cipher

Эти параметры опциональны. Если параметр не указан, используется внутреннее значение по умолчанию. Если параметр указан, он не может быть пустым.

Если настройка значения параметров TLSCipher* в криптобиблиотеке завершается неудачей, то сервер, прокси или агент не запустятся, а в журнал будет записано сообщение об ошибке.

Крайне важно понимать, когда применим каждый из параметров.

Исходящие соединения

Простейший случай - это исходящие соединения:

  • Для исходящих соединений с сертификатом - используйте TLSCipherCert13 или TLSCipherCert
  • Для исходящих соединений с PSK - используйте TLSCipherPSK13 или TLSCipherPSK
  • В случае утилит zabbix_get и zabbix_sender могут быть использованы параметры командной строки --tls-cipher13 и --tls-cipher (само шифрование недвусмысленно указывается параметром --tls-connect)
Входящие соединения

Нменого сложнее с входящими соединениями, т.к. правила зависят от компонентов и конфигурации.

Для Zabbix агента:

Настройка соединений агента Настройка шифров
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Для Zabbix сервера и прокси:

Настройка соединений Настройка шифров
Исходящие соединения, используя PSK TLSCipherPSK, TLSCipherPSK13
Исходящие соединения, используя сертификаты TLSCipherAll, TLSCipherAll13
Входящие соединения, используя PSK, если у сервера нет сертификата TLSCipherPSK, TLSCipherPSK13
Входящие соединения, используя PSK, если у сервера есть сертификат TLSCipherAll, TLSCipherAll13

В двух таблицах выше можно увидеть некоторые шаблоны:

  • TLSCipherAll и TLSCipherAll13 могут быть указаны, только если используется комбинированный список шифров на основе сертификатов и на основе PSK. Есть два случая, когда это имеет место: сервер (прокси) с настроенным сертификатом (шифры PSK всегда настраиваются на сервере и прокси, если криптобиблиотека поддерживает PSK), агент настраивается на приём как на основе сертификатов, так и PSK;
  • в остальных случаях достаточно TLSCipherCert* и/или TLSCipherPSK*.

Следующие таблицы показывают встроенные по умолчанию значения TLSCipher*. Они могут являться хорошей отправной точкой для ваших собственных кастомизированных значений.

Параметр GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Параметр OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Значения по умолчанию отличаются для более старых версий OpenSSL (1.0.1, 1.0.2, 1.1.0), для LibreSSL и если OpenSSL скомпилирован без поддержки PSK.

Примеры заданных пользователем алгоритмов шифрования

Смотрите ниже следующие примеры заданных пользователем алгоритмов шифрования:

Тестирование строк шифра и разрешение только алгоритмов PFS

Чтобы видеть выбираемые алгоритмы шифрования, вам нужно выставить в файле конфигурации параметр 'DebugLevel=4' либо использовать опцию -vv для утилиты zabbix_sender.

Возможно, для получения желаемых алгоритмов шифрования придётся немного поэкспериментировать с параметрами TLSCipher*. Неудобно перезапускать Zabbix сервер, прокси или агента множество раз только для того, чтобы подогнать параметры TLSCipher*. Более удобным вариантом является использование утилиты zabbix_sender или команды openssl. Давайте рассмотрим оба.

1. Использование zabbix_sender.

Давайте сделаем тестовый файл конфигурации, например, /home/zabbix/test.conf, с таким же синтаксисом, как и файл zabbix_agentd.conf:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Для данного примера вам нужны корректные сертификаты Центра Авторизации (CA) и агента, а также общий ключ (PSK). Подправьте имена и пути файлов сертификатов и PSK в соответствии с вашей средой.

Если вы не используете сертификаты, а только общий ключ, тестовый файл может быть проще:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

Выбираемые алгоритмы шифрования могуть быть видны путём запуска утилиты zabbix_sender (пример скомпилирован с OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Здесь вы можете увидеть алгоритмы шифрования, выбранные по умолчанию. Эти значения по умолчанию выбираются, чтобы обеспечить совместимость с Zabbix агентами, работающими на системах с более старыми версиями OpenSSL (от 1.0.1).

С более новыми системами вы можете предпочесть усилить безопасность, разрешая только некоторые алгоритмы шифрования, скажем, только алгоритмы с PFS (Perfect Forward Secrecy, совершенная прямая секретность). Давайте попробуем разрешить только алгоритмы с PFS, используя параметры TLSCipher*.

Результатом будет несовместимость с системами, использующими OpenSSL 1.0.1 и 1.0.2, если используется общий ключ PSK. Шифрование на основе сертификата должно работать.

Добавим две строки в файл конфигурации test.conf:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

и проверим снова:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Списки «certificate ciphersuites» и «PSK ciphersuites» поменялись - теперь они короче, чем раньше; как и ожидалось, содержат только алгоритмы TLS 1.3 и TLS 1.2 ECDHE-*.

2. TLSCipherAll и TLSCipherAll13 нельзя протестировать с помощью zabbix_sender; они не влияют на значение «certificate and PSK ciphersuites», показанное в примере выше. Чтобы подкорректировать TLSCipherAll и TLSCipherAll13, вам нужно экспериментировать с агентом, прокси или сервером.

Так, чтобы разрешить только алгоритмы PFS, вам, возможно, потребуется добавить до трёх параметров

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

в zabbix_agentd.conf, zabbix_proxy.conf и zabbix_server_conf, если каждый из них имеет сконфигурированный сертификат, а агент имеет ещё и PSK.

Если ваша среда Zabbix использует только шифрование на основе общего ключа и не использует сертификаты, то достаточно только одной строки:

  TLSCipherPSK=kECDHEPSK+AES128

Теперь, когда вы понимаете, как это работает, вы можете проверить выбор алгоритма шифрования даже извне Zabbix, командой openssl. Давайте проверим значения всех трёх параметров TLSCipher*:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Вы можете предпочесть openssl ciphers с опцией -V для более подробного вывода:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

Аналогичным образом вы можете протестировать строки приоритета для GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Переключение с AES128 на AES256

Zabbix использует AES128 как встроенное умолчание для данных. Предположим, что вы используете сертификаты и хотите переключиться на AES256, на OpenSSL 1.1.1.

Это может быть достигнуто путём добавления соответствующих параметров в zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Несмотря на то, что будут использованы только алгоритмы шифрования на основе сертификатов, параметры TLSCipherPSK* также определены, чтобы не использовались их значения по умолчанию, для более широкой совместимости включающие менее безопасные шифры. Алгоритмы шифрования PSK нельзя полностью отключить для сервера/прокси.

И в zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy