概述

本节提供了针对CentOS 8.2和MySQL 8.0.21的若干加密配置示例,可作为数据库连接加密的快速入门指南。

若MySQL 主机设置为localhost,则加密选项将不可用。此时Zabbix前端与数据库之间的连接将通过套接字文件(Unix系统)或共享内存(Windows系统)建立,且无法进行加密。

加密组合方案不仅限于本页所列内容,实际存在更多可用组合方案。

先决条件

official repository安装MySQL数据库。

有关如何使用MySQL仓库的详细信息,请参阅MySQL documentation

MySQL服务器已准备就绪,可使用自签名证书接受安全连接。

要查看哪些用户正在使用加密连接,请运行以下query(需启用Performance Schema):

mysql> SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS 主机 
               FROM performance_schema.status_by_thread  AS sbt
               JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id
               JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id
               WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher'
               ORDER BY tls_version;

仅传输加密

MySQL配置

现代版本的数据库已为required提供开箱即用的支持术语。初始设置并启动后,将自动创建服务器端证书。

为主组件创建用户和角色:

mysql> CREATE USER   
        'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<强密码>',   
        'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<强密码>'
        REQUIRE SSL   
        PASSWORD HISTORY 5; 
       
       mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role'; 
       
       mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role'; 
       mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role'; 
       
       mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%'; 
       mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%'; 
       
       mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%'; 
       mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%';

注意X.509协议不用于身份验证,但用户被配置为仅使用加密连接。有关配置用户的更多详情,请参阅MySQL documentation

运行以下命令测试连接(套接字连接不能用于测试安全连接):

mysql -u zbx_srv -p -h 10.211.55.9 --ssl-mode=REQUIRED 

检查当前状态和可用加密套件:

mysql> status
       --------------
       mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL)
       
       Connection id: 62
       Current database:
       Current user: [email protected]
       SSL: 当前使用的加密算法为TLS_AES_256_GCM_SHA384
       
       
       mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G;
       *************************** 1. 行 ***************************
       Variable_name: Ssl_cipher_list
       Value: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA
       1 行于数据集内 (0.00 秒)
       
       错误:
       未指定query

前端

要为Zabbix前端与数据库之间的连接启用仅传输加密:

  • 勾选数据库TLS加密
  • 保持验证数据库证书未勾选状态

Server

要为服务器与数据库之间的连接启用仅传输加密,请配置 /etc/zabbix/zabbix_server.conf 文件:

...
       DBHost=10.211.55.9
       DBName=zabbix
       DBUser=zbx_srv
       DBPassword=<strong_password>
       DBTLSConnect=required
       ...

带CA验证的加密

将所需的MySQL CA证书复制到Zabbix前端服务器,并分配适当的权限以允许Web服务器读取该文件。

由于MySQL库版本较旧,此模式在SLES 12和RHEL 7上无法工作。

前端

为启用Zabbix前端与数据库间带证书验证的加密连接:

  • 勾选数据库TLS加密验证数据库证书
  • 指定数据库TLS CA文件路径

也可通过/etc/zabbix/web/zabbix.conf.php文件配置:

...
       $DB['ENCRYPTION'] = true;
       $DB['KEY_FILE'] = '';
       $DB['CERT_FILE'] = '';
       $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
       $DB['VERIFY_HOST'] = false;
       $DB['CIPHER_LIST'] = '';
       ...

使用命令行工具排查用户连接问题,验证指定用户能否建立连接:

mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=REQUIRED --ssl-ca=/var/lib/mysql/ca.pem

Server

要为Zabbix server与数据库之间的连接启用证书验证加密,请配置/etc/zabbix/zabbix_server.conf文件:

...
       DBHost=10.211.55.9
       DBName=zabbix
       DBUser=zbx_srv
       DBPassword=<strong_password>
       DBTLSConnect=verify_ca
       DBTLSCAFile=/etc/ssl/mysql/ca.pem
       ...

完全验证加密

MySQL配置

设置MySQL CE服务器配置选项 (/etc/my.cnf.d/server-tls.cnf)内容如下:

[mysqld]
       ...
       # 本示例中密钥文件位于MySQL CE数据目录
       ssl_ca=ca.pem
       ssl_cert=server-cert.pem
       ssl_key=server-key.pem
       
       require_secure_transport=ON
       tls_version=TLSv1.3
       ...

MySQL CE服务器和客户端(Zabbix前端)的密钥需 根据MySQL CE文档手动创建:Creating SSL and RSA certificates and keys using MySQLCreating SSL certificates and keys using openssl

MySQL服务器证书必须包含 Common Name字段并设置为FQDN名称,因为Zabbix前端将使用 数据库的DNS名称或IP地址主机进行通信。

创建MySQL用户:

mysql> CREATE USER
         'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>',
         'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>'
         REQUIRE X509
         PASSWORD HISTORY 5;

验证该用户能否登录:

mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem

前端

为启用Zabbix前端与数据库间完全验证的加密连接:

  • 勾选数据库TLS加密验证数据库证书
  • 指定数据库TLS密钥文件路径
  • 指定数据库TLS CA文件路径
  • 指定数据库TLS证书文件路径

注意数据库主机验证选项已被勾选且呈灰色显示——该步骤在MySQL中不可跳过。

数据库TLS加密套件列表字段留空,将启用前端(客户端)与服务器共同允许的通用加密套件。 也可根据cipher configuration requirements明确设置加密套件。

或在/etc/zabbix/web/zabbix.conf.php中配置:

...
       // 用于严格定义加密套件列表的TLS连接
       $DB['ENCRYPTION'] = true;
       $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
       $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
       $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
       $DB['VERIFY_HOST'] = true;
       $DB['CIPHER_LIST'] = 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC';
       ...
       //
       ...
       // 用于未定义加密套件列表的TLS连接 - 由MySQL服务器选择
       $DB['ENCRYPTION'] = true;
       $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
       $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
       $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
       $DB['VERIFY_HOST'] = true;
       $DB['CIPHER_LIST'] = '';
       ...

Server

要为Zabbix server与数据库之间的连接启用完全验证加密,请配置/etc/zabbix/zabbix_server.conf文件:

...
       DBHost=10.211.55.9
       DBName=zabbix
       DBUser=zbx_srv
       DBPassword=<strong_password>
       DBTLSConnect=verify_full
       DBTLSCAFile=/etc/ssl/mysql/ca.pem
       DBTLSCertFile=/etc/ssl/mysql/client-cert.pem
       DBTLSKeyFile=/etc/ssl/mysql/client-key.pem
       ...