Documentation

1 手动结构
2 什么是 Zabbix
3 项 Zabbix 功能
4 Zabbix 概览
5 Zabbix 6.0.0 新特性
6 Zabbix 6.0.1 的新特性
7 Zabbix 6.0.2 新特性
8 Zabbix 6.0.3 新特性
9 Zabbix 6.0.4 新特性
10 Zabbix 6.0.5 新特性
11 Zabbix 6.0.6 新特性
12 Zabbix 6.0.7 新特性
13 Zabbix 6.0.8 新特性
14 Zabbix 6.0.9 新特性
15 Zabbix 6.0.10 新特性
16 Zabbix 6.0.11 新特性
17 Zabbix 6.0.12 的新特性
18 Zabbix 6.0.13 新特性
19 Zabbix 6.0.14 版本新特性
20 Zabbix 6.0.15 新特性
21 Zabbix 6.0.16 新特性
22 Zabbix 6.0.17 的新特性
24 Zabbix 6.0.19 新特性
25 Zabbix 6.0.20 新特性
26 Zabbix 6.0.21 的新特性
27 Zabbix 6.0.22 的新特性
28 Zabbix 6.0.23 新特性
29 Zabbix 6.0.24 新特性
30 Zabbix 6.0.25 的新特性
31 Zabbix 6.0.26 新特性
32 Zabbix 6.0.27 新特性
33 Zabbix 6.0.28 新特性
34 Zabbix 6.0.29 新特性
35 Zabbix 6.0.30 新特性
37 Zabbix 6.0.32 的新特性
38 Zabbix 6.0.33 的新特性
39 Zabbix 6.0.34 新特性
40 Zabbix 6.0.35 新特性
41 Zabbix 6.0.36 新特性
42 Zabbix 6.0.37 新特性
43 Zabbix 6.0.38 新特性
44 Zabbix 6.0.39 新特性
45 Zabbix 6.0.40 新特性
46 Zabbix 6.0.41 新特性
47 What's new in Zabbix 6.0.42
Zabbix 6.0.18 的新特性
Zabbix 6.0.31 的新特性
2 定义
1 高可用性
2 Agent
3 Agent 2
4 Proxy
1 从源代码安装
2 从 RHEL 软件包安装
3 从Debian/Ubuntu软件包安装
6 Sender
7 获取
8 JS
9 Web 服务
1 获取 Zabbix
1 Zabbix 安全配置最佳实践
1 在Windows上构建Zabbix agent
2 在Windows上构建Zabbix agent 2
3 在macOS上构建Zabbix agent
1 红帽企业版 Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Windows agent 通过 MSI 安装
5 从PKG安装Mac OS agent
6 个不稳定版本
OpenShift 环境安装
1 Debian/Ubuntu 前端安装
1 从源代码升级
1 红帽企业版 Linux
2 Debian/Ubuntu
1 编译 问题
9 模板变更
10 6.0.0 版本升级注意事项
11 6.0.1 更新说明
12 6.0.2 版本升级说明
13 6.0.3 版本升级说明
14 6.0.4 版本升级说明
15 6.0.5 版本升级说明
16 6.0.6 版本升级说明
17 6.0.7 版本升级说明
18 6.0.8 版本升级说明
19 6.0.9 版本升级说明
20 6.0.10 版本升级说明
21 6.0.11 版本升级说明
22 6.0.12 升级说明
23 6.0.13 版本升级说明
24 6.0.14 版本升级说明
25 6.0.15 版本升级说明
26 6.0.16 版本升级说明
27 6.0.17 版本升级说明
28 6.0.18 版本升级说明
29 6.0.19 版本升级说明
30 6.0.20 版本升级说明
31 6.0.21 版本升级说明
32 6.0.22 版本升级说明
33 6.0.23 版本升级说明
34 6.0.24 版本升级说明
35 6.0.25 版本升级说明
36 6.0.26 版本升级说明
37 6.0.27 版本升级说明
38 6.0.28 版本升级说明
39 6.0.29 版本升级说明
40 6.0.30版本升级说明
41 6.0.31 版本升级说明
42 6.0.32 版本升级说明
43 6.0.33 版本升级说明
44 6.0.34 版本升级说明
45 6.0.35 版本升级说明
46 6.0.36 版本升级说明
47 6.0.37 版本升级说明
48 6.0.38 版本升级说明
49 6.0.39 版本升级注意事项
50 6.0.40 版本升级说明
51 6.0.41 版本升级说明
52 Upgrade notes for 6.0.42
1 登录与用户配置
2 新主机
3 新建 监控项
4 新触发器
5 接收问题通知
6 新模板
6 Zabbix设备
1 触发器事件生成
2 其他事件源
3 手动关闭问题
1 配置主机
2 配置主机组
3 资产清单
4 批量更新
1 监控项 键格式
2 自定义间隔
1 使用示例
2 预处理详情
1 从JSONPath中的LLD宏值转义特殊字符
1 附加 JavaScript objects
5 CSV 到 JSON 预处理
1 监控项 键值特定于 agent 2
2 个 Windows 特定的 监控项 键
1 动态索引
2 个特殊 OID
3 MIB文件
3 SNMP陷阱
4 项 IPMI 检查
1 VMware 监控 监控项 键值
6 日志文件监控
1 聚合计算
8 项内部检查
9 SSH检查
10 Telnet检查
11 外部检查
12 Trapper 监控项
13 JMX 监控
1 针对 MySQL 的推荐 UnixODBC 设置
2 针对 PostgreSQL 的推荐 UnixODBC 设置
3 适用于 Oracle 的推荐 UnixODBC 设置
4 个适用于 MSSQL 的推荐 UnixODBC 设置
15 依赖 监控项
16 HTTP agent
17 个 Prometheus 检查
18 脚本监控项
4 历史数据与趋势
1 扩展 Zabbix agents
6 可加载模块
7 个 Windows 性能计数器
8 批量更新
9 值映射
10 队列
11 值缓存
12 立即执行
13 限制 agent 检查
1 构建可加载插件
1 配置触发器
2 触发器表达式
3 触发器依赖
4 触发器严重性
5 自定义触发器严重性级别
6 批量更新
7 种预测性触发器函数
1 基于触发器的事件关联
2 全局事件关联
6 标记
1 简单图表
2 个自定义图表
3 个临时图表
4 图表中的聚合
1 配置网络拓扑图
2 个主机组元素
3 个链接指示器
3 仪表板
4 主机仪表盘
1 配置模板
2 关联/取消关联
3 嵌套
4 批量更新
1 Zabbix agent模板操作
2 Zabbix agent 2模板操作
3 HTTP模板操作
4 IPMI模板操作
5 JMX模板操作
6 ODBC模板操作
7 个标准化网络设备模板
1 电子邮件
2 条短信
3 自定义告警脚本
1 Webhook 脚本示例
1 条件
1 发送消息
2 远程命令
3 附加操作
4 在消息中使用宏
3 恢复操作
4 更新操作
5 Escalations
3 接收关于不受支持的 监控项 的通知
1 宏函数
2 用户宏
3 个带上下文的用户宏
4 低级发现宏
5 个表达式宏
1 配置用户
2 权限
3 个用户组
13 密钥存储
14 计划报告
1 服务树
2 服务操作
3 SLA
4 设置示例
1 Web 监控
2 实际场景
1 虚拟机发现关键字段
11 维护
12 正则表达式
13 问题确认
1 主机组
2 模板
3 主机
4 网络拓扑图
5 媒体类型
1 配置网络发现规则
2 个活跃的 agent 自动注册
1 监控项原型
2 触发器原型
3 图表原型
4 低级发现注意事项
1 已挂载文件系统的发现
2 网络接口发现
3 CPU 与 CPU 核心的发现
4 SNMP OID 发现
5 JMX 发现 objects
6 IPMI 传感器发现
7 systemd 服务发现
8 Windows 服务发现
9 Windows性能计数器实例的发现
10 使用 WMI 进行发现 queries
11 使用 ODBC SQL 进行发现 queries
12 使用 Prometheus 数据进行发现
13 块设备发现
14 Zabbix 中的主机接口发现
6 条自定义 LLD 规则
1 Proxies
1 使用证书
2 使用预共享密钥
1 连接类型或权限问题
2 个证书问题
3 个 PSK 问题
1 菜单
1 操作日志
2 时钟
3 数据概览
4 发现状态
5 收藏图表
6 收藏地图
7 地理地图
8 图形
9 图形(经典)
10 图形原型
11 主机可用性
12 监控项 值
13 地图
14 地图导航树
15 纯文本
16 问题主机
17 问题
18 按严重程度分类的问题
19 SLA 报告
20 系统信息
21 Top 主机
22 触发器概览
23 URL
24 Web 监控
2 问题
1 图表
2 Web 场景
4 最新数据
5 地图
6 发现
1 服务
2 服务操作
3 SLA
4 SLA 报告
1 概览
2 主机
1 系统信息
2 计划报告
3 可用性报告
4 触发器 Top 100
5 审计
6 操作日志
7 通知
1 主机组
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
4 维护
5 动作
6 事件关联
7 发现
1 概述
2 Proxies
3 认证
4 个用户组
5 用户角色
6 用户
7 媒介类型
8 脚本
9 队列
1 全局通知
2 浏览器声音
4 全局搜索
5 前端维护模式
6 页面参数
7 定义
8 创建自定义主题
9 调试模式
10 Zabbix 使用的 Cookies
11 时区
12 密码重置
apiinfo.version
> LLD 规则 object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Web 场景 object
httptest.create
httptest.delete
httptest.get
httptest.update
> 主机 object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> 主机原型 object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> 主机接口 object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> 主机组 object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> 事件 object
event.acknowledge
event.get
> Token object
token.create
token.delete
token.generate
token.get
token.update
> 仪表盘 object
1 Action log
2 时钟
3 数据概览
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 地理地图
8 图形
9 图形(经典)
10 图形原型
11 Host availability
12 监控项 值
13 地图
14 地图导航树
15 纯文本
16 问题主机
17 问题
18 按严重程度分类的问题
19 SLA 报告
20 System information
21 Top 主机
22 触发器概览
23 URL
24 Web 监控
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> 任务 object
task.create
task.get
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
值映射 object
correlation.create
correlation.delete
correlation.get
correlation.update
关联 object
> 操作 object
action.create
action.delete
action.get
action.update
> 历史记录 object
history.clear
history.get
dcheck.get
发现检查 object
> 发现规则 object
drule.create
drule.delete
drule.get
drule.update
> 告警 object
alert.get
> 镜像 object
image.create
image.delete
image.get
image.update
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
图标映射 object
> 图表 object
graph.create
graph.delete
graph.get
graph.update
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
图形原型 object
> 图表 监控项 object
graphitem.get
> 映射 object
map.create
map.delete
map.get
map.update
> 媒介类型 object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> 审计日志 object
auditlog.get
> 已发现主机 object
dhost.get
> 已发现服务 object
dservice.get
> 报告 object
report.create
report.delete
report.get
report.update
> 数据清理 object
housekeeping.get
housekeeping.update
> 服务 object
service.create
service.delete
service.get
service.update
sla.create
sla.delete
sla.get
sla.getsli
sla.update
SLA object
> 模板 object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> 模板仪表盘 object
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> 正则表达式 object
regexp.create
regexp.delete
regexp.get
regexp.update
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
用户 object
> 用户宏 object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> 用户组 object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> 监控项 object
item.create
item.delete
item.get
item.update
> 监控项 原型 object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> 维护 object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> 脚本 object
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> 自动注册 object
autoregistration.get
autoregistration.update
> 角色 object
role.create
role.delete
role.get
role.update
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
触发器 object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
触发器原型 object
> 认证 object
authentication.get
authentication.update
> 设置 object
settings.get
settings.update
> 趋势 object
trend.get
configuration.export
configuration.import
configuration.importcompare
> 问题 object
problem.get
> 高可用节点 object
hanode.get
Zabbix API 在 6.0 版本中的变更
附录 1. 参考注释
附录 2. 从 5.4 到 6.0 的变更
20 模块
1 数据库创建
2 修复Zabbix数据库字符集与排序规则
3 数据库升级至主键
1 MySQL 加密配置
2 PostgreSQL 加密配置
5 TimescaleDB 设置
6 Elasticsearch 配置
7 事件、监控项值和趋势的实时导出
8 针对 Zabbix 设置 nginx 的发行版特定说明
9 以 root 身份运行 agent
10 Zabbix agent 在 Microsoft Windows 上
11 使用Microsoft Entra ID配置SAML
12 使用 Okta 的 SAML 设置
13 Oracle 数据库设置
14 设置定时报告
15 附加前端语言
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph 插件
2 Docker 插件
3 Ember+ 插件
4 Memcached 插件
5 Modbus 插件
6 MongoDB 插件
7 MQTT 插件
8 MSSQL 插件
9 MySQL 插件
10 Oracle 插件
11 PostgreSQL 插件
12 Redis 插件
13 SMART 插件
8 Zabbix Java gateway
9 Zabbix Web 服务
10 包含
1 服务器-proxy 数据交换协议
2 Zabbix agent 协议
3 Zabbix agent 2 协议
4 Zabbix agent 2 插件协议
5 Zabbix sender 协议
6 标题
7 实时导出协议
1 监控项 平台支持
2 个 vm.memory.size 参数
3 被动与主动 agent 检查
4 捕获器 监控项
5 Windows agent 监控项 的最低权限级别
6 返回值编码
7 大文件支持
8 传感器
9 proc.mem 监控项中 memtype 参数的使用说明
10 关于在 proc.mem 和 proc.num 监控项中选择进程的注意事项
11 net.tcp.service 与 net.udp.service 检查的实现细节
12 不可达/不可用主机接口设置
13 Zabbix 统计数据的远程监控
14 使用 Zabbix 配置 Kerberos
15 modbus.get 参数
16 为 VMware 创建自定义性能计数器名称
17 关于 Windows 系统下 system.cpu.util 监控项 的注意事项
1 循环处理函数
2 位运算函数
3 日期时间函数
4 历史数据函数
5 趋势函数
6 数学函数
7 操作员功能
8 个预测函数
9 string 函数
1 支持的宏
2 按位置支持的用户宏
7 单位符号
8 时间段语法
9 命令执行
10 版本兼容性
11 数据库错误处理
12 Windows版Zabbix sender动态链接库
13 Zabbix API的Python库
14 服务监控升级
15 其他问题
16 Agent与agent 2对比
17 转义示例
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 加密

概述

Zabbix支持使用加密通信在Zabbix组件之间 传输层安全(TLS)协议v1.2和1.3(取决于 加密库). 基于证书和预共享密钥的加密 支持。

可以配置以下连接的加密方式:

  • 在 Zabbix server、Zabbix proxy、Zabbix agent、Zabbix web服务、zabbix_sender之间 以及zabbix_get实用工具

  • To Zabbix database [from Zabbix frontend and

    server/proxy](/manual/appendix/install/db_encrypt)

加密是可选的,并且可针对各个组件进行配置:

  • 某些proxies和agents可配置为使用基于证书的 与服务器进行加密,而其他设备可以使用预共享密钥 基于密钥的加密,而其他仍保持未加密 通信(同前)

  • 服务器(proxy)可为不同连接采用不同的加密配置

    different hosts

Zabbix守护进程程序使用一个监听端口用于加密和 未加密的传入连接。添加加密不需要 在防火墙上开放新端口

限制条件

  • 私钥以明文形式存储在Zabbix组件启动时可读取的文件中
  • 预共享密钥通过Zabbix前端输入并以明文形式存储在Zabbix数据库中
  • 内置加密不保护以下通信:
    • 运行Zabbix前端的Web服务器与用户Web浏览器之间的通信
    • Zabbix前端与Zabbix server之间的通信
  • 当前每个加密连接都会进行完整的TLS握手,未实现会话缓存和票据机制
  • 加密会增加监控项检查和操作的耗时,具体取决于网络延迟:
    • 例如,若数据包延迟为100ms,则建立TCP连接并发送未加密请求约需200ms。启用加密后,建立TLS连接会增加约1000ms耗时;
    • 可能需要增加超时设置,否则某些监控项和在agents上执行远程脚本的操作可能在使用未加密连接时正常工作,但加密连接会因超时而失败。
  • network discovery不支持加密。网络发现执行的Zabbix agent检查将保持未加密状态,若Zabbix agent配置为拒绝未加密连接,此类检查将无法成功。

编译带加密支持的Zabbix

要支持加密功能,Zabbix必须使用以下任一加密库进行编译和链接:

  • GnuTLS - 从version 3.1.18版本开始支持

  • OpenSSL - 支持1.0.1、1.0.2、1.1.0、1.1.1、3.0.x版本。注意3.0.x版本从Zabbix 6.0.4开始支持

  • LibreSSL - 测试通过的版本包括2.7.4、2.8.2:

    • LibreSSL 2.6.x is not supported
    • LibreSSL is supported as a compatible replacement of OpenSSL; the new tls_*() LibreSSL-specific API functions are not used. Zabbix components compiled with LibreSSL will not be able to use PSK, only certificates can be used.

tls_*() 未使用LibreSSL特有的API功能 使用LibreSSL编译的Zabbix组件将无法使用PSK,仅能使用证书

您可以通过这些best practices了解更多关于为Zabbix前端设置SSL的信息。

通过向"configure"脚本指定相应选项来选择加密库:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (也适用于LibreSSL)

例如,要为server 和 agent配置OpenSSL源代码,可以使用类似以下命令:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

不同的Zabbix组件可以使用不同的加密库编译 (例如服务器使用OpenSSL,agent使用GnuTLS)。

如果您计划使用预共享密钥(PSK), 建议在使用PSK的Zabbix组件中使用GnuTLSOpenSSL 1.1.0(或更新版本)库。 GnuTLSOpenSSL 1.1.0库支持具有完美前向保密性的PSK密码套件。 较旧版本的OpenSSL库(1.0.1、1.0.2c)也支持PSK,但可用的PSK密码套件不提供完美前向保密性。

连接加密管理

Zabbix中的连接可使用:

有两个重要参数用于指定加密方式 Zabbix组件:

  • TLSConnect - 指定用于传出连接的加密方式 连接(未加密、PSK或证书)

  • TLSAccept - 指定允许的连接类型

    incoming connections (unencrypted, PSK or certificate). One or more values can be specified.

TLSConnect 用于 Zabbix proxy 的配置文件中(在 主动模式,仅指定与服务器的连接)和Zabbix agent(用于 主动检查)。在Zabbix前端中,TLSConnect的对应项是 配置 → 主机 → <某个中的连接到 主机字段 主机 > 加密选项卡和连接到proxy字段 管理 → Proxies → <某些 proxy> → 加密* 标签页。如果 配置的连接加密类型失败,无其他可用加密方式 将尝试类型。

TLSAccept 用于 Zabbix proxy 的配置文件中(在 被动模式(仅指定来自服务器的连接)和Zabbix agent (用于被动检查)。在Zabbix前端中,TLSAccept的等效参数是 配置 → 主机 → <某个中的来自主机的连接字段 主机> → 加密* 选项卡和 来自 proxy 的连接 字段 管理 → Proxies → <某些 proxy> → 加密 标签

通常您只需为传入配置一种加密类型 连接。但您可能需要切换加密类型,例如从 从非加密到基于证书的转换,实现最短停机时间和回滚能力 可能性。为实现此目标:

  • 在agent配置file中设置TLSAccept=unencrypted,cert 重启 Zabbix agent

  • 使用证书通过zabbix_get测试与agent的连接。如果 它正常工作,您可以在Zabbix中为那个agent重新配置加密 前端在配置 → 主机 → <某个 主机> → 加密 选项卡,通过将 连接到 主机 设置为 "证书"。

  • 当服务器configuration cache更新时(且proxy 配置会在以下情况下更新:如果主机由proxy监控 与那个agent的连接将被加密

  • 如果一切按预期运行,您可以在 TLSAccept=cert 中设置

    agent configuration file and restart Zabbix agent. Now the agent will be accepting only encrypted certificate-based connections. Unencrypted and PSK-based connections will be rejected.

同样地,它也适用于服务器和proxy。如果在Zabbix前端中 主机配置 来自主机的连接 设置为"证书"时 仅接受基于证书的加密连接 agent(主动检查)和zabbix_sender(trapper 监控项)。

您很可能需要配置入站和出站连接以使用 相同的加密类型或完全不加密。但从技术上讲 可以非对称配置,例如基于证书 传入连接使用加密,传出连接基于PSK(预共享密钥)。

每个主机的加密配置显示在Zabbix中 前端,在配置 → 主机中的Agent加密列。 例如:

示例 连接到 主机 来自 主机 的允许连接 来自 主机 的被拒绝连接
none_none.png 未加密 未加密 加密, 基于证书和PSK的加密
cert_cert.png 基于证书的加密 基于证书的加密 基于PSK的加密及未加密
psk_psk.png 基于PSK加密 基于PSK加密 未加密及基于证书加密
psk_none_psk.png 基于PSK的加密 未加密及基于PSK的加密 基于证书的加密
cert_all.png 基于证书的加密 基于PSK或证书的未加密 -

默认情况下连接未加密。加密 必须为每个主机和proxy单独配置。

zabbix_get 与 zabbix_sender 加密传输

请参阅zabbix_getzabbix_sender手册页以了解如何配合 加密功能使用它们.

密码套件

默认情况下,密码套件在Zabbix启动时内部配置完成 在Zabbix 4.0.19和4.4.7版本之前,这些配置不可由用户自定义。

自Zabbix 4.0.19和4.4.7版本起,GnuTLS和OpenSSL开始支持 用户自定义密码套件。用户可根据自身安全策略 配置密码套件。此功能为可选使用 (内置默认密码套件仍可正常工作)。

对于采用默认设置编译的加密库,Zabbix内置规则 通常会产生以下密码套件(按优先级从高到低排序):

加密库 证书密码套件 PSK密码套件
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

用户配置的密码套件

内置的加密套件选择标准可通过用户配置的加密套件进行覆盖。

用户配置加密套件功能专为高级用户设计, 这些用户需理解TLS加密套件、其安全性及配置错误的后果, 并能够熟练进行TLS故障排查。

可通过以下参数覆盖内置加密套件选择标准:

覆盖范围 参数 取值 描述
证书的加密套件选择 TLSCipherCert13 有效的OpenSSL 1.1.1 cipher strings(其值会传递给OpenSSL函数SSL_CTX_set_ciphersuites())。 TLS 1.3协议的证书加密套件选择标准

仅限OpenSSL 1.1.1或更新版本。
TLSCipherCert 有效的OpenSSL cipher strings(TLS 1.2)或有效的GnuTLS priority strings。其值会分别传递给SSL_CTX_set_cipher_list()gnutls_priority_init()函数。 TLS 1.2/1.3(GnuTLS)和TLS 1.2(OpenSSL)的证书加密套件选择标准
PSK的加密套件选择 TLSCipherPSK13 有效的OpenSSL 1.1.1 cipher strings(其值会传递给OpenSSL函数SSL_CTX_set_ciphersuites())。 TLS 1.3协议的PSK加密套件选择标准

仅限OpenSSL 1.1.1或更新版本。
TLSCipherPSK 有效的OpenSSL cipher strings(TLS 1.2)或有效的GnuTLS priority strings。其值会分别传递给SSL_CTX_set_cipher_list()gnutls_priority_init()函数。 TLS 1.2/1.3(GnuTLS)和TLS 1.2(OpenSSL)的PSK加密套件选择标准
证书和PSK的联合加密套件列表 TLSCipherAll13 有效的OpenSSL 1.1.1 cipher strings(其值会传递给OpenSSL函数SSL_CTX_set_ciphersuites())。 TLS 1.3协议的加密套件选择标准

仅限OpenSSL 1.1.1或更新版本。
TLSCipherAll 有效的OpenSSL cipher strings(TLS 1.2)或有效的GnuTLS priority strings。其值会分别传递给SSL_CTX_set_cipher_list()gnutls_priority_init()函数。 TLS 1.2/1.3(GnuTLS)和TLS 1.2(OpenSSL)的加密套件选择标准

要覆盖zabbix_getzabbix_sender工具中的加密套件选择, 请使用以下命令行参数:

  • --tls-cipher13
  • --tls-cipher

新参数为可选参数。若未指定参数,则使用内部默认值。若定义了参数,则参数值不可为空。

若加密库中TLSCipher*值设置失败, 则服务器、proxy或agent将无法启动,并记录错误日志。

理解每个参数的适用场景至关重要。

出站连接

最简单的场景是出站连接:

  • 对于使用证书的出站连接 - 使用 TLSCipherCert13 或 TLSCipherCert
  • 对于使用PSK的出站连接 - 使用 TLSCipherPSK13 或 TLSCipherPSK
  • 对于zabbix_get和zabbix_sender工具,可使用命令行参数--tls-cipher13--tls-cipher (加密方式通过--tls-connect参数明确指定)
传入连接

对于传入连接来说稍微复杂一些,因为规则是 特定于组件和配置。

对于Zabbix agent:

Agent 连接设置 密码配置
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

对于Zabbix 服务器proxy:

连接设置 密码配置
使用PSK的出站连接 TLSCipherPSK, TLSCipherPSK13
使用证书的传入连接 TLSCipherAll, TLSCipherAll13
当服务器无证书时使用PSK的传入连接 TLSCipherPSK, TLSCipherPSK13
当服务器拥有证书时使用PSK的传入连接 TLSCipherAll, TLSCipherAll13

从上述两个表格中可以看出一些规律:

  • 仅当使用组合密码套件时,才能指定TLSCipherAll和TLSCipherAll13 基于证书PSK的密码套件列表被使用。 有两种情况会发生:配置了服务器(proxy)时 证书(PSK密码套件始终在服务器上配置,proxy 如果加密库支持PSK),agent 配置为同时接受 基于证书和PSK的入站连接
  • 在其他情况下,TLSCipherCert* 和/或 TLSCipherPSK* 已足够

以下表格展示了TLSCipher*内置的默认值。它们 可以作为您自定义值的良好起点。

参数 GnuTLS 3.6.12
TLSCipherCert 无:+支持TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+所有曲线:+空压缩:+所有签名:+证书类型X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll 无:+支持TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+支持所有曲线:+空压缩:+支持所有签名:+证书类型X.509
参数 OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 旧版OpenSSL(1.0.1)的默认值有所不同 1.0.2, 1.1.0), 对于LibreSSL以及当OpenSSL编译时未包含PSK支持的情况 支持

用户配置的加密套件示例

请参阅以下用户配置的加密套件示例:

测试密码字符串并仅允许PFS密码套件

要查看已选择的加密套件,您需要设置 在配置file中设置'DebugLevel=4',或使用-vv选项 zabbix_sender

可能需要对TLSCipher*参数进行一些实验 在get所需的密码套件之前。重启操作会带来不便 Zabbix server、proxy或agent多次仅为了调整TLSCipher* parameters. 更便捷的选项是使用zabbix_sender或 openssl 命令。让我们同时展示两者。

1. 使用zabbix_sender.

让我们做一个测试配置file,例如 /home/zabbix/test.conf,语法为zabbix_agentd.conf file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

在此示例中,您需要有效的CA和agent证书以及PSK。 根据您的环境调整证书和PSK file的路径及名称。

如果您不使用证书,仅使用PSK,可以采用更简单的 测试 file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

可以通过运行zabbix_sender查看所选的密码套件(示例 使用OpenSSL 1.1.d编译):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

此处显示的是默认选中的加密套件。这些默认值 被选为确保与运行在Zabbix agents上的系统互操作性 使用较旧版本OpenSSL(1.0.1起)的系统

在较新的系统中,您可以选择通过仅允许...来加强安全性 少数密码套件,例如仅包含PFS(完美前向保密)的密码套件 保密性)。让我们尝试仅允许使用具有PFS(完美前向保密)的密码套件 TLSCipher* 参数

结果将无法与其他系统互操作 使用OpenSSL 1.0.1和1.0.2时,若采用PSK(预共享密钥)方式。基于证书的 加密功能应正常工作。

test.conf配置file中添加两行:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

并再次测试:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

"证书密码套件"和"PSK密码套件"列表已更改 - 它们比以前更短,仅包含TLS 1.3密码套件 TLS 1.2 ECDHE-* 密码套件符合预期。

2. TLSCipherAll 和 TLSCipherAll13 无法通过以下方式测试 zabbix_sender; 它们不影响"证书和PSK密码套件" 上述示例中显示的值。要调整TLSCipherAll和 TLSCipherAll13 你需要对 agent、proxy 或服务器进行实验。

因此,要仅允许PFS密码套件,您可能需要添加最多三个 参数

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

到 zabbix_agentd.conf、zabbix_proxy.conf 和 zabbix_server_conf 如果 每个都配置了证书,且agent还拥有PSK。

如果您的Zabbix环境仅使用基于PSK的加密且未 证书,则仅需一个:

  TLSCipherPSK=kECDHEPSK+AES128

现在您已了解其工作原理,可以测试密码套件 在Zabbix之外也能进行选择,使用openssl命令。让我们测试 所有三个 TLSCipher* 参数值:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

您可能更倾向于使用带有选项-Vopenssl ciphers以获得更详细的输出 输出

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

同样地,您可以测试GnuTLS的优先级字符串:

$ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509 NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509的密码套件 TLS_ECDHE_RSA_AES_128_GCM_SHA256 0xc0, 0x2f TLS1.2 TLS_ECDHE_RSA_AES_128_CBC_SHA256 0xc0, 0x27 TLS1.2

协议:VERS-TLS1.2 Ciphers: AES-128-GCM, AES-128-CBC MACs: AEAD, SHA256 密钥交换算法: ECDHE-RSA 组别: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192 PK签名算法: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1

从 AES128 切换至 AES256

Zabbix默认使用AES128作为内置数据加密算法。假设您正在使用证书并希望在OpenSSL 1.1.1环境下切换至AES256。

这可以通过在zabbix_server.conf中添加相应参数实现:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

虽然仅会使用与证书相关的加密套件,但仍需定义TLSCipherPSK*参数以避免其默认值包含安全性较低的加密算法(这些默认值是为保证更广泛的互操作性而设)。在server/proxy上无法完全禁用PSK加密套件。

以及在zabbix_agentd.conf中配置:

TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/ca.crt TLSCertFile=/home/zabbix/agent.crt TLSKeyFile=/home/zabbix/agent.key TLSCipherCert13=TLS_AES_256_GCM_SHA384 TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy