4 Geheime Benutzermakros
Übersicht
Zabbix bietet zwei Optionen zum Schutz sensibler Informationen in Benutzer-Makrowerten:
- Geheimer Text
- Vault-Geheimnis
Obwohl der Wert eines geheimen Makros ausgeblendet ist, kann er durch die Verwendung in Datenpunkten offengelegt werden.
Beispielsweise kann in einem externen Skript eine echo-Anweisung, die auf ein geheimes Makro verweist, verwendet werden, um den Makrowert im Frontend offenzulegen, da der Zabbix Server Zugriff auf den tatsächlichen Makrowert hat.
Siehe Orte, an denen geheime Makrowerte eingeblendet werden.
Geheime Makros können nicht in Auslöser-Ausdrücken verwendet werden.
Geheimtext
Bei Makros vom Typ Secret text wird der Makrowert mit Sternchen maskiert.
Um einen Makrowert als geheim festzulegen, klicken Sie auf die Schaltfläche am Ende des Felds Value und wählen Sie die Option Secret text aus:
Nachdem die Konfiguration gespeichert wurde, ist es nicht mehr möglich, den Wert anzuzeigen.
Um den Makrowert zu ändern, bewegen Sie den Mauszeiger über das Feld Value und klicken Sie auf die Schaltfläche Set new value (wird beim Darüberfahren angezeigt):
Wenn Sie auf die Schaltfläche Set new value klicken (oder den Makrowerttyp ändern), wird der aktuelle Wert gelöscht.
Sie können den ursprünglichen Wert wiederherstellen, indem Sie auf den Pfeil 
am Ende des Felds Value klicken (nur vor dem Speichern der neuen Konfiguration verfügbar).
Beachten Sie, dass das Wiederherstellen des ursprünglichen Werts diesen nicht sichtbar macht.
URLs, die ein geheimes Makro enthalten, funktionieren nicht, da das Makro darin als "******" aufgelöst wird.
Vault secret
Mit Vault secret-Makros wird der Makrowert in einer externen Secret-Management-Software (Vault) gespeichert.
Um ein Vault secret-Makro zu konfigurieren, klicken Sie auf die Schaltfläche am Ende des Felds Value und wählen Sie die Option Vault secret aus:
Der Makrowert muss auf ein Vault-Secret verweisen. Das Eingabeformat hängt vom Vault-Anbieter ab. Beispiele für anbieterspezifische Konfigurationen finden Sie unter:
Vault-Geheimnis-Makrowerte werden vom Server bei jeder Aktualisierung der Konfigurationsdaten aus dem Vault abgerufen und anschließend im Konfigurationscache gespeichert.
Der Proxy empfängt die Werte der Vault-Geheimnis-Makros bei jeder Konfigurationssynchronisierung vom Server und speichert sie in seinem eigenen Konfigurationscache. Der Proxy ruft Makrowerte niemals direkt aus dem Vault ab. Das bedeutet, dass ein Zabbix-Proxy nach einem Neustart keine Datenerfassung starten kann, bis er das Konfigurationsupdate vom Server erhalten hat.
Um Geheimniswerte manuell aus dem Vault zu aktualisieren, verwenden Sie die Option secrets_reload runtime control.
Zwischen Server und Proxy muss Verschlüsselung aktiviert sein; andernfalls wird eine Server-Warnmeldung protokolliert.
Wenn ein Makrowert nicht erfolgreich abgerufen werden kann, wird der entsprechende Datenpunkt, der den Wert verwendet, auf unsupported gesetzt.
Nicht maskierte Speicherorte
Diese Liste enthält Speicherorte von Parametern, an denen geheime Makrowerte nicht maskiert sind.
Seit Zabbix 7.0.13 bleiben geheime Makrowerte an den unten aufgeführten Speicherorten maskiert, wenn sie indirekt referenziert werden.
Beispielsweise werden {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} integrierte Makros, die in Medientypen (Script- oder webhook-Parameter) verwendet werden, zu Item-Schlüsseln aufgelöst, die maskierte geheime Makros enthalten, etwa net.tcp.port[******,******] statt net.tcp.port[192.0.2.1,80].
| Kontext | Parameter | |
|---|---|---|
| Items, Item-Prototypen, LLD-Regeln | ||
| Item | Item-Schlüsselparameter | |
| Item-Prototyp | Item-Prototyp-Schlüsselparameter | |
| Low-Level-Discovery-Regel | Erkennungs-Item-Schlüsselparameter | |
| SNMP-Agent | SNMP-Community | |
| Kontextname (SNMPv3) | ||
| Sicherheitsname (SNMPv3) | ||
| Authentifizierungs-Passphrase (SNMPv3) | ||
| Privatsphären-Passphrase (SNMPv3) | ||
| HTTP-Agent | URL | |
| Abfragefelder | ||
| Anforderungstext | ||
| Header | ||
| Benutzername | ||
| Passwort | ||
| SSL-Schlüsselpasswort | ||
| Script | Parameter | |
| Script | ||
| Browser | Parameter | |
| Script | ||
| Datenbanküberwachung | SQL-Abfrage | |
| TELNET-Agent | Script | |
| Benutzername | ||
| Passwort | ||
| SSH-Agent | Script | |
| Benutzername | ||
| Passwort | ||
| Einfache Prüfung | Benutzername | |
| Passwort | ||
| JMX-Agent | Benutzername | |
| Passwort | ||
| Vorverarbeitung von Item-Werten | ||
| JavaScript-Vorverarbeitungsschritt | Script | |
| Webszenarien | ||
| Webszenario | Variablenwert | |
| Headerwert | ||
| URL | ||
| Abfragefeldwert | ||
| Postfeldwert | ||
| Roh-Post | ||
| Webszenario-Authentifizierung | Benutzer | |
| Passwort | ||
| SSL-Schlüsselpasswort | ||
| Connectoren | ||
| Connector | URL | |
| Benutzername | ||
| Passwort | ||
| Token | ||
| HTTP-Proxy | ||
| SSL-Zertifikatsdatei | ||
| SSL-Schlüsseldatei | ||
| SSL-Schlüsselpasswort | ||
| Netzwerkerkennung | ||
| SNMP | SNMP-Community | |
| Kontextname (SNMPv3) | ||
| Sicherheitsname (SNMPv3) | ||
| Authentifizierungs-Passphrase (SNMPv3) | ||
| Privatsphären-Passphrase (SNMPv3) | ||
| Globale Scripts | ||
| webhook | JavaScript-Script | |
| Wert des JavaScript-Script-Parameters | ||
| Telnet | Benutzername | |
| Passwort | ||
| SSH | Benutzername | |
| Passwort | ||
| Script | Script | |
| Medientypen | ||
| Script | Script-Parameter | |
| Webhook | Parameter | |
| IPMI-Verwaltung | ||
| Host | Benutzername | |
| Passwort | ||