4 Macro utente segrete
Panoramica
Zabbix offre due opzioni per proteggere le informazioni sensibili nei valori delle macro utente:
- Testo segreto
- Segreto del vault
Sebbene il valore di una macro segreta sia nascosto, può essere rivelato tramite l'uso negli item.
Ad esempio, in uno script esterno, un'istruzione echo che fa riferimento a una macro segreta può essere usata per rivelare il valore della macro nel frontend, perché Zabbix server ha accesso al valore reale della macro.
Vedere le posizioni in cui i valori delle macro segrete vengono mostrati in chiaro.
Le macro segrete non possono essere utilizzate nelle espressioni dei trigger.
Testo segreto
Con le macro di testo segreto, il valore della macro viene mascherato con asterischi.
Per rendere segreto un valore di macro, fai clic sul pulsante alla fine del campo Value e seleziona l'opzione Secret text:
Una volta salvata la configurazione, non sarà più possibile visualizzare il valore.
Per modificare il valore della macro, passa il mouse sul campo Value e fai clic sul pulsante Set new value (che appare al passaggio del mouse):
Quando fai clic sul pulsante Set new value (o cambi il tipo di valore della macro), il valore corrente verrà cancellato.
Puoi ripristinare il valore originale facendo clic sulla freccia 
alla fine del campo Value (disponibile solo prima di salvare la nuova configurazione).
Nota che il ripristino del valore originale non lo renderà visibile.
Gli URL che contengono una macro segreta non funzioneranno, poiché la macro in essi contenuta verrà risolta come "******".
Secret del vault
Con le macro di secret del vault, il valore della macro viene memorizzato in un software esterno di gestione dei secret (vault).
Per configurare una macro di secret del vault, fai clic sul pulsante alla fine del campo Value e seleziona l'opzione Vault secret:
Il valore della macro deve puntare a un secret del vault. Il formato di input dipende dal provider del vault. Per esempi di configurazione specifici del provider, consulta:
I valori delle macro segrete di Vault vengono recuperati dal vault da Zabbix server a ogni aggiornamento dei dati di configurazione e quindi memorizzati nella cache di configurazione.
Zabbix proxy riceve i valori delle macro segrete di Vault da Zabbix server a ogni sincronizzazione della configurazione e li memorizza nella propria cache di configurazione. Il proxy non recupera mai direttamente i valori delle macro dal vault. Ciò significa che un Zabbix proxy non può avviare la raccolta dei dati dopo un riavvio finché non riceve l'aggiornamento della configurazione da Zabbix server.
Per aggiornare manualmente i valori segreti dal vault, usa l'opzione secrets_reload runtime control.
La crittografia deve essere abilitata tra Zabbix server e proxy; in caso contrario, viene registrato un messaggio di avviso del server.
Se un valore di macro non può essere recuperato correttamente, l'item corrispondente che utilizza il valore diventerà non supportato.
Località non mascherate
Questo elenco fornisce le località dei parametri in cui i valori delle macro segrete non sono mascherati.
A partire da Zabbix 7.0.13, i valori delle macro segrete rimarranno mascherati nelle località seguenti se referenziati indirettamente.
Ad esempio, {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} macro integrate usate nei tipi di media (parametri Script o Webhook) verranno risolte in chiavi item contenenti macro segrete mascherate, come net.tcp.port[******,******] invece di net.tcp.port[192.0.2.1,80].
| Contesto | Parametro | |
|---|---|---|
| Items, prototipi di item, regole LLD | ||
| Item | Parametri della chiave dell'item | |
| Prototipo di item | Parametri della chiave del prototipo di item | |
| Regola di discovery a basso livello | Parametri della chiave dell'item di discovery | |
| agent SNMP | Community SNMP | |
| Nome del contesto (SNMPv3) | ||
| Nome di sicurezza (SNMPv3) | ||
| Passphrase di autenticazione (SNMPv3) | ||
| Passphrase di privacy (SNMPv3) | ||
| agent HTTP | URL | |
| Campi di query | ||
| Corpo della richiesta | ||
| Intestazioni | ||
| Nome utente | ||
| Password | ||
| Password della chiave SSL | ||
| Script | Parametri | |
| Script | ||
| Browser | Parametri | |
| Script | ||
| Monitoraggio database | Query SQL | |
| agent TELNET | Script | |
| Nome utente | ||
| Password | ||
| agent SSH | Script | |
| Nome utente | ||
| Password | ||
| Controllo semplice | Nome utente | |
| Password | ||
| agent JMX | Nome utente | |
| Password | ||
| Preprocessing del valore dell'item | ||
| Passaggio di preprocessing JavaScript | Script | |
| Scenari web | ||
| Scenario web | Valore della variabile | |
| Valore dell'intestazione | ||
| URL | ||
| Valore del campo di query | ||
| Valore del campo post | ||
| Post grezzo | ||
| Autenticazione dello scenario web | Utente | |
| Password | ||
| Password della chiave SSL | ||
| Connettori | ||
| Connettore | URL | |
| Nome utente | ||
| Password | ||
| Token | ||
| Proxy HTTP | ||
| File del certificato SSL | ||
| File della chiave SSL | ||
| Password della chiave SSL | ||
| Network discovery | ||
| SNMP | Community SNMP | |
| Nome del contesto (SNMPv3) | ||
| Nome di sicurezza (SNMPv3) | ||
| Passphrase di autenticazione (SNMPv3) | ||
| Passphrase di privacy (SNMPv3) | ||
| Script globali | ||
| Webhook | Script JavaScript | |
| Valore del parametro dello script JavaScript | ||
| Telnet | Nome utente | |
| Password | ||
| SSH | Nome utente | |
| Password | ||
| Script | Script | |
| Tipi di media | ||
| Script | Parametri dello script | |
| Webhook | Parametri | |
| Gestione IPMI | ||
| Host | Nome utente | |
| Password | ||