2 事前共有鍵の使用
概要
Zabbix の各事前共有キー (PSK) は、次のペアです。
- 非秘匿 PSK ID 文字列、
- 秘匿 PSK 文字列値。
PSK ID 文字列は、空ではないUTF-8の文字列です。 たとえば"PSK ID 001 Zabbix agentd"などです。この特定の PSK が Zabbix コンポーネントによって参照される一意の名前です。暗号化されずにネットワーク経由で送信されますので、機密情報を PSK ID 文字列に含めないでください。
PSK 文字列値は推測しにくい 16 進数の文字列です。たとえば、"e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9"などです。
サイズ制限
Zabbix では PSK の ID と値にサイズ制限があります。一部の ケースでは、暗号ライブラリの制限がこれより小さい場合があります。
| コンポーネント | PSK ID の最大サイズ | PSK 値の最小サイズ | PSK 値の最大サイズ |
|---|---|---|---|
| Zabbix | 128 UTF-8 文字 | 128-bit(16 バイトの PSK、32 桁の 16 進数として入力) | 2048-bit(256 バイトの PSK、512 桁の 16 進数として入力) |
| GnuTLS | 128 バイト(UTF-8 文字を含む場合あり) | - | 2048-bit(256 バイトの PSK、512 桁の 16 進数として入力) |
| OpenSSL 1.0.x, 1.1.0 | 127 バイト(UTF-8 文字を含む場合あり) | - | 2048-bit(256 バイトの PSK、512 桁の 16 進数として入力) |
| OpenSSL 1.1.1 | 127 バイト(UTF-8 文字を含む場合あり) | - | 512-bit(64 バイトの PSK、128 桁の 16 進数として入力) |
| OpenSSL 1.1.1a 以降 | 127 バイト(UTF-8 文字を含む場合あり) | - | 2048-bit(256 バイトの PSK、512 桁の 16 進数として入力) |
Zabbix Webインターフェースでは、使用している暗号ライブラリに関係なく、最大 128 文字の PSK ID 文字列と 2048-bit 長の PSK を設定できます。
一部の Zabbix コンポーネントがこれより小さい制限しかサポートしない場合、それらのコンポーネントで許可される長さの PSK ID と PSK 値を設定する責任はユーザーにあります。
長さ制限を超えると、Zabbix コンポーネント間の通信に失敗します。
Zabbix サーバーが PSK を使用してエージェントに接続する前に、サーバーは そのエージェント用に設定された PSK ID と PSK 値をデータベース (実際には設定キャッシュ)で参照します。接続を受信すると、エージェントは 設定ファイル内の PSK ID と PSK 値を使用します。両者が同じ PSK ID 文字列と PSK 値を持っていれば、接続は成功する可能性があります。
各 PSK ID は、1 つの値とのみ組み合わせる必要があります。同じ ID 文字列に対して異なる値を持つ 2 つの PSK が存在しないことを保証する責任は、ユーザーにあります。これを怠ると、この PSK ID 文字列を使用する PSK による Zabbix コンポーネント間の通信で、予測不能なエラーや通信の中断が発生する可能性があります。
PSK の生成
たとえば、256 ビット (32 バイト) の PSK は、次のコマンドを使用して生成できます。
- with OpenSSL:
<!-- --> $ openssl rand -hex 32
af8ced32dfe8714e548694e2d29e1a14ba6fa13f216cb35c19d0feb1084b0429- with GnuTLS:
<!-- --> $ psktool -u psk_identity -p database.psk -s 32
Generating a random key for user 'psk_identity'
Key stored to database.psk
$ cat database.psk
psk_identity:9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb上記の「psktool」は、PSK ID とそれに関連付けられた PSK を含むデータベース ファイルを生成することに注意してください。 Zabbix は PSK ファイルに PSK のみを想定しているため、識別文字列とコロン (':') をファイルから削除する必要があります。
サーバー-エージェント通信のPSK設定(例)
エージェントのホスト上で、PSK値をファイルに書き込みます。たとえば、
/home/zabbix/zabbix_agentd.psk です。ファイルには、最初の
テキスト文字列としてPSKを含める必要があります。たとえば、次のようにします。
1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952PSKファイルのアクセス権を設定します。Zabbixユーザーのみが読み取り可能でなければなりません。
エージェントの設定ファイル zabbix_agentd.conf でTLSパラメータを編集します。
たとえば、次のように設定します。
TLSConnect=psk
TLSAccept=psk
TLSPSKFile=/home/zabbix/zabbix_agentd.psk
TLSPSKIdentity=PSK 001エージェントはサーバーへの接続(アクティブチェック)を行い、サーバーおよび
zabbix_get からの接続をPSKを使用するものだけ受け入れます。PSK IDは "PSK
001" になります。
エージェントを再起動します。これで、zabbix_get を使用して接続をテストできます。
たとえば、次のようにします。
zabbix_get -s 127.0.0.1 -k "system.cpu.load[all,avg1]" --tls-connect=psk --tls-psk-identity="PSK 001" --tls-psk-file=/home/zabbix/zabbix_agentd.psk(ダウンタイムを最小限に抑えるには、接続暗号化の管理 で接続タイプの変更方法を確認してください。)
Zabbix Webインターフェースで、このエージェントのPSK暗号化を設定します。
- 次へ移動: データ収集 → ホスト
- ホストを選択し、暗号化 タブをクリックします
例:
必須入力フィールドには赤いアスタリスクが付いています。
設定キャッシュがデータベースと同期されると、新しい接続はPSKを使用します。エラーメッセージがないか、サーバーとエージェントのログファイルを確認してください。
サーバー - アクティブプロキシ通信のためのPSKの設定(例)
プロキシ上で、PSKの値をファイルに書き込みます。たとえば、
/home/zabbix/zabbix_proxy.psk です。ファイルには、最初の
テキスト文字列としてPSKを含める必要があります。たとえば、次のようにします。
e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9PSKファイルへのアクセス権を設定します。Zabbixユーザーのみが読み取り可能でなければなりません。
プロキシ設定ファイル zabbix_proxy.conf のTLSパラメータを編集し、
たとえば次のように設定します。
TLSConnect=psk
TLSPSKFile=/home/zabbix/zabbix_proxy.psk
TLSPSKIdentity=PSK 002プロキシはPSKを使用してサーバーに接続します。PSK IDは "PSK 002" になります。
(ダウンタイムを最小限に抑えるには、接続暗号化の管理 で接続タイプの変更方法を確認してください。)
このプロキシのPSKをZabbix Webインターフェースで設定します。Administration→Proxies に移動し、プロキシを選択して "Encryption" タブを開きます。"Connections from proxy" で PSK を選択します。"PSK identity" フィールドに "PSK 002" を貼り付け、
"PSK" フィールドに "e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9" を入力します。"Update" をクリックします。
プロキシを再起動します。これで、PSKベースの暗号化接続を使用してサーバーに接続するようになります。エラーメッセージがないか、サーバーとプロキシのログファイルを確認してください。
パッシブプロキシの場合も手順は非常に似ています。唯一の違いは、プロキシ設定ファイルで TLSAccept=psk を設定し、Zabbix Webインターフェースの "Connections to proxy" を PSK に設定することです。