4 Tajne makra użytkownika
Przegląd
Zabbix udostępnia dwie opcje ochrony poufnych informacji w wartościach makr użytkownika:
- Tajny tekst
- Sekret z vault
Chociaż wartość tajnego makra jest ukryta, może zostać ujawniona poprzez użycie w pozycjach.
Na przykład w skrypcie zewnętrznym instrukcja echo odwołująca się do tajnego makra może zostać użyta do ujawnienia wartości makra we frontend, ponieważ serwer Zabbix ma dostęp do rzeczywistej wartości makra.
Zobacz lokalizacje, w których wartości tajnych makr są odsłaniane.
Tajnych makr nie można używać w wyrażeniach wyzwalaczy.
Tajny tekst
W przypadku makr typu Secret text wartość makra jest maskowana gwiazdkami.
Aby ustawić wartość makra jako tajną, kliknij przycisk na końcu pola Value i wybierz opcję Secret text:
Po zapisaniu konfiguracji nie będzie już możliwe wyświetlenie wartości.
Aby zmienić wartość makra, najedź kursorem na pole Value i kliknij przycisk Set new value (pojawia się po najechaniu):
Po kliknięciu przycisku Set new value (lub zmianie typu wartości makra) bieżąca wartość zostanie usunięta.
Możesz przywrócić oryginalną wartość, klikając strzałkę 
na końcu pola Value (dostępne tylko przed zapisaniem nowej konfiguracji).
Pamiętaj, że przywrócenie oryginalnej wartości nie spowoduje jej ujawnienia.
Adresy URL zawierające tajne makro nie będą działać, ponieważ makro w nich zostanie rozwiązane jako "******".
Sekret Vault
W przypadku makr sekretu Vault wartość makra jest przechowywana w zewnętrznym oprogramowaniu do zarządzania sekretami (vault).
Aby skonfigurować makro sekretu Vault, kliknij przycisk na końcu pola Value i wybierz opcję Vault secret:
Wartość makra musi wskazywać na sekret vault. Format danych wejściowych zależy od dostawcy vault. Przykłady konfiguracji dla poszczególnych dostawców znajdziesz tutaj:
Wartości makr sekretów Vault są pobierane z vault przez serwer Zabbix przy każdym odświeżeniu danych konfiguracyjnych, a następnie zapisywane w pamięci podręcznej konfiguracji.
Proxy Zabbix otrzymuje wartości makr sekretów Vault od serwera Zabbix przy każdej synchronizacji konfiguracji i zapisuje je we własnej pamięci podręcznej konfiguracji. Proxy nigdy nie pobiera wartości makr bezpośrednio z vault. Oznacza to, że proxy Zabbix nie może rozpocząć zbierania danych po restarcie, dopóki nie otrzyma aktualizacji konfiguracji od serwera Zabbix.
Aby ręcznie odświeżyć wartości sekretów z vault, użyj opcji secrets_reload runtime control.
Szyfrowanie musi być włączone między serwerem Zabbix a proxy; w przeciwnym razie zostanie zapisany komunikat ostrzegawczy serwera.
Jeśli wartość makra nie może zostać pobrana pomyślnie, odpowiadająca jej pozycja używająca tej wartości stanie się nieobsługiwana.
Niezamaskowane lokalizacje
Ta lista zawiera lokalizacje parametrów, w których wartości tajnych makr są niezamaskowane.
Od Zabbix 7.0.13 wartości tajnych makr pozostaną zamaskowane w poniższych lokalizacjach, jeśli będą odwoływane pośrednio.
Na przykład {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} makra wbudowane używane w typach mediów (parametry Script lub Webhook) będą rozwijane do kluczy pozycji zawierających zamaskowane tajne makra, takie jak net.tcp.port[******,******] zamiast net.tcp.port[192.0.2.1,80].
| Context | Parameter | |
|---|---|---|
| Items, item prototypes, LLD rules | ||
| Item | Parametry klucza pozycji | |
| Item prototype | Parametry klucza prototypu pozycji | |
| Low-level discovery rule | Parametry klucza pozycji wykrywania | |
| SNMP agent | Społeczność SNMP | |
| Nazwa kontekstu (SNMPv3) | ||
| Nazwa bezpieczeństwa (SNMPv3) | ||
| Hasło uwierzytelniania (SNMPv3) | ||
| Hasło prywatności (SNMPv3) | ||
| HTTP agent | URL | |
| Pola zapytania | ||
| Treść żądania | ||
| Nagłówki | ||
| Nazwa użytkownika | ||
| Hasło | ||
| Hasło klucza SSL | ||
| Script | Parametry | |
| Skrypt | ||
| Browser | Parametry | |
| Skrypt | ||
| Database monitor | Zapytanie SQL | |
| TELNET agent | Skrypt | |
| Nazwa użytkownika | ||
| Hasło | ||
| SSH agent | Skrypt | |
| Nazwa użytkownika | ||
| Hasło | ||
| Simple check | Nazwa użytkownika | |
| Hasło | ||
| JMX agent | Nazwa użytkownika | |
| Hasło | ||
| Item value preprocessing | ||
| JavaScript preprocessing step | Skrypt | |
| Web scenarios | ||
| Web scenario | Wartość zmiennej | |
| Wartość nagłówka | ||
| URL | ||
| Wartość pola zapytania | ||
| Wartość pola post | ||
| Surowy post | ||
| Web scenario authentication | Użytkownik | |
| Hasło | ||
| Hasło klucza SSL | ||
| Connectors | ||
| Connector | URL | |
| Nazwa użytkownika | ||
| Hasło | ||
| Token | ||
| Proxy HTTP | ||
| Plik certyfikatu SSL | ||
| Plik klucza SSL | ||
| Hasło klucza SSL | ||
| Network discovery | ||
| SNMP | Społeczność SNMP | |
| Nazwa kontekstu (SNMPv3) | ||
| Nazwa bezpieczeństwa (SNMPv3) | ||
| Hasło uwierzytelniania (SNMPv3) | ||
| Hasło prywatności (SNMPv3) | ||
| Global scripts | ||
| Webhook | Skrypt JavaScript | |
| Wartość parametru skryptu JavaScript | ||
| Telnet | Nazwa użytkownika | |
| Hasło | ||
| SSH | Nazwa użytkownika | |
| Hasło | ||
| Script | Skrypt | |
| Media types | ||
| Script | Parametry skryptu | |
| Webhook | Parametry | |
| IPMI management | ||
| Host | Nazwa użytkownika | |
| Hasło | ||