1 MySQL šifrēšanas konfigurācija

Pārskats

Šajā sadaļā ir sniegti vairāki šifrēšanas konfigurācijas piemēri CentOS 8.2 un MySQL 8.0.30, un tos var izmantot kā ātro darba sākšanas rokasgrāmatu savienojuma ar datubāzi šifrēšanai.

Ja MySQL hosts ir iestatīts uz localhost, šifrēšanas opcijas nebūs pieejamas. Šādā gadījumā savienojums starp Zabbix lietotāja saskarni un datubāzi izmanto socket failu (Unix vidē) vai koplietojamo atmiņu (Windows vidē), un to nevar šifrēt.

Šifrēšanas kombināciju saraksts neaprobežojas tikai ar šajā lapā norādītajām. Ir pieejams daudz vairāk kombināciju.

Priekšnosacījumi

Instalējiet MySQL datubāzi no oficiālās repozitorija.

Skatiet MySQL dokumentāciju, lai iegūtu detalizētu informāciju par MySQL repozitorija izmantošanu.

MySQL serveris ir gatavs pieņemt drošus savienojumus, izmantojot pašparakstītu sertifikātu.

Lai redzētu, kuri lietotāji izmanto šifrētu savienojumu, izpildiet šādu vaicājumu (Performance Schema jābūt ieslēgtai):

SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS host 
FROM performance_schema.status_by_thread  AS sbt
JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id
JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id
WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher'
ORDER BY tls_version;

Tikai transporta šifrēšana

MySQL konfigurācija

Mūsdienu datubāzes versijas ir gatavas lietošanai uzreiz ar required šifrēšanas režīmu. Pēc sākotnējās iestatīšanas un palaišanas tiks izveidots servera puses sertifikāts.

Izveidojiet lietotājus un lomas galvenajiem komponentiem:

MySQL versijām 8.4+ mysql_native_password vietā jāizmanto caching_sha2_password.

mysql> CREATE USER
 'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>',
 'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>'
 REQUIRE SSL
 PASSWORD HISTORY 5; 

mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role'; 

mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role'; 
mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role'; 

mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%'; 
mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%'; 

mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%'; 
mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%';

Ņemiet vērā, ka X.509 protokols netiek izmantots identitātes pārbaudei, bet lietotājs ir konfigurēts tā, lai izmantotu tikai šifrētus savienojumus. Plašāku informāciju par lietotāju konfigurēšanu skatiet MySQL dokumentācijā.

Palaidiet, lai pārbaudītu savienojumu (ligzdas savienojumu nevar izmantot droša savienojuma testēšanai):

mysql -u zbx_srv -p -h 10.211.55.9 --ssl-mode=REQUIRED

Pārbaudiet pašreizējo statusu un pieejamos šifru komplektus:

mysql> status
--------------
mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL)

Connection id: 62
Current database:
Current user: [email protected]
SSL: Cipher in use is TLS_AES_256_GCM_SHA384

mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G;
*************************** 1. row ***************************
Variable_name: Ssl_cipher_list
Value: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA
1 row in set (0.00 sec)

ERROR:
No query specified

Lietotāja saskarne

Lai iespējotu tikai transporta šifrēšanu savienojumiem starp Zabbix lietotāja saskarni un datubāzi:

  • Atzīmējiet Database TLS encryption
  • Atstājiet Verify database certificate neatzīmētu

Serveris

Lai iespējotu tikai transporta šifrēšanu savienojumiem starp serveri un datubāzi, konfigurējiet /etc/zabbix/zabbix_server.conf:

...
DBHost=10.211.55.9
DBName=zabbix
DBUser=zbx_srv
DBPassword=<strong_password>
DBTLSConnect=required
...

Šifrēšana ar sertifikācijas iestādes verifikāciju

Nokopējiet nepieciešamo MySQL CA uz Zabbix lietotāja saskarnes serveri un piešķiriet atbilstošas atļaujas, lai tīmekļa serveris varētu nolasīt šo failu.

Šis režīms nedarbojas uz RHEL 7 vecāku MySQL bibliotēku dēļ.

Lietotāja saskarne

Lai iespējotu šifrēšanu ar sertifikāta pārbaudi savienojumiem starp Zabbix lietotāja saskarni un datubāzi:

  • Atzīmējiet Database TLS encryption un Verify database certificate
  • Norādiet ceļu uz Database TLS CA failu

Alternatīvi, to var iestatīt failā /etc/zabbix/web/zabbix.conf.php:

...
$DB['ENCRYPTION'] = true;
$DB['KEY_FILE'] = '';
$DB['CERT_FILE'] = '';
$DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
$DB['VERIFY_HOST'] = false;
$DB['CIPHER_LIST'] = '';
...

Problēmu novēršanai lietotājs var izmantot komandrindas rīku, lai pārbaudītu, vai savienojums ir iespējams nepieciešamajam lietotājam:

    mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=REQUIRED --ssl-ca=/var/lib/mysql/ca.pem

Serveris

Lai iespējotu šifrēšanu ar sertifikāta verifikāciju savienojumiem starp Zabbix serveri un datubāzi, konfigurējiet /etc/zabbix/zabbix_server.conf:

...
DBHost=10.211.55.9
DBName=zabbix
DBUser=zbx_srv
DBPassword=<strong_password>
DBTLSConnect=verify_ca
DBTLSCAFile=/etc/ssl/mysql/ca.pem
...

Šifrēšana ar pilnu verifikāciju

MySQL konfigurācija

Iestatiet MySQL CE servera konfigurācijas opciju (/etc/my.cnf.d/server-tls.cnf) uz:

[mysqld]
...
# šajā piemērā atslēgas atrodas MySQL CE datadir direktorijā
ssl_ca=ca.pem
ssl_cert=server-cert.pem
ssl_key=server-key.pem

require_secure_transport=ON
tls_version=TLSv1.3
...

MySQL CE servera un klienta (Zabbix lietotāja saskarne) atslēgas ir jāizveido manuāli saskaņā ar MySQL CE dokumentāciju: Creating SSL and RSA certificates and keys using MySQL vai Creating SSL certificates and keys using openssl

MySQL servera sertifikātā laukam Common Name jābūt iestatītam uz FQDN nosaukumu, jo Zabbix lietotāja saskarne izmantos DNS nosaukumu, lai sazinātos ar datubāzi, vai datubāzes hosta IP adresi.

Izveidojiet MySQL lietotāju:

MySQL versijām 8.4+ caching_sha2_password jāizmanto mysql_native_password vietā.

mysql> CREATE USER
  'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>',
  'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>'
  REQUIRE X509
  PASSWORD HISTORY 5;

Pārbaudiet, vai ir iespējams pieteikties ar šo lietotāju:

mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem

Lietotāja saskarne

Lai iespējotu šifrēšanu ar pilnu verifikāciju savienojumiem starp Zabbix lietotāja saskarni un datubāzi:

  • Atzīmējiet Database TLS encryption un Verify database certificate
  • Norādiet ceļu uz Database TLS key file
  • Norādiet ceļu uz Database TLS CA file
  • Norādiet ceļu uz Database TLS certificate file

Ņemiet vērā, ka Database host verification ir atzīmēts un pelēkots - šo soli MySQL gadījumā nevar izlaist.

Ja lauks Database TLS cipher list ir atstāts tukšs, tiks iespējoti kopīgie šifri, ko atbalsta gan lietotāja saskarne (klients), gan serveris. Alternatīvi šifrus var iestatīt tieši, ievērojot cipher configuration requirements.

Alternatīvi to var iestatīt failā /etc/zabbix/web/zabbix.conf.php:

...
// Used for TLS connection with strictly defined Cipher list.
$DB['ENCRYPTION'] = true;
$DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
$DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
$DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
$DB['VERIFY_HOST'] = true;
$DB['CIPHER_LIST'] = 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC';
...
// or
...
// Used for TLS connection without Cipher list defined - selected by MySQL server
$DB['ENCRYPTION'] = true;
$DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
$DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
$DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
$DB['VERIFY_HOST'] = true;
$DB['CIPHER_LIST'] = '';
...

Serveris

Lai iespējotu šifrēšanu ar pilnu verifikāciju savienojumiem starp Zabbix serveri un datubāzi, konfigurējiet /etc/zabbix/zabbix_server.conf:

...
DBHost=10.211.55.9
DBName=zabbix
DBUser=zbx_srv
DBPassword=<strong_password>
DBTLSConnect=verify_full
DBTLSCAFile=/etc/ssl/mysql/ca.pem
DBTLSCertFile=/etc/ssl/mysql/client-cert.pem
DBTLSKeyFile=/etc/ssl/mysql/client-key.pem
...