This is a translation of the original English documentation page. Help us make it better.

13 Складиштење тајни

Преглед

Zabbix се може конфигурисати за преузимање осетљивих информација из безбедног трезора. Подржане су следеће услуге тајног управљања: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Тајне се могу користити за проналажење:

Zabbix обезбеђује приступ тајнама у трезору само за читање, под претпоставком да тајнама управља неко други.

За информације о специфичној конфигурацији добављача трезора, погледајте:

Кеширање тајних вредности

Вредности тајних макроа трезора преузима Zabbix сервер при сваком освежавању података конфигурације, а затим их чува у кешу конфигурације. Zabbix прокси прима вредности тајних макроа трезора са Zabbix сервера при свакој синхронизацији конфигурације и чува их у сопственом кешу конфигурације.

Шифровање мора бити омогућено између Zabbix сервера и проксија; у супротном се евидентира порука упозорења сервера.

Да бисте ручно покренули освежавање кешираних тајних вредности из трезора, користите командну линију 'secrets_reload' опција.

За Zabbix корисничког интерфејса базу података, кеширање акредитива је подразумевано онемогућено, али се може омогућити подешавањем опције $DB['VAULT_CACHE'] = true у zabbix.conf.php. Акредитиви ће бити сачувани у локалном кешу користећи привремени директоријум датотека система датотека. Веб сервер мора дозволити писање у приватну привремену фасциклу (на пример, за Apache мора бити подешена опција конфигурације PrivateTmp=True). Да бисте контролисали колико често се кеш података освежава/поништава, користите ZBX_DATA_CACHE_TTL константу.

TLS конфигурација

Да бисте конфигурисали TLS за комуникацију између Zabbix компоненти и трезора, додајте сертификат који је потписао ауторитет сертификата (CA) у подразумевано складиште CA на нивоу система. Да бисте користили другу локацију, наведите директоријум у конфигурационом параметру SSLCALocation Zabbix сервер/прокси поставите датотеку сертификата у тај директоријум, а затим покрените CLI команда:

c_rehash .