13 Складиштење тајни

Преглед

Zabbix се може конфигурисати за преузимање осетљивих информација из безбедног трезора. Подржане су следеће услуге тајног управљања: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Тајне се могу користити за проналажење:

• вредности макроа корисника
• акредитиве за приступ бази података

Zabbix обезбеђује приступ тајнама у трезору само за читање, под претпоставком да тајнама управља неко други.

За информације о специфичној конфигурацији добављача трезора, погледајте:

• HashiCorp конфигурација
• Конфигурација CyberArk

Кеширање тајних вредности

Вредности тајних макроа трезора преузима Zabbix сервер при сваком освежавању података конфигурације, а затим их чува у кешу конфигурације. Zabbix прокси прима вредности тајних макроа трезора са Zabbix сервера при свакој синхронизацији конфигурације и чува их у сопственом кешу конфигурације.

Да бисте ручно покренули освежавање кешираних тајних вредности из трезора, користите командну линију 'secrets_reload' опција.

За Zabbix корисничког интерфејса базу података, кеширање акредитива је подразумевано онемогућено, али се може омогућити подешавањем опције $DB['VAULT_CACHE'] = true у zabbix.conf.php. Акредитиви ће бити сачувани у локалном кешу користећи привремени директоријум датотека система датотека. Веб сервер мора дозволити писање у приватну привремену фасциклу (на пример, за Apache мора бити подешена опција конфигурације PrivateTmp=True). Да бисте контролисали колико често се кеш података освежава/поништава, користите ZBX_DATA_CACHE_TTL константу.

TLS конфигурација

Да бисте конфигурисали TLS за комуникацију између Zabbix компоненти и трезора, додајте сертификат који је потписао ауторитет сертификата (CA) у подразумевано складиште CA на нивоу система. Да бисте користили другу локацију, наведите директоријум у конфигурационом параметру SSLCALocation Zabbix сервер/прокси поставите датотеку сертификата у тај директоријум, а затим покрените CLI команда:

c_rehash .