13 Складиштење тајни
Преглед
Zabbix се може конфигурисати за преузимање осетљивих информација из безбедног трезора. Подржане су следеће услуге тајног управљања: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Тајне се могу користити за проналажење:
- вредности макроа корисника
- креденцијале за приступ бази података
Zabbix обезбеђује приступ тајнама у трезору само за читање, под претпоставком да тајнама управља неко други.
За информације о специфичној конфигурацији добављача трезора, погледајте:
Кеширање тајних вредности
Вредности тајних макроа трезора преузима Zabbix сервер при сваком освежавању података конфигурације, а затим их чува у кешу конфигурације. Zabbix прокси прима вредности тајних макроа трезора са Zabbix сервера при свакој синхронизацији конфигурације и чува их у сопственом кешу конфигурације.
Шифровање мора бити омогућено између Zabbix сервера и проксија; у супротном се евидентира порука упозорења сервера.
Такође је могуће конфигурисати да Zabbix сервер и Zabbix прокси независно преузимају макро вредности.
Да бисте ручно покренули освежавање кешираних тајних вредности из трезора, користите командну линију 'secrets_reload' опција.
За Zabbix базу података корисничког интерфејса, кеширање је подразумевано онемогућено, али се може омогућити подешавањем опције $DB['VAULT_CACHE'] = true у zabbix.conf.php. Креденцијали ће бити сачувани у локалном кешу користећи привремени директоријум датотека система датотека. Веб сервер мора дозволити писање у приватну привремени директоријум (на пример, за Apache мора бити подешена опција конфигурације PrivateTmp=True). Да бисте контролисали колико често се кеш података освежава/поништава, користите ZBX_DATA_CACHE_TTL константу.
TLS конфигурација
Да бисте конфигурисали TLS за комуникацију између Zabbix компоненти и трезора, додајте сертификат који је потписао ауторитет сертификата (CA) у подразумевано складиште CA на нивоу система. Да бисте користили другу локацију, наведите директоријум у конфигурационом параметру SSLCALocation за Zabbix сервер/прокси, сместите датотеку сертификата унутар тог директоријума, а затим покрените CLI команду:
c_rehash .