4 Macro utente segrete
Panoramica
Zabbix offre due opzioni per proteggere le informazioni sensibili nei valori delle macro utente:
- Testo segreto
- Segreto del vault
Sebbene il valore di una macro segreta sia nascosto, può essere rivelato tramite l'uso negli item.
Ad esempio, in uno script esterno, un'istruzione echo che fa riferimento a una macro segreta può essere usata per rivelare il valore della macro nel frontend, perché Zabbix server ha accesso al valore reale della macro.
Vedere le posizioni in cui i valori delle macro segrete vengono mostrati in chiaro.
Le macro segrete non possono essere utilizzate nelle espressioni dei trigger.
Testo segreto
Con le macro di testo segreto, il valore della macro viene mascherato con asterischi.
Per rendere segreto il valore di una macro, fare clic sul pulsante alla fine del campo Valore e selezionare l'opzione Testo segreto:
Una volta salvata la configurazione, non sarà più possibile visualizzare il valore.
Per modificare il valore della macro, passare con il mouse sul campo Valore e fare clic sul pulsante Imposta nuovo valore (compare al passaggio del mouse):
Quando si fa clic sul pulsante Imposta nuovo valore (o si cambia il tipo di valore della macro), il valore corrente verrà cancellato.
È possibile ripristinare il valore originale facendo clic sulla freccia 
alla fine del campo Valore (disponibile solo prima di salvare la nuova configurazione).
Si noti che il ripristino del valore originale non lo renderà visibile.
Gli URL che contengono una macro segreta non funzioneranno, poiché la macro al loro interno verrà risolta come "******".
Segreto del vault
Con le macro di segreto del vault, il valore della macro viene memorizzato in un software esterno di gestione dei segreti (vault).
Per configurare una macro di segreto del vault, fare clic sul pulsante alla fine del campo Value e selezionare l'opzione Vault secret:
Il valore della macro deve puntare a un segreto del vault. Il formato di input dipende dal provider del vault. Per esempi di configurazione specifici per provider, vedere:
I valori delle macro segrete di Vault vengono recuperati dal vault da Zabbix server (e da Zabbix proxy, se Resolve secret vault macros by è impostato su Zabbix server and proxy) a ogni aggiornamento dei dati di configurazione e quindi memorizzati nella cache di configurazione. Zabbix server e Zabbix proxy possono utilizzare vault diversi.
Se Resolve secret vault macros by è impostato su Zabbix server, i segreti del vault vengono recuperati solo dal server e Zabbix proxy riceve i valori delle macro segrete di Vault da Zabbix server a ogni sincronizzazione della configurazione e li memorizza nella propria cache di configurazione. Ciò significa che uno Zabbix proxy non può avviare la raccolta dei dati dopo un riavvio finché non riceve l'aggiornamento della configurazione da Zabbix server.
Per aggiornare manualmente i valori segreti dal vault, utilizzare l'opzione di controllo runtime secrets_reload (solo server).
La crittografia deve essere abilitata tra Zabbix server e proxy; in caso contrario viene registrato un messaggio di avviso del server.
Se il valore di una macro non può essere recuperato correttamente, il corrispondente item che utilizza tale valore diventerà non supportato.
Posizioni non mascherate
Questo elenco fornisce le posizioni dei parametri in cui i valori delle macro segrete non sono mascherati.
I valori delle macro segrete rimarranno mascherati nelle posizioni seguenti se referenziati indirettamente.
Ad esempio, {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} macro integrate utilizzate nei tipi di supporto (parametri Script o webhook) verranno risolte in chiavi item contenenti macro segrete mascherate, come net.tcp.port[******,******] invece di net.tcp.port[192.0.2.0,80].
| Contesto | Parametro | |
|---|---|---|
| Item, prototipi di item, regole LLD | ||
| Item | Parametri della chiave item | |
| Prototipo di item | Parametri della chiave del prototipo di item | |
| Regola di low-level discovery | Parametri della chiave dell'item di discovery | |
| agent SNMP | Community SNMP | |
| Nome del contesto (SNMPv3) | ||
| Nome di sicurezza (SNMPv3) | ||
| Passphrase di autenticazione (SNMPv3) | ||
| Passphrase di privacy (SNMPv3) | ||
| agent HTTP | URL | |
| Campi della query | ||
| Corpo della richiesta | ||
| Header | ||
| Nome utente | ||
| Password | ||
| Password della chiave SSL | ||
| Script | Parametri | |
| Script | ||
| Browser | Parametri | |
| Script | ||
| Monitor database | Query SQL | |
| agent TELNET | Script | |
| Nome utente | ||
| Password | ||
| agent SSH | Script | |
| Nome utente | ||
| Password | ||
| Controllo semplice | Nome utente | |
| Password | ||
| agent JMX | Nome utente | |
| Password | ||
| Pre-elaborazione del valore dell'item | ||
| Passaggio di pre-elaborazione JavaScript | Script | |
| Scenari web | ||
| Scenario web | Valore della variabile | |
| Valore dell'header | ||
| URL | ||
| Valore del campo query | ||
| Valore del campo POST | ||
| POST grezzo | ||
| Autenticazione dello scenario web | Utente | |
| Password | ||
| Password della chiave SSL | ||
| Connettori | ||
| Connettore | URL | |
| Nome utente | ||
| Password | ||
| Token | ||
| Proxy HTTP | ||
| File del certificato SSL | ||
| File della chiave SSL | ||
| Password della chiave SSL | ||
| Network discovery | ||
| SNMP | Community SNMP | |
| Nome del contesto (SNMPv3) | ||
| Nome di sicurezza (SNMPv3) | ||
| Passphrase di autenticazione (SNMPv3) | ||
| Passphrase di privacy (SNMPv3) | ||
| Script globali | ||
| Webhook | Script JavaScript | |
| Valore del parametro dello script JavaScript | ||
| Telnet | Nome utente | |
| Password | ||
| SSH | Nome utente | |
| Password | ||
| Script | Script | |
| Tipi di supporto | ||
| Script | Parametri dello script | |
| Webhook | Parametri | |
| Gestione IPMI | ||
| Host | Nome utente | |
| Password | ||