Documentation

Você está visualizando a documentação da versão de desenvolvimento, que pode estar incompleta.
Esta página foi traduzida automaticamente. Se você notar um erro, selecione-o e pressione Ctrl+Enter para reportá-lo aos editores.
1 Estrutura do manual
2 O que é o Zabbix
3 Funcionalidades do Zabbix
4 Visão geral do Zabbix
5 Novidades do Zabbix 8.0.0
6 Novidades no Zabbix 8.0.x
2 Definições
1 Alta disponibilidade
2 Agent
3 Agent 2
4 Proxy
1 Instalação a partir do código-fonte
2 Instalação a partir de pacotes RHEL
3 Instalação a partir de pacotes Debian/Ubuntu
6 Sender
7 Obter
8 JS
9 Serviço web
1 Obtendo o Zabbix
2 Requisitos
1 Compilando o agent do Zabbix no Windows
2 Compilando o Zabbix agent 2 no Windows
3 Compilando o agent Zabbix no macOS
1 Instalação do agent do Windows a partir do MSI
2 Instalação do agent no macOS a partir do PKG
3 Lançamentos instáveis
5 Instalação a partir de containers
6 Instalação da interface web
1 Atualização a partir do código-fonte
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Atualização a partir de containers
1 Problemas de compilação
2 Problemas de atualização relacionados ao escape
9 Alterações em templates
10 Notas de atualização para 8.0.0
11 Notas de atualização para 8.0.x
1 Login e configuração do usuário
2 Novo host
3 Novo item
4 Novo trigger
5 Recebendo notificações de problemas
6 Novo template
6 Zabbix appliance
1 Assistente de host
2 Configurando um host
3 Configurando um grupo de hosts
4 Inventário
5 Atualização em massa
1 Formato da chave do item
2 Intervalos personalizados
1 Teste de pré-processamento
2 Detalhes do pré-processamento
3 Exemplos de pré-processamento
1 Escape de caracteres especiais de valores de macros LLD em JSONPath
1 Objetos JavaScript adicionais
2 Objetos JavaScript de item de navegador
6 Pré-processamento de CSV para JSON
1 Zabbix agent 2
2 Agent Zabbix para Windows
1 Índices dinâmicos
2 OIDs especiais
3 Arquivos MIB
3 Traps SNMP
4 Verificações IPMI
1 Chaves de item de monitoramento do VMware
6 Monitoramento de arquivos de log
1 Cálculos agregados
8 Verificações internas
9 Verificações SSH
10 Verificações Telnet
11 Verificações externas
12 Itens trapper
13 Monitoramento JMX
14 Monitoramento ODBC
15 Items dependentes
16 Agente HTTP
17 Verificações do Prometheus
18 Itens de script
19 Itens de navegador
4 Histórico e tendências
1 Estendendo os agents do Zabbix
6 Contadores de desempenho do Windows
7 Atualização em massa
8 Mapeamento de valores
9 Fila
10 Cache de valores
11 Executar agora
12 Restringindo verificações do agent
1 Configurando um trigger
2 Expressão de trigger
3 Dependências de trigger
4 Severidade do trigger
5 Personalizando severidades de trigger
6 Atualização em massa
7 Funções de trigger preditivas
1 Geração de evento de trigger
2 Outras fontes de eventos
3 Fechamento manual de problemas
1 Correlação de eventos baseada em trigger
2 Correlação global de eventos
6 Tagging
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad-hoc
4 Agregação em gráficos
1 Configurando um mapa de rede
2 Elementos de grupo de hosts
3 Indicadores de link
3 Dashboards
1 Configurando um template
2 Configurando um grupo de templates
3 Vinculando/desvinculando
4 Aninhamento
5 Atualização em massa
1 Operação de template de agent Zabbix
2 Operação de template do Zabbix agent 2
3 Operação de template HTTP
4 Operação de template IPMI
5 Operação do template JMX
6 Operação de template ODBC
7 Templates padronizados para dispositivos de rede
8 Operação de template VMware
1 Tipos de mídia automatizados do Gmail/Office365
2 SMS
3 Scripts de alerta personalizados
1 Exemplos de scripts de webhook
1 Condições
1 Enviando mensagem
2 Comandos remotos
3 Operações adicionais
4 Usando macros em mensagens
3 Operações de recuperação
4 Atualizar operações
5 Escalonamentos
3 Recebendo notificação sobre items não suportados
1 Funções de macro
2 Macros de usuário
3 Macros de usuário com contexto
4 Macros de usuário secretas
5 Macros de descoberta de baixo nível
6 Macros de expressão
1 Configurando um usuário
2 Permissões
3 Grupos de usuários
1 Configuração do CyberArk
2 Configuração do HashiCorp
14 Relatórios agendados
1 Exportar para arquivos
2 Transmitindo para sistemas externos
3 SNMP gateway
1 Árvore de serviços
2 SLA
3 Exemplo de configuração
1 Itens de monitoramento web
2 Cenário da vida real
1 Chaves de item de monitoramento do VMware
2 Campos de chave de descoberta de máquina virtual
3 exemplos de JSON para items VMware
4 Exemplo de configuração de monitoramento VMware
11 Manutenção
12 Expressões regulares
1 Supressão de problema
1 Grupos de templates
2 Grupos de hosts
3 Templates
4 Hosts
5 Mapas de rede
6 Tipos de mídia
1 Configurando uma regra de descoberta de rede
2 Autoregistro de agent ativo
1 Prototipagem de items
2 Protótipos de trigger
3 Protótipos de gráficos
4 Protótipos de host
5 Protótipos de descoberta
6 Notas sobre descoberta de baixo nível
1 Descoberta de sistemas de arquivos montados
2 Descoberta de interfaces de rede
3 Descoberta de CPUs e núcleos de CPU
4 Descoberta de OIDs SNMP
5 Descoberta de OIDs SNMP (legado)
6 Descoberta de objetos JMX
7 Descoberta de sensores IPMI
8 Descoberta de serviços systemd
9 Descoberta de serviços do Windows
10 Descoberta de instâncias de contadores de desempenho do Windows
11 Descoberta usando consultas WMI
12 Descoberta usando consultas SQL ODBC
13 Descoberta usando dados do Prometheus
14 Descoberta de dispositivos de bloco
15 Descoberta de interfaces de host no Zabbix
8 Regras LLD personalizadas
1 Sincronização da configuração de monitoramento
2 Balanceamento de carga e alta disponibilidade do proxy
1 Usando certificados
2 Usando chaves pré-compartilhadas
1 Problemas de tipo de conexão ou permissão
2 Problemas de certificado
3 Problemas com PSK
1 Menu de evento
2 Menu de host
3 Menu de item
1 Widgets do dashboard
1 Log de ações
2 Relógio
3 Status da descoberta
4 Gráficos favoritos
5 Mapas favoritos
6 Gauge
7 Geomapa
8 Gráfico
9 Gráfico (clássico)
10 Protótipo de gráfico
11 Honeycomb
12 Disponibilidade do host
13 Cartão de host
14 Navegador de hosts
15 Cartão de item
16 Histórico de item
17 Navegador de item
18 Valor do item
19 Mapa
20 Árvore de navegação do mapa
21 Gráfico de pizza
22 Hosts com problemas
23 Problemas
24 Problemas por gravidade
25 Relatório de SLA
26 Informações do sistema
27 Principais hosts
28 Principais items
29 Principais triggers
30 Visão geral do trigger
31 URL
32 Monitoramento web
1 Problemas de causa e sintoma
1 Gráficos
2 Dashboards de host
3 Cenários web
3 Últimos dados
4 Mapas
5 Descoberta
1 Serviços
2 SLA
3 Relatório de SLA
1 Visão geral
2 Hosts
1 Informações do sistema
2 Relatórios agendados
3 Relatório de disponibilidade
4 Top 100 triggers
5 Log de auditoria
6 Log de ações
7 Notificações
1 Grupos de templates
2 Grupos de hosts
1 Items
2 Triggers
3 Gráficos
1 Prototipagem de items
2 Protótipos de trigger
3 Protótipos de gráficos
4 Protótipos de host
5 Protótipos de descoberta
5 Cenários web
1 Items
2 Triggers
3 Gráficos
1 Protótipos de item
2 Protótipos de trigger
3 Protótipos de gráficos
4 Protótipos de host
5 Protótipos de descoberta
5 Cenários web
5 Manutenção
6 Correlação de eventos
7 Descoberta
1 Ações
2 Tipos de mídia
3 Scripts
1 Grupos de usuários
2 Funções de usuário
3 Usuários
4 Tokens de API
1 HTTP
2 LDAP
3 SAML
4 MFA
1 Geral
2 Log de auditoria
3 Limpeza
4 Proxies
5 Grupos de proxy
6 Macros
7 Fila
1 Notificações globais
2 Som nos navegadores
4 Pesquisa global
5 Modo de manutenção do frontend
6 Parâmetros de página
7 Definições
8 Criando seu próprio tema
9 Modo de depuração
10 Cookies usados pelo Zabbix
11 Fusos horários
12 Redefinindo a senha
13 Seletor de período de tempo e host
1 Protegendo o MySQL/MariaDB
2 Protegendo o PostgreSQL/TimescaleDB
2 Criptografia
3 Servidor web
2 Melhores práticas de configuração
Objeto action
action.create
action.delete
action.get
action.update
Objeto alert
alert.get
Objeto de autenticação
authentication.get
authentication.update
Objeto de autorregistro
autoregistration.get
autoregistration.update
Objeto de cenário web
httptest.create
httptest.delete
httptest.get
httptest.update
configuration.export
configuration.import
configuration.importcompare
Objeto settings
settings.get
settings.update
Objeto connector
connector.create
connector.delete
connector.get
connector.update
Objeto correlation
correlation.create
correlation.delete
correlation.get
correlation.update
Objeto dashboard
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Log de ações
2 Relógio
3 Status da descoberta
4 Gráficos favoritos
5 Mapas favoritos
6 Gauge
7 Geomapa
8 Gráfico
9 Gráfico (clássico)
10 Protótipo de gráfico
11 Honeycomb
12 Disponibilidade do host
13 Cartão de host
14 Navegador de hosts
15 Cartão de item
16 Histórico de item
17 Navegador de item
18 Valor do item
19 Mapa
20 Árvore de navegação do mapa
21 Gráfico de pizza
22 Hosts com problemas
23 Problemas
24 Problemas por gravidade
25 Relatório de SLA
26 Informações do sistema
27 Principais hosts
28 Principais items
29 Principais triggers
30 Visão geral do trigger
31 URL
32 Monitoramento web
Objeto de diretório de usuário
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Objeto event
event.acknowledge
event.get
Objeto de expressão regular
regexp.create
regexp.delete
regexp.get
regexp.update
Objeto graph
graph.create
graph.delete
graph.get
graph.update
Objeto de grupo de hosts
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Objeto de grupo de proxy
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Objeto de grupo de template
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Objeto de grupo de usuários
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Objeto de histórico
history.clear
history.get
history.push
Objeto host
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Objeto de host descoberto
dhost.get
Objeto de limpeza
housekeeping.get
housekeeping.update
Objeto de imagem
image.create
image.delete
image.get
image.update
apiinfo.version
Objeto de interface de host
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
Objeto item
item.create
item.delete
item.get
item.update
Objeto de item de gráfico
graphitem.get
Objeto de log de auditoria
auditlog.get
Objeto macro de usuário
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Objeto de manutenção
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Objeto de mapa
map.create
map.delete
map.get
map.update
Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Objeto de mapa de ícones
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Objeto MFA
mfa.create
mfa.delete
mfa.get
mfa.update
Objeto module
module.create
module.delete
module.get
module.update
Objeto de nó de alta disponibilidade
hanode.get
Objeto problem
problem.get
Objeto de protótipo de gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Objeto de protótipo de host
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Objeto de protótipo de item
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Objeto de protótipo de regra de LLD
discoveryruleprototype.create
discoveryruleprototype.delete
discoveryruleprototype.get
discoveryruleprototype.update
Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
Objeto de regra de descoberta
drule.create
drule.delete
drule.get
drule.update
Objeto de regra de LLD
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
Objeto report
report.create
report.delete
report.get
report.update
Objeto role
role.create
role.delete
role.get
role.update
Objeto script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Objeto de serviço
service.create
service.delete
service.get
service.update
Objeto de serviço descoberto
dservice.get
Objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Objeto Task
task.create
task.get
Objeto template
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Objeto de dashboard de template
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Objeto media type
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Objeto token
token.create
token.delete
token.generate
token.get
token.update
Objeto de tendência
trend.get
Objeto trigger
trigger.create
trigger.delete
trigger.get
trigger.update
Objeto de protótipo de trigger
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Objeto de usuário
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Objeto de verificação de descoberta
dcheck.get
Apêndice 1. Comentário de referência
Apêndice 2. Alterações da 7.4 para a 8.0
Apêndice 3. Alterações na 8.0
1 Módulos carregáveis
1 Compilando plugins carregáveis
3 Módulos do frontend
1 Criação do banco de dados
2 Reparando o conjunto de caracteres e a collation do banco de dados do Zabbix
3 Atualização do banco de dados para chaves primárias
4 Preparando a tabela auditlog para particionamento
1 Configuração de criptografia do MySQL
2 Configuração de criptografia do PostgreSQL
6 Conexão segura com o frontend
7 Configuração do TimescaleDB
8 Configuração do Elasticsearch
9 Notas específicas da distribuição sobre a configuração do Nginx para o Zabbix
10 Executando o agent como root
11 Agent Zabbix no Microsoft Windows
12 Configuração do SAML com o Microsoft Entra ID
13 Configuração do SAML com Okta
14 Configuração do SAML com OneLogin
15 Configurando relatórios agendados
16 Idiomas adicionais do frontend
1 Zabbix server
2 Proxy Zabbix
3 Agent Zabbix (UNIX)
4 Agent Zabbix 2 (UNIX)
5 Agent Zabbix (Windows)
6 Agent Zabbix 2 (Windows)
1 Plugin Ceph
2 Plugin Docker
3 Plugin Ember+
4 Plugin Memcached
5 Plugin Modbus
6 Plugin MongoDB
7 Plugin MQTT
8 Plugin MSSQL
9 Plugin MySQL
10 Plugin NVIDIA GPU
11 Plugin Oracle
12 Plugin do PostgreSQL
13 Plugin Redis
14 Plugin SMART
8 Zabbix Java gateway
9 Serviço web do Zabbix
10 Variáveis de ambiente
11 Inclusão
1 Protocolo de troca de dados server-proxy
2 Protocolo do agent/agent2 do Zabbix
4 Protocolo de plugin do Zabbix agent 2
5 Protocolo do Zabbix sender
6 Cabeçalho
7 Novo protocolo de exportação JSON delimitado por nova linha
1 parâmetros vm.memory.size
2 Verificações passivas e ativas do agent
3 Nível mínimo de permissão para itens do agent do Windows
4 Codificação dos valores retornados
5 Suporte a arquivos grandes
6 Sensor
7 Notas sobre o parâmetro memtype em itens proc.mem
8 Notas sobre a seleção de processos em itens proc.mem e proc.num
9 Detalhes de implementação das verificações net.tcp.service e net.udp.service
10 parâmetros proc.get
11 Configurações de interface de host inacessível/indisponível
12 Monitoramento remoto das estatísticas do Zabbix
13 Configurando o Kerberos com o Zabbix
14 parâmetros modbus.get
15 Criando nomes personalizados de contadores de desempenho para VMware
16 Valores de retorno para system.sw.packages.get
17 Valores de retorno para net.dns.get
18 Notas sobre os items system.cpu.util no Windows
1 Funções Foreach
2 Funções bitwise
3 Funções de data e hora
4 Funções de histórico
5 Funções de tendência
6 Funções matemáticas
7 Funções de operador
8 Funções preditivas
9 Funções de string
1 Macros suportadas por local
2 Macros de usuário suportadas por local
7 Símbolos de unidade
8 Sintaxe do período de tempo
9 Execução de comandos
10 Compatibilidade de versões
12 Biblioteca de vínculo dinâmico do Zabbix sender para Windows
13 Biblioteca Python para Zabbix API
14 Atualização do monitoramento de serviços
15 Outros problemas
16 Comparação entre agent e agent 2
17 Exemplos de escape
1 Monitorar Linux com o agent do Zabbix
2 Monitorar Windows com o Zabbix agent
3 Monitorar o Apache via HTTP
4 Monitorar o MySQL com o Zabbix agent 2
5 Monitorar VMware com o Zabbix
6 Monitorar o tráfego de rede com o Zabbix
7 Monitorar o tráfego de rede usando verificações ativas
8 Monitorar sites com itens do Browser
9 Monitorar certificados de sites com o Zabbix agent 2 (passivo)
10 Monitore um switch ou roteador de rede com o Zabbix
11 Monitorar o log de eventos do Windows usando verificações ativas
1 Implantar o Zabbix com o Zabbix Cloud
2 Configuração de nó
3 Adicionando usuários
4 Principais diferenças entre Zabbix Cloud e on-premises
manifest.json
Ações
Visualizações
Assets
Registrar um novo módulo
Configuração
Apresentação
Criar um módulo (tutorial)
Criar um widget (tutorial)
Exemplos
Exemplos
Criar um plugin (tutorial)
Interfaces de plugin
Alterações no desenvolvimento de extensões
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 Criptografia

Visão geral

O Zabbix suporta comunicações criptografadas entre os componentes do Zabbix usando o protocolo Transport Layer Security (TLS) v.1.2 e 1.3 (dependendo da biblioteca de criptografia). A criptografia baseada em certificado e baseada em chave pré-compartilhada é suportada.

A criptografia pode ser configurada para conexões:

  • Entre o Zabbix server, Zabbix proxy, Zabbix agent, Zabbix web service, utilitários zabbix_sender e zabbix_get
  • Para o banco de dados Zabbix a partir do Zabbix frontend e server/proxy
  • Entre o Zabbix frontend e o Zabbix server

A criptografia é opcional e configurável para componentes individuais:

  • Alguns proxies e agents podem ser configurados para usar criptografia baseada em certificado com o server, enquanto outros podem usar criptografia baseada em chave pré-compartilhada, e ainda outros continuam com comunicações não criptografadas (como antes).
  • O server (proxy) pode usar diferentes configurações de criptografia para diferentes hosts.

Os programas daemon do Zabbix usam uma porta de escuta para conexões recebidas criptografadas e não criptografadas. Adicionar uma criptografia não requer a abertura de novas portas em firewalls.

Limitações

  • As chaves privadas são armazenadas em texto simples em arquivos legíveis pelos componentes do Zabbix durante a inicialização.
  • As chaves pré-compartilhadas são inseridas no frontend do Zabbix e armazenadas no banco de dados do Zabbix em texto simples.
  • A criptografia interna não protege as comunicações entre o servidor web que executa o frontend do Zabbix e o navegador web do usuário.
  • Atualmente, cada conexão criptografada é aberta com um handshake TLS completo, sem cache de sessão e tickets implementados.
  • Adicionar criptografia aumenta o tempo para verificações de item e ações, dependendo da latência da rede:
    • Por exemplo, se o atraso do pacote for de 100ms, abrir uma conexão TCP e enviar uma solicitação não criptografada leva cerca de 200ms. Com criptografia, cerca de 1000 ms são adicionados para estabelecer a conexão TLS.
    • Os timeouts podem precisar ser aumentados, caso contrário, alguns itens e ações que executam scripts remotos em agents podem funcionar com conexões não criptografadas, mas falhar com timeout quando criptografadas.
  • A criptografia não é suportada pela descoberta de rede. As verificações do agent Zabbix realizadas pela descoberta de rede serão não criptografadas e, se o agent Zabbix estiver configurado para rejeitar conexões não criptografadas, essas verificações não terão sucesso.

Compilando o Zabbix com suporte a criptografia

Para suportar criptografia, o Zabbix deve ser compilado e vinculado com uma das bibliotecas de criptografia suportadas:

  • GnuTLS - a partir da versão 3.1.18
  • OpenSSL - versões 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x
  • LibreSSL - testado com as versões 2.7.4, 2.8.2:
    • LibreSSL 2.6.x não é suportado
    • LibreSSL é suportado como um substituto compatível do OpenSSL; as novas funções de API específicas do LibreSSL tls_*() não são usadas. Componentes do Zabbix compilados com LibreSSL não poderão usar PSK, apenas certificados podem ser usados.

Você pode saber mais sobre como configurar SSL para o frontend do Zabbix consultando estas melhores práticas.

A biblioteca é selecionada especificando a respectiva opção para o script "configure":

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (também usado para LibreSSL)

Por exemplo, para configurar os fontes para server e agent com OpenSSL você pode usar algo como:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Diferentes componentes do Zabbix podem ser compilados com diferentes bibliotecas de criptografia (por exemplo, um server com OpenSSL, um agent com GnuTLS).

Se você planeja usar chaves pré-compartilhadas (PSK), considere usar as bibliotecas GnuTLS ou OpenSSL 1.1.0 (ou mais recentes) nos componentes do Zabbix que usam PSKs. As bibliotecas GnuTLS e OpenSSL 1.1.0 suportam ciphersuites PSK com Perfect Forward Secrecy. Versões mais antigas da biblioteca OpenSSL (1.0.1, 1.0.2c) também suportam PSKs, mas os ciphersuites PSK disponíveis não fornecem Perfect Forward Secrecy.

Gerenciamento de criptografia de conexão

As conexões no Zabbix podem usar:

Existem dois parâmetros importantes usados para especificar a criptografia entre os componentes do Zabbix:

  • TLSConnect - especifica qual criptografia usar para conexões de saída (sem criptografia, PSK ou certificado)
  • TLSAccept - especifica quais tipos de conexões são permitidos para conexões de entrada (sem criptografia, PSK ou certificado). Um ou mais valores podem ser especificados.

TLSConnect é usado nos arquivos de configuração do proxy Zabbix (em modo ativo, especifica apenas conexões para o server) e do agent Zabbix (para checagens ativas). No frontend do Zabbix, o equivalente ao TLSConnect é o campo Conexões para o host em Coleta de dados → Hosts → <algum host> → aba Criptografia e o campo Conexões para o proxy em Administração → Proxies → <algum proxy> → aba Criptografia. Se o tipo de criptografia configurado para a conexão falhar, nenhum outro tipo de criptografia será tentado.

TLSAccept é usado nos arquivos de configuração do proxy Zabbix (em modo passivo, especifica apenas conexões do server) e do agent Zabbix (para checagens passivas). No frontend do Zabbix, o equivalente ao TLSAccept é o campo Conexões do host em Coleta de dados → Hosts → <algum host> → aba Criptografia e o campo Conexões do proxy em Administração → Proxies → <algum proxy> → aba Criptografia.

Normalmente, você configura apenas um tipo de criptografia para conexões de entrada. Mas você pode querer alternar o tipo de criptografia, por exemplo, de sem criptografia para baseada em certificado, com o mínimo de tempo de inatividade e possibilidade de rollback. Para isso:

  • Defina TLSAccept=unencrypted,cert no arquivo de configuração do agent e reinicie o agent Zabbix
  • Teste a conexão com zabbix_get para o agent usando certificado. Se funcionar, você pode reconfigurar a criptografia para esse agent no frontend do Zabbix na aba Coleta de dados → Hosts → <algum host> → Criptografia definindo Conexões para o host como "Certificado".
  • Quando o cache de configuração do server for atualizado (e a configuração do proxy for atualizada se o host for monitorado por proxy), as conexões para esse agent serão criptografadas
  • Se tudo funcionar como esperado, você pode definir TLSAccept=cert no arquivo de configuração do agent e reiniciar o agent Zabbix. Agora o agent aceitará apenas conexões criptografadas baseadas em certificado. Conexões sem criptografia e baseadas em PSK serão rejeitadas.

Da mesma forma, funciona no server e no proxy. Se no frontend do Zabbix, na configuração do host, Conexões do host estiver definido como "Certificado", então apenas conexões criptografadas baseadas em certificado serão aceitas do agent (checagens ativas) e do zabbix_sender (itens trapper).

Muito provavelmente você irá configurar conexões de entrada e saída para usar o mesmo tipo de criptografia ou nenhuma criptografia. Mas tecnicamente é possível configurar de forma assimétrica, por exemplo, criptografia baseada em certificado para entrada e baseada em PSK para saída.

A configuração de criptografia para cada host é exibida no frontend do Zabbix, em Coleta de dados → Hosts na coluna Criptografia do agent. Por exemplo:

Exemplo Conexões para o host Conexões permitidas do host Conexões rejeitadas do host
none_none.png Sem criptografia Sem criptografia Criptografadas, baseadas em certificado e baseadas em PSK
cert_cert.png Criptografada, baseada em certificado Criptografada, baseada em certificado Sem criptografia e criptografada baseada em PSK
psk_psk.png Criptografada, baseada em PSK Criptografada, baseada em PSK Sem criptografia e criptografada baseada em certificado
psk_none_psk.png Criptografada, baseada em PSK Sem criptografia e criptografada baseada em PSK Criptografada baseada em certificado
cert_all.png Criptografada, baseada em certificado Sem criptografia, baseada em PSK ou baseada em certificado -

As conexões são sem criptografia por padrão. A criptografia deve ser configurada para cada host e proxy individualmente.

zabbix_get e zabbix_sender com criptografia

Consulte as páginas de manual do zabbix_get e zabbix_sender para usá-los com criptografia.

Ciphersuites

As ciphersuites por padrão são configuradas internamente durante a inicialização do Zabbix.

Também são suportadas ciphersuites configuradas pelo usuário para GnuTLS e OpenSSL. Os usuários podem configurar ciphersuites de acordo com suas políticas de segurança. O uso deste recurso é opcional (as ciphersuites padrão ainda funcionam).

Para bibliotecas de criptografia compiladas com as configurações padrão, as regras internas do Zabbix normalmente resultam nas seguintes ciphersuites (em ordem da maior para a menor prioridade):

Biblioteca Ciphersuites de certificado Ciphersuites PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Ciphersuites configuradas pelo usuário

Os critérios internos de seleção de ciphersuites podem ser substituídos por ciphersuites configuradas pelo usuário.

Ciphersuites configuradas pelo usuário são um recurso destinado a usuários avançados que compreendem ciphersuites TLS, sua segurança e as consequências de erros, e que estejam confortáveis com a solução de problemas de TLS.

Os critérios internos de seleção de ciphersuites podem ser substituídos usando os seguintes parâmetros:

Escopo de substituição Parâmetro Valor Descrição
Seleção de ciphersuite para certificados TLSCipherCert13 Cipher strings válidas do OpenSSL 1.1.1 para o protocolo TLS 1.3 (seus valores são passados para a função OpenSSL SSL_CTX_set_ciphersuites()). Critérios de seleção de ciphersuite baseados em certificado para TLS 1.3

Apenas OpenSSL 1.1.1 ou mais recente.
TLSCipherCert Cipher strings válidas do OpenSSL para TLS 1.2 ou priority strings válidas do GnuTLS. Seus valores são passados para as funções SSL_CTX_set_cipher_list() ou gnutls_priority_init(), respectivamente. Critérios de seleção de ciphersuite baseados em certificado para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Seleção de ciphersuite para PSK TLSCipherPSK13 Cipher strings válidas do OpenSSL 1.1.1 para o protocolo TLS 1.3 (seus valores são passados para a função OpenSSL SSL_CTX_set_ciphersuites()). Critérios de seleção de ciphersuite baseados em PSK para TLS 1.3

Apenas OpenSSL 1.1.1 ou mais recente.
TLSCipherPSK Cipher strings válidas do OpenSSL para TLS 1.2 ou priority strings válidas do GnuTLS. Seus valores são passados para as funções SSL_CTX_set_cipher_list() ou gnutls_priority_init(), respectivamente. Critérios de seleção de ciphersuite baseados em PSK para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Lista combinada de ciphersuites para certificado e PSK TLSCipherAll13 Cipher strings válidas do OpenSSL 1.1.1 para o protocolo TLS 1.3 (seus valores são passados para a função OpenSSL SSL_CTX_set_ciphersuites()). Critérios de seleção de ciphersuite para TLS 1.3

Apenas OpenSSL 1.1.1 ou mais recente.
TLSCipherAll Cipher strings válidas do OpenSSL para TLS 1.2 ou priority strings válidas do GnuTLS. Seus valores são passados para as funções SSL_CTX_set_cipher_list() ou gnutls_priority_init(), respectivamente. Critérios de seleção de ciphersuite para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Para substituir a seleção de ciphersuite nas utilitários zabbix_get e zabbix_sender - use os parâmetros de linha de comando:

  • --tls-cipher13
  • --tls-cipher

Os novos parâmetros são opcionais. Se um parâmetro não for especificado, o valor padrão interno será usado. Se um parâmetro for definido, ele não pode estar vazio.

Se a configuração de um valor TLSCipher* na biblioteca de criptografia falhar, o server, proxy ou agent não será iniciado e um erro será registrado.

É importante entender quando cada parâmetro é aplicável.

Conexões de saída

O caso mais simples são as conexões de saída:

  • Para conexões de saída com certificado - use TLSCipherCert13 ou TLSCipherCert
  • Para conexões de saída com PSK - use TLSCipherPSK13 ou TLSCipherPSK
  • No caso das utilitários zabbix_get e zabbix_sender, os parâmetros de linha de comando --tls-cipher13 ou --tls-cipher podem ser usados (a criptografia é especificada de forma inequívoca com o parâmetro --tls-connect)
Conexões de entrada

É um pouco mais complicado com conexões de entrada porque as regras são específicas para componentes e configuração.

Para o agent do Zabbix:

Configuração de conexão do agent Configuração de cifra
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Para o server e proxy do Zabbix:

Configuração de conexão Configuração de cifra
Conexões de saída usando PSK TLSCipherPSK, TLSCipherPSK13
Conexões de entrada usando certificados TLSCipherAll, TLSCipherAll13
Conexões de entrada usando PSK se o server não tiver certificado TLSCipherPSK, TLSCipherPSK13
Conexões de entrada usando PSK se o server tiver certificado TLSCipherAll, TLSCipherAll13

Algum padrão pode ser visto nas duas tabelas acima:

  • TLSCipherAll e TLSCipherAll13 só podem ser especificados se uma lista combinada de ciphersuites baseadas em certificado e PSK for usada. Existem dois casos em que isso ocorre: server (proxy) com um certificado configurado (ciphersuites PSK são sempre configuradas no server, proxy se a biblioteca de criptografia suportar PSK), agent configurado para aceitar conexões de entrada baseadas em certificado e PSK
  • nos outros casos, TLSCipherCert* e/ou TLSCipherPSK* são suficientes

As tabelas a seguir mostram os valores padrão internos do TLSCipher*. Eles podem ser um bom ponto de partida para seus próprios valores personalizados.

Parâmetro GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parâmetro OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Os valores padrão são diferentes para versões mais antigas do OpenSSL (1.0.1, 1.0.2, 1.1.0), para LibreSSL e se o OpenSSL for compilado sem suporte a PSK.

Exemplos de ciphersuites configuradas pelo usuário

Veja abaixo os seguintes exemplos de ciphersuites configuradas pelo usuário:

Testando strings de cifra e permitindo apenas ciphersuites PFS

Para ver quais ciphersuites foram selecionadas, você precisa definir 'DebugLevel=4' no arquivo de configuração ou usar a opção -vv para o zabbix_sender.

Pode ser necessário experimentar com os parâmetros TLSCipher* antes de obter as ciphersuites desejadas. É inconveniente reiniciar o Zabbix server, proxy ou agent várias vezes apenas para ajustar os parâmetros TLSCipher*. Opções mais convenientes são usar o zabbix_sender ou o comando openssl. Vamos mostrar ambos.

1. Usando o zabbix_sender.

Vamos criar um arquivo de configuração de teste, por exemplo /home/zabbix/test.conf, com a sintaxe de um arquivo zabbix_agentd.conf:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Você precisa de certificados CA e agent válidos e PSK para este exemplo. Ajuste os caminhos e nomes dos arquivos de certificado e PSK para o seu ambiente.

Se você não estiver usando certificados, mas apenas PSK, pode criar um arquivo de teste mais simples:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

As ciphersuites selecionadas podem ser vistas executando o zabbix_sender (exemplo compilado com OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Aqui você vê as ciphersuites selecionadas por padrão. Esses valores padrão são escolhidos para garantir a interoperabilidade com agents Zabbix executando em sistemas com versões mais antigas do OpenSSL (a partir de 1.0.1).

Com sistemas mais recentes, você pode optar por reforçar a segurança permitindo apenas algumas ciphersuites, por exemplo, apenas ciphersuites com PFS (Perfect Forward Secrecy). Vamos tentar permitir apenas ciphersuites com PFS usando os parâmetros TLSCipher*.

O resultado não será interoperável com sistemas usando OpenSSL 1.0.1 e 1.0.2, se PSK for usado. A criptografia baseada em certificado deve funcionar.

Adicione duas linhas ao arquivo de configuração test.conf:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

e teste novamente:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

As listas "certificate ciphersuites" e "PSK ciphersuites" mudaram - elas estão mais curtas do que antes, contendo apenas ciphersuites TLS 1.3 e ciphersuites TLS 1.2 ECDHE-*, como esperado.

2. TLSCipherAll e TLSCipherAll13 não podem ser testados com zabbix_sender; eles não afetam o valor "certificate and PSK ciphersuites" mostrado no exemplo acima. Para ajustar TLSCipherAll e TLSCipherAll13, você precisa experimentar com o agent, proxy ou server.

Portanto, para permitir apenas ciphersuites PFS, pode ser necessário adicionar até três parâmetros

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

ao zabbix_agentd.conf, zabbix_proxy.conf e zabbix_server_conf se cada um deles tiver um certificado configurado e o agent também tiver PSK.

Se o seu ambiente Zabbix usar apenas criptografia baseada em PSK e não certificados, então apenas um:

  TLSCipherPSK=kECDHEPSK+AES128

Agora que você entende como funciona, pode testar a seleção de ciphersuite mesmo fora do Zabbix, com o comando openssl. Vamos testar todos os três valores de parâmetro TLSCipher*:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Você pode preferir openssl ciphers com a opção -V para uma saída mais detalhada:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

Da mesma forma, você pode testar as strings de prioridade para GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Mudando de AES128 para AES256

O Zabbix usa AES128 como padrão interno para dados. Vamos supor que você esteja usando certificados e queira mudar para AES256, no OpenSSL 1.1.1.

Isso pode ser feito adicionando os respectivos parâmetros em zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Embora apenas os ciphersuites relacionados a certificados sejam usados, os parâmetros TLSCipherPSK* também são definidos para evitar seus valores padrão, que incluem cifras menos seguras para maior interoperabilidade. Os ciphersuites PSK não podem ser completamente desabilitados no server/proxy.

E em zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy