Documentation

1 Estructura del manual
2 Què és Zabbix
3 Funcionalitats de Zabbix
4 Vista general de Zabbix
5 Què hi ha de nou al Zabbix 6.4.0
6 Què hi ha de nou al Zabbix 6.4.1
7 Què hi ha de nou al Zabbix 6.4.2
8 Què hi ha de nou al Zabbix 6.4.3
9 Què hi ha de nou al Zabbix 6.4.4
10 Què hi ha de nou al Zabbix 6.4.5
11 Què hi ha de nou al Zabbix 6.4.6
12 Què hi ha de nou al Zabbix 6.4.7
13 Què hi ha de nou al Zabbix 6.4.8
14 Què hi ha de nou al Zabbix 6.4.9
15 Què hi ha de nou a Zabbix 6.4.10
16 Què hi ha de nou al Zabbix 6.4.11
17 Què hi ha de nou al Zabbix 6.4.12
18 Què hi ha de nou al Zabbix 6.4.13
19 Què hi ha de nou al Zabbix 6.4.14
2. Definicions
1 Alta disponibilitat
2 Agent
3 Agent 2
4 Proxy
1 Configurar a partir de les fonts
2 Configurar des dels paquets de RHEL
3 Configuració des dels paquets Debian/Ubuntu
6 Sender
7 Get
8 JS
9 Servei Web
1 Obtenir Zabbix
1 Dependències del plugin PostgreSQL
2 Dependències del plugin MongoDB
2 Bones pràctiques per la configuració securitzada de Zabbix
1 Compilant l'agent Zabbix sota Windows
2 Compilant l'agent Zabbix 2 sota Windows
3 Compilant l'agent Zabbix sobre macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Instal·lació de l'agent Windows des d'MSI
5 Instal·lació de l'agent Mac OS des de PKG
6 Versions inestables
5 Instal·lació des de contenidors
6 Instal·lació de la interfície Web
1 Actualitzar des de les fonts
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Actualització des dels contenidors
1 Problemes de compilació
9 Modificacions de les plantilles
10 Notes d'actualització per 6.4.0
11 Comentaris d'actualització a la versió 6.4.1
12 Notes d'actualització per 6.4.2
13 Notes d'actualització per 6.4.3
14 Notes d'actualització per 6.4.4
15 Comentaris d'actualització a la versió 6.4.5
16 Notes d'actualització de la versió 6.4.6
17 Notes d'actualització de la versió 6.4.7
18 Notes d'actualització de la versió 6.4.8
19 Comentaris d'actualització a la versió 6.4.9
20 Comentaris d'actualització a la versió 6.4.10
21 Notes d'actualització de la versió 6.4.11
22 Comentaris d'actualització a la versió 6.4.12
23 Notes d'actualització per 6.4.13
24 Comentaris d'actualització a la versió 6.4.14
1 Connexió i configuració d'usuari
2 Nou equip
3 Element nou
4 Nou trigger
5 Rebre una notificació de problema
6 Plantilla nova
6. Aplicació Zabbix
1 Configuració d'un equip
2 Inventari
3 Actualització massiva
1 Format de clé clau d'element
2 Intervals personalitzats
1 Exemples d'ús
2 Detalls de preprocessament
1 Escapar caràcters especials dels valors de macro LLD a JSONPath
1 Objectes JavaScript addicionals
5 Preprocessament CSV cap a JSON
1 Agent Zabbix 2
2 Agent de Windows Zabbix
1 Index dinàmics
2 OID especials
3 Arxius MIB
3 SNMP trap
4 Verificacions IPMI
1 Elements clau de monitoratge VMware
6 monitoratge de l'arxiu de registre
1 Càlculs agregats
8 Verificacions internes
9 Verificacions SSH
10 Verificacions Telnet
11 Verificacions externes
12 Elements trapper
13 Monitoratge JMX
1 Paràmetres UnixODBC recomanats per MySQL
2 Paràmetres UnixODBC recomanats per a PostgreSQL
3 Paràmetres recomanats per UnixODBC sota Oracle
4 Paràmetres UnixODBC recomanats per MSSQL
15 Elements dependents
16 Agent HTTP
17 Verificacions Prometheus
18 Elements d'script
4 Històric i tendències
1 Extensions dels agents Zabbix
6 Comptadors de rendiment de Windows
7 Actualització massiva
8 Mapatge de valors
9 Cua
10 Cau de valor
11 Executar ara
12 Restringir les verificacions de l'agent
1 Configurant un trigger
2 Expressió de trigger
3 Dependència dels triggers
4 Gravetat dels triggers
5 Personalització de la gravetat dels triggers
6 Actualització massiva
7 Funcions predictives de triggers
1 Generació d'esdeveniments per trigger
2 Altres fonts d'esdeveniments
3 Tancament manual dels problemes
1 Correlació d'esdeveniments basats en triggers
Correlació global d'esdeveniments
6 Etiquetat
1 Gràfics senzills
2 Gràfics personalitzats
3 Gràfics ad-hoc
4 Agregació als gràfics
1 Configurar un mapa de xarxa
2 elements del grup d'equips
3 Indicadors d'enllaços
3 Taulers
4 Taulers d'equips
1 Configuració d'una plantilla
2 Enllaçar/desenllaçar
3 Niuatge
4 Actualització massiva
1 Funcionament de la plantilla d'agent Zabbix
2 Funcionament de la plantilla de l'agent Zabbix 2
3 Operació de plantilla HTTP
5 Operació de plantilla JMX
6 Operació de plantilla ODBC
7 Plantilles estandarditzades per a dispositius de xarxa
Operació de plantilla IPMI
1 Correu-e
2 SMS
3 Scripts d'alerta personalitzats
1 Exemples d'scripts de Webhook
1 Condicions
1 Enviament de missatges
2 Comandes remotes
3 Operacions addicionals
4 Emprar macros a missatges
3 Operacions de recuperació
4 Operacions d'actualització
5 Escalades
3 Recepció de notificacions per els elements no admesos
1 Funcions de macro
2 Macros d'usuari
3 Macros d'usuari amb context
4 Macros secretes d'usuari
5 Macros de descoberta de baix nivell
6 Macros d'expressió
1 Configurant un usuari
2 Permissos
3 Grups d'usuaris
Configuració de CyberArk
Configuració HashiCorp
14 Informes programats
1 Exportació a arxius
2 Streaming a sistemes externs
1 Arbre de serveis
2 SLA
3 Exemple de configuració
1 Elements de monitoratge web
2 Escenari de la vida real
1 Elements clau de monitoratge VMware
2 Camps clau de descoberta de màquines virtuals
3 Exemples de JSON per elements VMware
4 Exemple de configuració de monitoratge de VMware
11. Manteniment
12. Expressions regulars
1 Esborrar el problema
1 Grups de plantilles
2 Grups d'equips
3 Plantilles
4 Equips
5 Mapes de xarxa
6 Tipus de suport
1 Configurant una regla de descoberta de xarxa
2 Enregistrament automàtic d'agent actiu
1 Prototip d'element
2 Prototips de triggers
3 Prototipus de gràfics
4 Prototips d'equips
5 Notes sobre la descoberta de baix nivell
1 Descoberta de sistemes d'arxius muntats
2 Descoberta de les interfícies de xarxa
3 Descoberta de CPUs i nuclis de CPU
4 Descoberta de OIDs SNMP
5 Descoberta de OIDs SNMP (legacy)
6 Descoberta d'objectes JMX
7 Descoberta de sensors IPMI
8 Descoberta de serveis systemd
9 Descoberta de serveis de Windows
10 Descoberta d'instàncies de comptador de rendiment de Windows
11 Descoberta emprant consultes WMI
12 Descoberta emprant consultes ODBC SQL
13 Descoberta emprant dades de Prometheus
14 Descoberta de perifèric de bloc
15 Descoberta d'interfícies d'equips a Zabbix
1 Configuració de la sincronització del monitoratge
1 Emprant certificats
2 emprant claus pre-compartides
1 Tipus de connexió o problemes de permisos
2 Problemes de certificat
3 Problemes PSK
1 Menú d'esdeveniments
2 Menú d'equip
3 Menú d'element
1 Registre d'accions
2 Rellotge
3 Vista general de les dades
4 Estat de descoberta
5 Gràfics preferits
6 Mapes preferits
7 Geomapes
8 Gràfic
9 Gràfic (clàssic)
10 Prototipus de gràfic
11 Disponibilitat de l'equip
12 Valor dels elements
13 Mapa
14 Arbre de navegació del mapa
15 Text pla
16 Equips amb problemes
17 Problemes
18 Problemes per gravetat
19 Informe SLA
20 Informació del sistema
21 Equips top
22 Vista general del trigger
23 URL
24 Monitoratge Web
1 Problemes de causa i símptomes
1 Gràfics
2 Escenaris web
3 Darreres dades
4 Mapes
5 Descoberta
1 Serveis
2 SLA
3 SLA report
1 Vista general
2 Equips
1 Informació del sistema
2 Informes programats
3 Informe de disponibilitat
4 Top 100 de triggers
5 Registre d'auditoria
6 Registre d'accions
7 Notificacions
1 Grups de plantilles
2 Grups d'equips
1 Elements
2 Triggers
3 Gràfics
1 Prototips d'elements
2 Prototips de triggers
3 Prototips de gràfics
4 Prototips d'equips
5 Escenaris web
1 Elements
2 Triggers
3 Gràfics
1 Prototips d'elements
2 Prototips de triggers
3 Prototips de gràfics
4 Prototips d'equips
5 Escenaris web
5 Manteniment
6 Correlació d'esdeveniments
7 Descoberta
1 Accions
2 Tipus de suport
3 Scripts
1 Grups d'usuaris
2 Rols d'usuari
3 Usuaris
4 Tokens de l'API
1 HTTP
2 LDAP
3 SAML
1 General
2 Registre d'auditoria
3 Neteja de registres
4 Proxys
5 Macros
6 Cua
1 Notificacions globals
2 Sons dels navegadors
4 Cerca global
5 Mode de manteniment de la interfície Web
6 Paràmetres de la pàgina
7. Definicions
8 Crear el vostre propi tema
9 Mode de depuració
10 Cookies emprades per Zabbix
11 Fusos horaris
12 Restablir el mot de pas
> Objecte d'acció
acció.crear
acció.esborrar
action.get
action.update
> Objecte alerta
alert.get
> Objecte d'autenticació
authentication.get
authentication.update
> Objecte d'autoregistre
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
> Objecte configuració
settings.get
settings.update
> Objecte connector
actualització del connector
connector.delete
connector.get
creació del connector
> Objecte de correlació
correlation.delete
correlation.get
correlation.update
Creació de correlació
> Objecte directori d'usuaris
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> Element objecte
item.create
item.delete
item.get
item.update
> Objecte gràfic
graphitem.get
> Objecte equip
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objecte d'equip descobert
dhost.get
> Objecte d'escenari web
httptest.create
httptest.delete
httptest.get
httptest.update
> Objecte esdeveniment
event.acknowledge
event.get
> Objecte d'expressió regular
regexp.create
regexp.delete
regexp.get
regexp.update
> Objecte Grup d'equips
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Objecte grup d'usuaris
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objecte grup de plantilles
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> Objecte gràfic
graph.create
graph.delete
graph.get
graph.update
> Objecte historial
history.clear
history.get
> Objecte imatge
image.create
image.delete
image.get
image.update
apiinfo.version
> Objecte informe
report.create
report.delete
report.get
report.update
> Objecte interfície d'equip
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objecte de macros d'usuaris
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objecte manteniment
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objecte de manteniment
housekeeping.get
housekeeping.update
> Objecte mapa
map.create
map.delete
map.get
map.update
> Objecte mapa d'icones imatge
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objecte mapa de valors
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objecte mpodul
module.create
module.delete
module.get
module.update
> Objecte de node d'alta disponibilitat
hanode.get
> Objecte plantilla
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Objecte problema
problem.get
> Objecte prototip d'elements
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objecte prototip d'equips
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objecte prototip de gràfic
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objecte prototip de trigger
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objecte proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objecte de registre d'auditoria
auditlog.get
> Objecte de regla LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objecte de regla de descoberta
drule.create
drule.delete
drule.get
drule.update
> Objecte rol
role.create
role.delete
role.get
role.update
> Objecte script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Objecte servei
service.create
service.delete
service.get
service.update
> Objecte de servei de descoberta
dservice.get
> Objecte SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objecte tasca
task.create
task.get
> Objecte de tauler
1 Registre d'accions
2 Rellotge
3 Vista general de les dades
4 Estat de descoberta
5 Gràfics preferits
6 Mapes preferits
7 Geomapes
8 Gràfic
9 Gràfic (clàssic)
10 Prototipus de gràfic
11 Disponibilitat de l'equip
12 Valor dels elements
13 Mapa
14 Arbre de navegació del mapa
15 Text pla
16 Equips amb problemes
17 Problemes
18 Problemes per gravetat
19 Informe SLA
20 Informació del sistema
21 Equips top
22 Vista general del trigger
23 URL
24 Monitoratge Web
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objecte plantilla de tauler
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objecte tendència
trend.get
> Objecte de tipus de suport
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objecte token
token.create
token.delete
token.generate
token.get
token.update
> Objecte trigger
trigger.create
trigger.delete
trigger.get
trigger.update
> Objecte usuari
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
> Objecte test de descoberta
dcheck.get
Apèndix 1. Comentari de referència
Apèndix 2. Canvis de 6.2 a 6.4
Canvis de l'API del Zabbix a la versió 6.4
1 Mòduls carregables
1 Construir plugins carregables
3 Mòduls d'interfície
1 Preguntes freqüents
1 Creació de la base de dades
2 Reparant el joc de caràcters i la col·lació de la base de dades de Zabbix
3 Actualització de la base de dades envers les claus primàries
1 configuració del xifrat MySQL
2 configuració del xifrat PostgreSQL
5 Configuració TimescaleDB
6 Configuració d'Elasticsearch
7 Notes específiques de la distribució sobre la configuració d'Nginx per a Zabbix
8 Executar l'agent com a root
9 Agent Zabbix per a Microsoft Windows
10 Suport SAML amb Microsoft Azure AD
11 Configuració de SAML amb Okta
12 Configuració de SAML amb OneLogin
13 Configuració de la base de dades Oracle
14 Configuració dels informes programats
15 S'és actualitzant a valors numèrics d'interval estès
16 Llengües d'interfície Web addicionals
1 Servidor Zabbix
2 proxy Zabbix
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Plugin Ceph
2 Plugin de Docker
3 Plugin Memcached
4 Plugin Modbus
5 Plugin MongoDB
6 Plugin MQTT
7 MSSQL plugin
8 MySQL plugin
9 Plugin d'Oracle
10 Plugin de PostgreSQL
11 Plugin de Redis
12 Plugin Smart
8 Passarel·la Java Zabbix
9 Web service Zabbix
10 Inclusió
1 Protocol de bescanvi de dades servidor-proxy
2 Protocol de l'agent Zabbix
3 Protocol de l'agent Zabbix 2
4 Protocol del plug-in agent Zabbix 2
5 Protocol de l'enviador Zabbix
6 Capçalera
7 Protocol d'exportació en temps real
1 Paràmetres vm.memory.size
2 Verificacions dels agents actius i passius
3 Elements Trapper
4 Nivell mínim de permisos per als elements de l'agent Windows
5 Codificació dels valors retornats
6 Suport de fitxers grans
7 Sensor
8 Notes sobre el paràmetre memtype dels elements proc.mem
9 Notes sobre la selecció de processos als elements proc.mem i proc.num
10 Detalls d'implementació de les verificacions net.tcp.service i net.udp.service
11 paràmetres proc.get
12 Paràmetres de la interfície de l'equip inaccessibles/indisponibles
13 Monitoratge remot de es estadístiques de Zabbix
14 Configurar Kerberos amb Zabbix
15 Paràmetres de modbus.get
16 Creació de noms de comptadors de rendiment personalitzats per VMware
17 Valors de retorn
1 Funcions Foreach
2 Funciones binàries
3 Funcions de data i hora
4 Funcions d'historial
5 Funcions de tendència
6 Funcions matemàtiques
7 Funcions de l'operador
8 Funcions de predicció
9 Funcions de cadena
1 Macros admeses:
2 Macros d'usuaris admeses per ublicació
8 Símbols d'unitats
9 Sintaxi del període de temps
10 Execució de comanda
11 Compatibilitat de versió
12 Gestió dels errors de base de dades
13 Biblioteca d'enllaços dinàmics del remitent Zabbix per a Windows
14 Biblioteca de Python per a l'API Zabbix
15 Actualització del monitoratge dels serveis
16 Altres problemes
17 Diferències entre l'agent i l'agent 2
18 Exemples d'escapament
1. Monitorar Linux amb l'agent Zabbix
1. Monitorar MySQL amb l'agent 2 de Zabbix
2 Monitorar Windows amb l'agent Zabbix
3. Monitoratge via Apache HTTP
5 Monitorar VMware amb Zabbix
manifest.json
Accions
Vistes
Actius
Registrar un mòdul nou
Configuració
Presentació
Crear un mòdul (tutorial)
Crear un giny (tutorial)
Exemples
Exemples
Crear un plugin (tutorial)
Interficies plugin
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17. Xifrat

Vista general

Zabbix admet comunicacions xifrades entre components Zabbix emprant el protocol Transport Layer Security (TLS) v.1.2 i 1.3 (segons la biblioteca de xifrat). S'admet tant el xifrat basat en certificats com el basat en claus precompartides.

El xifrat es pot configurar per a connexions:

El xifrat és opcional i configurable per a components individuals:

  • Alguns proxys i agents poden estar configurats per emprar xifrat basat en certificats amb el servidor, mentre que altres poden emprar el xifrat basat en claus compartides prèviament i d'altres continuen amb comunicacions sense xifrar (com abans)
  • El servidor (proxy) pot emprar diferents configuracions de xifrat per a diferents equips

Els dimonis Zabbix empren un port d'escolta per a connexions entrants xifrades i no xifrades. L'afegit de xifrat no requereix obrir nous ports als tallafocs.

Limitacions

  • Les claus privades s'emmagatzemen en text sense format en fitxers llegibles pels components Zabbix durant l'inici
  • Les claus precompartides s'introdueixen a la interfície Zabbix i s'emmagatzemen a la base de dades de Zabbix en text sense format
  • El xifrat integrat no protegeix les comunicacions: - Entre el servidor web que executa la interfície Zabbix i el navegador web de l'usuari - Entre la interfície Zabbix i el servidor Zabbix
  • Actualment, totes les connexions xifrades s'obren amb una verificació TLS completa, no s'implementa cap emmagatzematge en memòria cau de sessió ni tiquets
  • L'addició de xifrat augmenta la verificació de l'element i el temps d'acció, depenent de la latència de la xarxa: - Per exemple, si l'endarrerimet del paquet és de 100 ms, obrir una connexió TCP i enviar una petició sense xifrar triga uns 200 ms. Amb el xifrat, s'afegeixen aproximadament 1000 ms per establir la connexió TLS; - Pot ser que sigui necessari augmentar els temps d'espera, en cas contrari, alguns elements i accions que executen scripts remots als agents poden funcionar amb connexions sense xifrar, però fallar amb un temps d'espera xifrat.
  • El xifrat no és compatible amb descoberta de xarxa. Les comprovacions de l'agent Zabbix fetes per la descoberta de la xarxa no es xifraran i si l'agent Zabbix és configurat per rebutjar connexions no xifrades, aquestes comprovacions fallaran.

CompilarZabbix amb suport de xifrat

Per donar suport al xifrat, Zabbix s'ha de compilar i enllaçar amb una de les biblioteques de xifrat admeses:

  • GnuTLS - a partir de la versió 3.1.18
  • OpenSSL - versions 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x.
  • LibreSSL - provat amb les versions 2.7.4, 2.8.2:
    • LibreSSL 2.6.x no és compatible
    • LibreSSL és compatible com a substitut compatible d'OpenSSL; les noves funcions de l'API tls_*() específiques de LibreSSL no s'empren. Els components Zabbix compilats amb LibreSSL no podran emprar PSK, només es poden emprar certificats.

Podeu obtindre més informació sobre com configurar SSL per a la interfície Zabbix consultant aquestes pràctiques recomanades.

La biblioteca es tria especificant l'opció corresponent per "configurar" l'script:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (també s'utilitza per a LibreSSL)

Per exemple, per configurar les fonts del servidor i de l'agent amb OpenSSL, podeu emprar alguna cosa com:

 ./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Es poden compilar diferents components de Zabbix amb diferents biblioteques de xifrat (per exemple, servidor amb OpenSSL, agent amb GnuTLS).

Si teniu previst emprar claus precompartides (PSK), penseu a emprar biblioteques GnuTLS o OpenSSL 1.1.0 (o més recent) als components Zabbix mitjançant PSK. Les biblioteques GnuTLS i OpenSSL 1.1.0 admeten suites de xifrat PSK amb Perfect Forward Secrecy. Les versions anteriors de la biblioteca OpenSSL (1.0.1, 1.0.2c) també admeten PSK, però les suites de xifrat PSK disponibles no proporcionen Perfect Forward Secrecy.

Gestió del xifrat de les connexions

Les connexions a Zabbix poden emprar:

S'empren dos paràmetres importants per especificar el xifrat entre components Zabbix:

  • TLSConnect: especifica el xifrat que s'emprarà per a les connexions sortints (sense xifrar, PSK o certificat)
  • TLSAccept: especifica quins tipus de connexió es permeten per a connexions entrants (sense xifrar, PSK o certificat). Es poden especificar un o més valors.

TLSConnect s'empra als fitxers de configuració per al proxy Zabbix (en mode actiu, només especifica les connexions del servidor) i l'agent Zabbix (per a comprovacions actives). A la interfície de Zabbix, l'equivalent de TLSConnect és el camp Connexions a l'equip a Configuració → Equips → <un equip> → Pestanya Xifrat i el camp Connexions al proxy a la pestanya Administració → Proxys → <un proxy> → Xifrat . Si el tipus de xifrat configurat per a la connexió falla, no es provarà cap altre tipus de xifrat.

TLSAccept s'empra als fitxers de configuració per al proxy Zabbix (en mode passiu, només especifica connexions des del servidor) i l'agent Zabbix (per a comprovacions passives). A la interfície de Zabbix, l'equivalent de TLSAccept és el camp Connexions des de l'equip a la pestanya Configuració → Equips → <un equip> → Xifrat i el camp Connexions des del proxy a la pestanya Administració → Proxys → <un proxy> → Xifrat .

Normalment, només configureu un tipus de xifrat per a xifrats entrants. Però és possible que vulgueu canviar el tipus de xifrat, per exemple, de no xifrat a basat en certificats amb un temps d'inactivitat i una capacitat de retrocés mínims. Per aconseguir-ho:

  • Establiu TLSAccept=unencrypted,cert al fitxer de configuració de l'agent i reinicieu l'agent Zabbix
  • Proveu la connexió amb zabbix_get amb l'agent mitjançant el certificat. Si funciona, podeu tornar a configurar el xifrat per a aquest agent a la interfície Zabbix a la pestanya Configuració → Equips → <un equip> → Xifrat configurant Connexions a l'equip a "Certificat".
  • Quan s'actualitza la memòria cau de configuració del servidor (i la configuració del proxy s'actualitza si l'equip és monitorat per el proxy), les connexions a aquest agent es xifraran
  • Si tot funciona com s'esperava, podeu establir TLSAccept=cert al fitxer de configuració de l'agent i reiniciar l'agent Zabbix. Ara l'agent només admetrà connexions basades en certificats xifrats. Les connexions no xifrades i basades en PSK seran rebutjades.

De la mateixa manera, funciona al servidor i al proxy. Si a la interfície Zabbix, a la configuració de l'equip, Connexions des de l'equip s'estableix a "Certificat", només les connexions xifrades basades en certificats seran acceptades per l'agent (comprovacions actives) i el _sender de zabbix (elements trapper).

El més probable és que configureu les connexions entrants i sortints per emprar el mateix tipus de xifrat o cap xifrat. Però tècnicament és possible configurar-ho de manera asimètrica, com ara xifrat basat en certificats per a connexions entrants i encriptació basat en PSK per a connexions sortints.

La configuració de xifrat per a cada equip es mostra a la interfície Zabbix, a Recull de dades → Equips a la columna Xifrat de l'agent. Per exemple:

|Exemple|Connexions a l'equip|Connexions permeses des de l'equip|Connexions no permeses des de l'equip| |-------|--------------------|-----|---------------- ----| |none_none.png|No xifrat|No xifrat|Xifrat, certificat i xifrat basat en PSK| |cert_cert.png|Xifrat, basat en certificats|Xifrat, basat en certificats|No xifrat i xifrat amb PSK| |psk_psk.png|Xifrat, basat en PSK|Xifrat, basat en PSK|Xifrat sense xifrar i xifrat en certificat| |psk_none_psk.png|Xifrat, basat en PSK|Sense xifrat i xifrat amb PSK|Xifrat basat en certificat| |cert_all.png|Xifrat, basat en certificat|Sense xifrat, PSK o xifrat basat en certificat|-|

Les connexions no són xifrades per defecte. El xifrat s'ha de configurar per a cada equip i proxy individualment.

zabbix_get i zabbix_sender amb xifrat

Veieu els manuals de zabbix_get et zabbix_sender per emprar el xifrat.

Suite de xifrat

Les suites de xifrat per defecte es configuren internament quan s'inicia Zabbix i abans de Zabbix 4.0.19, 4.4.7 no es poden configurar per l'usuari.

Des de Zabbix 4.0.19, les suites de xifrat configurades per l'usuari 4.4.7 també són compatibles amb GnuTLS i OpenSSL. Els usuaris poden configurar suites de xifrat segons les seves polítiques de seguretat. L'ús d'aquesta característica és opcional (les suites de xifrat predeterminades integrades encara funcionen).

Per a les biblioteques de xifrat compilades amb la configuració predeterminada, les regles integrades de Zabbix solen donar lloc a les següents suites de xifrat (en ordre de major a menor precedència):

Biblioteca Certificate Cipher Suite PSK Cipher Suite
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Suites de xifrat configurades per l'usuari

Els criteris de selecció de la suite de xifrat integrada es poden substituir per les suites de xifrat configurades per l'usuari.

Les suites de xifrat configurades per l'usuari és una característica per als usuaris avançats que entenen les suites de xifrat TLS, la seva seguretat i les conseqüències dels errors, i que se senten còmodes amb la resolució de problemes de TLS.

Els criteris de selecció de la suite de xifrat integrat es poden substituir mitjançant la configuració següent:

Substitueix l'àmbit Paràmetre Valor Descripció
Selecció de la suite de xifrat per als certificats OpenSSL 1.1.1 TLSCipherCert13 Cadenes de xifrat vàlid per al protocol TLS 1.3 (els seus valors ​​es passen a la funció OpenSSL SSL_CTX_set_ciphersuites()). Criteris de selecció del conjunt de xifrat basat en certificats per a TLS 1.3

Només OpenSSL 1.1.1 o versió posterior.
TLSCipherCert Cadenes de xifrat OpenSSL vàlid per a TLS 1.2 o cadenes de prioritat GnuTLS vàlid. Els seus valors es passen a les funcions SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivament. Criteris de selecció de la suite de xifrat basat en certificats per a TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Selecció de la suite de xifrat per a PSK TLSCipherPSK13 Cadenes de xifrat OpenSSL 1.1.1 vàlid per al protocol TLS 1.3 (els seus valors ​​es passen a la funció OpenSSL SSL_CTX_set_ciphersuites()). Criteris de selecció de paquets de xifrat basats en PSK per a TLS 1.3

Només OpenSSL 1.1.1 o posterior.
TLSCipherPSK Cadenes de xifrat OpenSSL vàlid per a TLS 1.2 o cadenes de prioritat GnuTLS vàlid. Els seus valors es passen a les funcions SSL_CTX_set_cipher_list() o gnutls_priority_init(), respectivament. Criteris de selecció del conjunt de xifrat basat en PSK per a TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Llista combinada de conjunts de xifrat per a certificat i PSK TLSCipherAll13 Cadenes de xifrat OpenSSL 1.1.1 vàlid per al protocol TLS 1.3 (els seus valors es passen a la funció OpenSSL SSL_CTX_set_ciphersuites()). Criteris de selecció de Ciphersuite per a TLS 1.3

Només OpenSSL 1.1.1 o posterior.
TLSCipherAll Cadenes de xifrat OpenSSL vàlid per a TLS 1.2 o cadenes de prioritat GnuTLS vàlid. Els seus valors es passen respectivament a les funcions SSL_CTX_set_cipher_list() o gnutls_priority_init(). Criteris de selecció de Ciphersuite per a TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Per anul·lar la selecció de la suite de xifrat a les utilitats zabbix_get i zabbix_sender, empreu els paràmetres de la línia d'ordres:

  • --tls-cipher13
  • --tls-cipher

Els nous paràmetres són opcionals. Si no s'especifica cap paràmetre, s'empra el valor per defecte intern. Si es defineix un paràmetre, no pot ésser buit.

Si no s'estableix un valor TLSCipher* a la biblioteca de xifrat, el servidor, el proxy o l'agent no s'inicien i es registra un error.

És important entendre quan cada paràmetre és aplicable.

Connexions sortints

El cas més senzill és per a les connexions sortints:

  • Per a connexions sortints amb certificat: empreu TLSCipherCert13 o TLSCipherCert
  • Per a connexions de sortida amb PSK: empreu TLSCipherPSK13 o TLSCipherPSK
  • En el cas de les utilitats zabbix_get i zabbix_sender, es poden emprar els paràmetres de línia d'ordres --tls-cipher13 i --tls-cipher (el xifrat s'especifica sense ambigüitats amb un --tls-connect)
Connexions entrants

És una mica més complicat amb les connexions entrants perquè les regles són específiques dels components i de la configuració.

Per a l'agent Zabbix:

Configuració de connexió de l'agent Configuració de xifrat
TLSConect=cert TLSCipherCert,TLSCipherCert13
TLSConect=psk TLSCipherPSK,TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll,TLSCipherAll13

Per al servidor i proxy Zabbix:

Configuració de connexió Configuració de xifrat
Connexions sortints amb PSK TLSCipherPSK, TLSCipherPSK13
Connexions entrants amb certificats TLSCipherAll, TLSCipherAll13
Connexions entrants amb PSK si el servidor no té certificat TLSCipherPSK, TLSCipherPSK13
Connexions entrants amb PSK si el servidor té un certificat TLSCipherAll, TLSCipherAll13

Alguns patrons es poden veure a les dues taules anteriors:

  • TLSCipherAll i TLSCipherAll13 només es poden especificar si s'empra una llista combinada de conjunts de xifrat i basats en PSK. Hi ha dos casos en què això passa: servidor (proxy) amb un certificat configurat (les suites de xifrat PSK sempre es configuren al servidor, i al proxy si la biblioteca de xifrat admet PSK), agent configurat per acceptar connexions entrants basades en certificat i PSK.
  • en altres casos TLSCipherCert* i/o TLSCipherPSK* són suficients

Les taules següents mostren els valors predeterminats integrats de TLSCipher*. Poden ser un bon punt de partida per als vostres propis valors personalitzats.

Configuració GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Paràmetre OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Els valors per defecte són diferents per a les versions anteriors d'OpenSSL (1.0.1, 1.0.2, 1.1.0), per a LibreSSL i si OpenSSL es compila sense suport PSK.

Exemples de suites de xifrat configurades per l'usuari

Veieu els exemples següents de suites de xifrat configurades per l'usuari tot seguit:

Proveu les cadenes de xifrat i permeteu només les suites de xifrat PFS

Per veure quines suites de xifrat s'han triat, heu d'establir 'DebugLevel=4' al fitxer de configuració o emprar l'opció -vv per a zabbix_sender.

És possible que es requereixi una mica d'experimentació amb els paràmetres TLSCipher* abans d'aconseguir els conjunts de xifrat desitjats. No és pràctic reiniciar el servidor, el proxy o l'agent Zabbix diverses vegades només per canviar la configuració de TLSCipher *. Les opcions més convenients fan servir zabbix_sender o l'ordre openssl. Mostrem tots dos.

1. S'empra zabbix_sender.

Creem un fitxer de configuració de prova, per exemple /home/zabbix/test.conf, amb la sintaxi d'un fitxer zabbix_agentd.conf:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Us calen certificats de CA i d'agent i PSK vàlids per a aquest exemple. Ajusteu els camins i els noms dels certificats i fitxers PSK per al vostre entorn.

Si no feu servir certificats, només PSK, podeu crear un fitxer de prova més senzill:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

Les suites de xifrat seleccionades es poden veure executant zabbix_sender (exemple compilat amb OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Aquí veieu les suites de xifrat seleccionades per defecte. Aquests valors predeterminats s'escullen per garantir la interoperabilitat amb els agents Zabbix que s'executen en sistemes amb versions anteriors d'OpenSSL (a partir de la 1.0.1).

Amb els sistemes més nous, podeu optar per augmentar la seguretat permetent només unes quantes suites de xifrat, per exemple només suites de xifrat amb PFS (Perfect Forward Secrecy). Intentem permetre només les suites de xifrat amb PFS emprant paràmetres TLSCipher*.

El resultat no serà interoperable amb sistemes que empren OpenSSL 1.0.1 i 1.0.2, si s'empra PSK. El xifrat basat en certificats hauria de funcionar.

Afegiu dues línies al fitxer de configuració test.conf:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

i provar de nou:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Les llistes de "suites de xifrat de certificat" i "suites de xifrat PSK" han canviat - Són més curtes que abans i només contenen conjunts de xifrat TLS 1.3 i conjunts de xifrat TLS 1.2 ECDHE-* com s'esperava.

2. TLSCipherAll i TLSCipherAll13 no es poden provar amb zabbix_sender; no afecten el valor "certificat i paquets de xifrat PSK" que es mostra a l'exemple anterior. Per modificar TLSCipherAll i TLSCipherAll13, heu d'experimentar amb l'agent, el proxy o el servidor.

Per tant, per permetre només les suites de xifrat PFS, és possible que hagueu d'afegir fins a tres paràmetres

   TLSCipherCert=EECDH+aRSA+AES128
          TLSCipherPSK=kECDHEPSK+AES128
          TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

a zabbix_agentd.conf, zabbix_proxy.conf i zabbix_server.conf si cadascun d'ells té un certificat configurat i l'agent també té PSK.

Si el vostre entorn Zabbix només empra xifrat basat en PSK i cap certificat, només un:

   TLSCipherPSK=kECDHEPSK+AES128

Ara que enteneu com funciona, podeu provar la selecció de la suite de xifrat fins i tot fora de Zabbix, amb l'ordre openssl. Provem els tres valors del paràmetre TLSCipher*:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

És possible que preferiu xifrat openssl amb l'opció -V per obtindre una sortida més detallada:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

De la mateixa manera, podeu provar les cadenes prioritàries per a GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Passar d'AES128 a AES256

Zabbix empra AES128 per defecte per a les dades. Suposem que sou emprant certificats i voleu actualitzar a AES256, a OpenSSL 1.1.1.

Això es pot aconseguir afegint els paràmetres respectius següents a zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Tot i que només s'empren conjunts de xifrat relacionats amb certificats, els paràmetres TLSCipherPSK* també s'estableixen per evitar els seus valors predeterminats que inclouen xifrats menys segurs per a una interoperabilitat més àmplia. Les suites de xifrat PSK no es poden desactivar completament al servidor/proxy.

I a zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy