Documentation

This is a translation of the original English documentation page. Help us make it better.
2 Qu'est-ce que Zabbix ?
3 Fonctionnalités de Zabbix
4 Aperçu de Zabbix
5 Quoi de neuf dans Zabbix 6.4.0
6 What's new in Zabbix 6.4.1
6 What's new in Zabbix 6.4.4
7 What's new in Zabbix 6.4.2
8 What's new in Zabbix 6.4.3
10 What's new in Zabbix 6.4.5
12 What's new in Zabbix 6.4.6
12 What's new in Zabbix 6.4.7
13 What's new in Zabbix 6.4.8
14 What's new in Zabbix 6.4.9
15 What's new in Zabbix 6.4.10
16 What's new in Zabbix 6.4.11
17 What's new in Zabbix 6.4.12
18 What's new in Zabbix 6.4.13
19 What's new in Zabbix 6.4.14
Structure
2. Définitions
1 Cluster haute disponibilité
2 Agent
3 Agent 2
3 Proxy
1 Configuration à partir des sources
2 Installation à partir des paquets RHEL
3 Configuration depuis les packages Debian/Ubuntu
6 Sender
7 Get
8 JS
9 Web service
1 Obtenir Zabbix
1 Dépendances du plugin PostgreSQL
2 Dépendances du plugin MongoDB
Bonnes pratiques pour la configuration sécurisée de Zabbix
Construire l'agent Zabbix 2 sous Windows
Construire l'agent Zabbix sous Windows
Construire l'agent Zabbix sur macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Installation de l'agent Windows à partir de MSI
5 Installation de l'agent Mac OS à partir de PKG
6 Versions instables
5 Installation depuis les containers
6 Installation de l'interface Web
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
Mise à jour depuis les sources
Upgrade from containers
1 Compilation issues
9 Modifications des modèles
10 Upgrade notes for 6.4.0
11 Upgrade notes for 6.4.1
12 Upgrade notes for 6.4.2
13 Upgrade notes for 6.4.3
13 Upgrade notes for 6.4.4
14 Upgrade notes for 6.4.5
15 Upgrade notes for 6.4.6
17 Upgrade notes for 6.4.7
18 Upgrade notes for 6.4.8
19 Upgrade notes for 6.4.9
20 Upgrade notes for 6.4.10
21 Upgrade notes for 6.4.11
22 Upgrade notes for 6.4.12
23 Upgrade notes for 6.4.13
24 Upgrade notes for 6.4.14
1 Connexion et configuration de l'utilisateur
2 Nouvel hôte
3 Nouvel élément
4 Nouveau déclencheur
5 Recevoir une notification de problème
6 Nouveau modèle
6. Appliance Zabbix
1 Configuration d'un hôte
2 Inventaire
3 Modification collective
1 Format de clé d’élément
2 Intervalles personnalisés
1 Exemples d'utilisation
2 Détails du prétraitement
Échapper les caractères spéciaux des valeurs de macro LLD dans JSONPath
Objets JavaScript supplémentaires
5 Prétraitement CSV vers JSON
Clés d'éléments spécifique à Windows
Zabbix agent 2
1 Index dynamiques
2 OID spéciaux
3 Fichiers MIB
4 Vérifications IPMI
Clés d'élément de surveillance VMware
6 Supervision des fichiers journaux
Calculs agrégés
8 Vérifications internes
9 Vérifications SSH
10 Vérifications Telnet
11 Vérifications externes
12 Elément trapper
13 Surveillance JMX
1 Paramètres UnixODBC recommandés pour MySQL
2 Paramètres UnixODBC recommandés pour PostgreSQL
3 Paramètres recommandés pour UnixODBC sur Oracle
4 Paramètres UnixODBC recommandés pour MSSQL
15 Éléments dépendants
16 Agent HTTP
17 Vérifications Prometheus
18 Éléments de script
Aperçu
4 Historique et tendances
1 Extension des agents Zabbix
7 Compteurs de performances Windows
8 Mise à jour de masse
9 Table de correspondance des valeurs
10 File d'attente
11 Cache de valeur
12 Exécuter maintenant
13 Restreindre les vérifications des agents
1 Configuration d'un déclencheur
2 Expression de déclenchement
3 Dépendance des déclencheurs
4 Sévérité des déclencheurs
5 Personnalisation des sévérités des déclencheurs
6 Modification collective
7 Fonctions prédictives de déclenchement
1 Génération d'événement déclencheur
2 Autres sources d'événements
3 Fermeture manuelle des problèmes
1 Corrélation d'événements basée sur les déclencheurs
2 Corrélation globale des événements
6 Balisage
1 Graphiques simples
2 Graphiques personnalisés
3 Graphiques ad-hoc
4 Agrégation dans les graphiques
1 Configuration d'une carte réseau
2 Éléments du groupe d'hôtes
3 Indicateurs de lien
3 Tableaux de bord
4 Tableaux de bord d'hôte
1 Configuration d'un modèle
2 Lier/Délier
3 Imbrication
4 Mise à jour de masse
Fonctionnement du modèle d'agent Zabbix
Fonctionnement du modèle de l'agent Zabbix 2
Fonctionnement du modèle JMX
Fonctionnement du modèle ODBC
HTTP template operation
Modèles standardisés pour les périphériques réseaux
Opération de modèle IPMI
1 E-mail
2 SMS
3 Scripts d'alerte personnalisés
Exemples de script Webhook
1 Conditions
1 Envoi d'un message
2 Commandes à distance
3 Opérations supplémentaires
4 Utiliser des macros dans les messages
3 Opérations de récupération
4 Opérations de mise à jour
5 Escalades
3 Réception de notification pour des éléments non supportés
1 Fonctions de macro
2 Macros utilisateur
2 Secret user macros
3 Macros utilisateur avec contexte
4 Macros de découverte de bas niveau
5 Macros d'expression
1 Configuration d'un utilisateur
2 Permissions
3 Groupes d'utilisateur
CyberArk configuration
HashiCorp configuration
14 Rapports planifiés
1 Export to files
2 Streaming to external systems
1 Arborescence des services
3 SLA
4 Exemple de configuration
1 Éléments de supervision Web
2 Scénario concret
1 Champs clés de découverte de machine virtuelle
4 VMware monitoring setup example
Clés d'élément de surveillance VMware
JSON examples for VMware items
11. Maintenance
12. Expressions régulières
1 Suppression des problèmes
1 Groupes de modèles
2 Groupes d'hôtes
2 Modèles
4 Hôtes
5 Cartes du réseau
6 Types de média
1 Configuration d'une règle de découverte réseau
2 Enregistrement automatique d'agent actif
1 Prototypes d"élément
2 Prototypes de déclencheur
3 Prototypes de graphique
4 Notes sur la découverte de bas niveau
4 Prototypes d'hôtes
1 Découverte des systèmes de fichiers montés
2 Découverte des interfaces réseau
3 Découverte des processeurs et des cœurs
4 Discovery of SNMP OIDs
4 Découverte des OID SNMP
5 Découverte d'objets JMX
6 Découverte des capteurs IPMI
7 Découverte des services systemd
8 Découverte des services Windows
9 Découverte des instances de compteur de performance Windows
10 Découverte à l'aide de requêtes WMI
11 Découverte à l'aide de requêtes SQL ODBC
12 Découverte à l'aide des données Prometheus
13 Découverte des périphériques de bloc
14 Découverte des interfaces d'hôtes dans Zabbix
1 Synchronization of monitoring configuration
1 Par certificat
2 Par clés pré-partagées (PSK)
1 Problèmes de type de connexion ou d'autorisation
2 Problèmes de certificat
3 Problèmes PSK
1 Event menu
1 Host menu
3 Item context menu
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
1 Cause and symptom problems
1 Graphiques
2 Scenarios Web
4 Dernières données
6 Découverte
8 Maps
1 Services
3 SLA
4 Rapport SLA
1 Aperçu
2 Hôtes
1 Information système
2 Rapports planifiés
3 Rapport de disponibilité
4 Top 100 des déclencheurs
5 Journal d'audit
6 Journal des actions
7 Notifications
1 Général
2 Audit log
2 Proxys
3 Nettoyage
5 Macros
9 File d'attente
1 Groupes d'hôtes
1 Template groups
1 Items
2 Déclencheurs
3 Graphiques
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Prototypes d'hôtes
5 Scénarios Web
1 Items
2 Déclencheurs
3 Graphiques
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Prototypes d'hôtes
5 Scénarios Web
5 Maintenance
6 Event correlation
7 Discovery
5 Actions
7 Types de médias
8 Scripts
3 Users
4 API tokens
4 Groupes d'utilisateurs
1 HTTP
2 LDAP
3 SAML
5 Rôles des utilisateurs
1 Notifications globales
2 Son dans les navigateurs
4 Recherche globale
5 Mode maintenance de l'interface Web
6 Paramètres de la page
7 Définitions
8 Créer votre propre thème
9 Mode Debug
10 Cookies utilisés par Zabbix
11 Fuseaux horaires
13 Resetting password
> Objet Action
action.create
action.delete
action.get
action.update
> Objet Alert
alert.get
apiinfo.version
> Objet Authentification
authentication.get
authentication.update
> Objet Carte
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
configuration.importcompare
connector.create
connector.delete
connector.get
connector.update
 > Objet connecteur
> Objet Correspondance d'icône
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objet Corrélation
correlation.create
correlation.delete
correlation.get
correlation.update
> Objet Déclencheur
trigger.create
trigger.delete
trigger.get
trigger.update
> Objet Élément
item.create
item.delete
item.get
item.update
> Objet Élément de graphique
graphitem.get
> Objet Enregistrement automatique
autoregistration.get
autoregistration.update
> Objet Événement
event.acknowledge
event.get
> Objet Expression régulière
regexp.create
regexp.delete
regexp.get
regexp.update
> Objet Graphique
graph.create
graph.delete
graph.get
graph.update
> Objet Groupe d'hôtes
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Objet Groupe d'utilisateurs
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objet Historique
history.clear
history.get
> Objet Hôte
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objet Hôte découvert
dhost.get
> Objet Image
image.create
image.delete
image.get
image.update
> Objet Interface d'hôte
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objet Audit log
auditlog.get
> Objet Macro utilisateur
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objet Maintenance
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Module object
module.create
module.delete
module.get
module.update
> Objet Modèle
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Objet Nettoyage
housekeeping.get
housekeeping.update
hanode.get
 > Objet nœud haute disponibilité
> Objet Problème
problem.get
> Objet Prototype d'hôte
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objet Prototype d'élément
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objet Prototype de déclencheur
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objet Prototype de graphique
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objet Proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objet Rapport
report.create
report.delete
report.get
report.update
> Objet Règle de découverte
drule.create
drule.delete
drule.get
drule.update
> Objet Règle LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objet Réglages
settings.get
settings.update
> Objet Rôle
role.create
role.delete
role.get
role.update
> Objet Script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Objet Scenario Web
httptest.create
httptest.delete
httptest.get
httptest.update
> Objet Service
service.create
service.delete
service.get
service.update
> Objet Service découvert
dservice.get
> Objet SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objet Tableau de bord
1 Journal des actions
2 Horloge
3 Aperçu des données
4 Statut de découverte
5 Graphiques favoris
6 Cartes préférées
7 Géocarte
8 Graphique
9 Graphique (classique)
10 Prototype de graphique
11 Disponibilité de l'hôte
12 Valeur d'élément
13 Carte
14 Arborescence de navigation de carte
15 Texte brut
16 Hôtes problématiques
17 Problèmes
18 Problèmes par gravité
19 Rapport SLA
20 Information système
21 Top hôtes
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objet Tableau de bord de modèle
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objet Table de correspondance
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Template group object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> Objet Tendance
trend.get
> Objet Test de découverte
dcheck.get
> Objet Token
token.create
token.delete
token.generate
token.get
token.update
> Objet Type de média
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objet Tâche
task.create
task.get
> User directory object
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> Objet Utilisateur
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
Annexe 1. Commentaire de référence
Annexe 2. Modifications de 6.2 à 6.4
Modifications de l'API Zabbix dans la version 6.4
1 Construire des plugins chargeables
3 Frontend modules
6 Modules chargeables
1 Foire aux questions / Dépannage
1 Création de la base de données
2 Réparation du jeu de caractères et de la collation de la base de données Zabbix
3 Mise à niveau de la base de données vers les clés primaires
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
5 Configuration TimescaleDB
6 Configuration d'Elasticsearch
8 Notes spécifiques à la distribution sur la configuration de Nginx pour Zabbix
9 Exécution de l'agent en tant que root
10 Agent Zabbix pour Microsoft Windows
11 Configuration SAML avec Okta
11 SAML setup with Microsoft Azure AD
12 Configuration de la base de données Oracle
13 Configuration des rapports planifiés
13 SAML setup with OneLogin
14 Langues interface Web supplémentaires
15 Upgrading to numeric values of extended range
1 Serveur Zabbix
2 Proxy Zabbix
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Agent Zabbix (Windows)
6 Agent Zabbix 2 (Windows)
1 Plugin Ceph
2 Plugin Docker
3 Plugin Memcached
4 Plugin Modbus
5 Plugin MongoDB
6 Plugin MQTT
7 MSSQL plugin
7 MySQL plugin
8 Plugin Oracle
9 PostgreSQL plugin
10 Plugin Redis
11 Plugin Smart
8 Passerelle Java Zabbix
9 Web service Zabbix
10 Inclusion
1 Protocole d'échange de données serveur-proxy
2 Protocole de l'agent Zabbix
3 Protocole de l'agent Zabbix 2
4 Protocole du plug-in agent Zabbix 2
5 Protocole d'envoi Zabbix
6 En-tête
7 Protocole d'exportation en temps réel
2 vm.memory.size parameters
3 Vérifications passives et actives des agents
4 Trapper items
5 Encoding of returned values
5 Minimum permission level for Windows agent items
6 Large file support
7 Sensor
8 Notes on memtype parameter in proc.mem items
9 Notes on selecting processes in proc.mem and proc.num items
10 Implementation details of net.tcp.service and net.udp.service checks
11 proc.get parameters
12 Paramètres de l'interface hôte inaccessibles/indisponibles
13 Surveillance à distance des statistiques Zabbix
14 Configurer Kerberos avec Zabbix
15 Paramètres de modbus.get
16 Création de noms de compteurs de performances personnalisés pour VMware
17 Return values
1 Fonctions Foreach
2 Fonctions binaires
3 Fonctions date et heure
4 Fonctions d'historique
5 Mathematical functions
5 Trend functions
6 Operator functions
7 Prediction functions
8 String functions
1 Macros supported by location
2 Macros utilisateurs supportées par emplacement
8 Symboles d'unités
9 Syntaxe de période de temps
10 Exécution de commande
11 Compatibilité de version
12 Gestion des erreurs de base de données
13 Librairie de liens dynamiques Zabbix sender pour Windows
14 Mise à niveau de la surveillance des services
14 Python library for Zabbix API
15 Autres problèmes
16 Comparaison agent vs agent 2
18 Escaping examples
1. Monitor Linux with Zabbix agent
2 Monitor Windows with Zabbix agent
3. Monitor Apache via HTTP
4. Monitor MySQL with Zabbix agent 2
5 Monitor VMware with Zabbix
manifest.json
Actions
 Vues
Actifs
Enregistrez un nouveau module
Configuration
Présentation
Créer un module (tutoriel)
Créer un widget (tutoriel)
Exemples
Exemples
Créer un plugin (tutoriel)
Interfaces de plugins
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17. Chiffrement

Aperçu

Zabbix prend en charge les communications chiffrées entre les composants Zabbix à l'aide du protocole Transport Layer Security (TLS) v.1.2 et 1.3 (selon la bibliothèque de chiffrement). Le chiffrement basé sur des certificats et basé sur des clés pré-partagées est pris en charge.

Le chiffrement peut être configuré pour les connexions :

Le chiffrement est facultatif et configurable pour les composants individuels :

  • Certains proxies et agents peuvent être configurés pour utiliser le chiffrement basé sur certificat avec le serveur, tandis que d'autres peuvent utiliser le chiffrement basé sur une clé pré-partagée, et d'autres encore continuent avec des communications non chiffrées (comme auparavant)
  • Le serveur (proxy) peut utiliser différentes configurations de cryptage pour différents hôtes

Les démons Zabbix utilisent un port d'écoute pour les connexions entrantes chiffrées et non chiffrées. L'ajout d'un cryptage ne nécessite pas l'ouverture de nouveaux ports sur les pare-feux.

Limitations

  • Les clés privées sont stockées en texte brut dans des fichiers lisibles par les composants Zabbix lors du démarrage
  • Les clés pré-partagées sont saisies dans l'interface Zabbix et stockées dans la base de données Zabbix en texte brut
  • Le cryptage intégré ne protège pas les communications :
    • Entre le serveur Web exécutant l'interface Zabbix et le navigateur Web de l'utilisateur
    • Entre l'interface Zabbix et le serveur Zabbix
  • Actuellement, chaque connexion cryptée s'ouvre avec une vérification TLS complète, aucune mise en cache de session et les tickets ne sont implémentés
  • L'ajout du chiffrement augmente le temps de vérification et d'action des éléments, en fonction de la latence du réseau :
    • Par exemple, si le délai de paquet est de 100 ms, l'ouverture d'une connexion TCP et l'envoi d'une requête non chiffrée prend environ 200 ms. Avec le cryptage, environ 1000 ms sont ajoutées pour établir la connexion TLS ;
    • Il peut être nécessaire d'augmenter les timeouts, sinon certains éléments et actions exécutant des scripts distants sur des agents peuvent fonctionner avec des connexions non chiffrées, mais échouer avec un délai d'expiration chiffré.
  • Le chiffrement n'est pas pris en charge par la découverte du réseau. Les vérifications de l'agent Zabbix effectuées par la découverte du réseau ne seront pas chiffrées et si l'agent Zabbix est configuré pour rejeter les connexions non chiffrées, ces vérifications échoueront.

Compiler Zabbix avec prise en charge du chiffrement

Pour prendre en charge le chiffrement, Zabbix doit être compilé et lié à l'une des bibliothèques de chiffrement prises en charge :

  • GnuTLS - à partir de la version 3.1.18
  • OpenSSL - versions 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. Notez que 3.0.x est pris en charge depuis Zabbix 6.0.4.
  • LibreSSL - testé avec les versions 2.7.4, 2.8.2 :
    • LibreSSL 2.6.x n'est pas pris en charge
    • LibreSSL est pris en charge en tant que remplacement compatible d'OpenSSL ; les nouvelles fonctions API tls_*() spécifiques à LibreSSL ne sont pas utilisées. Les composants Zabbix compilés avec LibreSSL ne pourront pas utiliser PSK, seuls les certificats peuvent être utilisés.

La bibliothèque est sélectionnée en spécifiant l'option respective pour "configurer" le script :

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (également utilisé pour LibreSSL)

Par exemple, pour configurer les sources du serveur et de l'agent avec OpenSSL, vous pouvez utiliser quelque chose comme :

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Différents composants Zabbix peuvent être compilés avec différentes bibliothèques de chiffrement (par exemple, un serveur avec OpenSSL, un agent avec GnuTLS).

Si vous prévoyez d'utiliser des clés pré-partagées (PSK), envisagez d'utiliser les bibliothèques GnuTLS ou OpenSSL 1.1.0 (ou plus récent) dans les composants Zabbix utilisant des PSK. Les bibliothèques GnuTLS et OpenSSL 1.1.0 prennent en charge les suites de chiffrement PSK avec Perfect Forward Secrecy. Les anciennes versions de la bibliothèque OpenSSL (1.0.1, 1.0.2c) prennent également en charge les PSK, mais les suites de chiffrement PSK disponibles ne fournissent pas Perfect Forward Secrecy.

Gestion du chiffrement des connexions

Les connexions dans Zabbix peuvent utiliser :

Deux paramètres importants sont utilisés pour spécifier le chiffrement entre les composants Zabbix :

  • TLSConnect - spécifie le chiffrement à utiliser pour les connexions sortantes (non chiffré, PSK ou certificat)
  • TLSAccept - spécifie quels types de connexions sont autorisés pour les connexions entrantes (non cryptées, PSK ou certificat). Une ou plusieurs valeurs peuvent être spécifiées.

TLSConnect est utilisé dans les fichiers de configuration pour le proxy Zabbix (en mode actif, spécifie uniquement les connexions au serveur) et l'agent Zabbix (pour les vérifications actives). Dans l'interface Zabbix, l'équivalent TLSConnect est le champ Connexions à l'hôte dans l'onglet Configuration → Hôtes → <un hôte> → Chiffrement et le champ Connexions au proxy dans l'onglet Administration → Proxies → <un proxy> → Chiffrement . Si le type de chiffrement configuré pour la connexion échoue, aucun autre type de chiffrement ne sera essayé.

TLSAccept est utilisé dans les fichiers de configuration pour le proxy Zabbix (en mode passif, spécifie uniquement les connexions depuis le serveur) et l'agent Zabbix (pour les vérifications passives). Dans l'interface Zabbix, l'équivalent TLSAccept est le champ Connexions depuis l'hôte dans l'onglet Configuration → Hôtes → <un hôte> → Chiffrement et le champ Connexions depuis le proxy dans l'onglet Administration → Proxies → <un proxy> → Chiffrement .

Normalement, vous ne configurez qu'un seul type de chiffrement pour les chiffrements entrants. Mais vous voudrez peut-être changer le type de cryptage, par exemple de non crypté à basé sur certificat avec un temps d'arrêt minimum et une possibilité de restauration. Pour y parvenir :

  • Définissez TLSAccept=unencrypted,cert dans le fichier de configuration de l'agent et redémarrez l'agent Zabbix
  • Testez la connexion avec zabbix_get à l'agent à l'aide du certificat. Si cela fonctionne, vous pouvez reconfigurer le chiffrement pour cet agent dans l'interface Zabbix dans l'onglet Configuration → Hôtes → <un hôte> → Chiffrement en définissant Connexions à l'hôte sur "Certificat".
  • Lorsque le cache de configuration du serveur est mis à jour (et que la configuration du proxy est mise à jour si l'hôte est surveillé par proxy), les connexions à cet agent seront cryptées
  • Si tout fonctionne comme prévu, vous pouvez définir TLSAccept=cert dans le fichier de configuration de l'agent et redémarrer l'agent Zabbix. Désormais, l'agent n'acceptera que les connexions basées sur des certificats chiffrés. Les connexions non chiffrées et basées sur PSK seront rejetées.

De la même manière, cela fonctionne sur le serveur et le proxy. Si, dans l'interface Zabbix, dans la configuration de l'hôte, Connexions depuis l'hôte est défini sur "Certificat", seules les connexions chiffrées basées sur un certificat seront acceptées par l'agent (vérifications actives) et zabbix_sender (éléments de trappeur).

Vous configurerez très probablement les connexions entrantes et sortantes pour utiliser le même type de cryptage ou aucun cryptage du tout. Mais techniquement, il est possible de le configurer de manière asymétrique, par ex. chiffrement basé sur certificat pour les connexions entrantes et basé sur PSK pour les connexions sortantes.

La configuration du chiffrement pour chaque hôte est affichée dans l'interface Zabbix, dans Configuration → Hôtes dans la colonne Chiffrement de l'agent. Par exemple:

Exemple Connexions à l'hôte Connexions autorisées depuis l'hôte Connexions rejetées depuis l'hôte
none_none.png Non crypté Non crypté Crypté, certificat et cryptage basé sur PSK
cert_cert.png Crypté, basé sur un certificat Crypté, basé sur un certificat Non crypté et crypté par PSK
psk_psk.png Crypté, basé sur PSK Crypté, basé sur PSK Crypté non crypté et crypté sur certificat
psk_none_psk.png Crypté, basé sur PSK Non crypté et crypté PSK Crypté basé sur certificat
cert_all.png Crypté, basé sur certificat Non crypté, PSK ou crypté basé sur certificat -

Les connexions ne sont pas chiffrées par défaut. Le chiffrement doit être configuré pour chaque hôte et proxy individuellement.

zabbix_get et zabbix_sender avec chiffrement

Voir les man-pages zabbix_get et zabbix_sender pour une utilisation avec chiffrement.

Suite de chiffrement

Les suites de chiffrement par défaut sont configurées en interne lors du démarrage de Zabbix et, avant Zabbix 4.0.19, 4.4.7, ne sont pas configurables par l'utilisateur.

Depuis Zabbix 4.0.19, 4.4.7, les suites de chiffrement configurées par l'utilisateur sont également prises en charge pour GnuTLS et OpenSSL. Les utilisateurs peuvent configurer des suites de chiffrement en fonction de leurs politiques de sécurité. L'utilisation de cette fonctionnalité est facultative (les suites de chiffrement par défaut intégrées fonctionnent toujours).

Pour les bibliothèques de chiffrement compilées avec les paramètres par défaut, les règles intégrées de Zabbix entraînent généralement les suites de chiffrement suivantes (dans l'ordre de priorité la plus élevée à la plus faible) :

Librairie Suite de chiffrement Certificat Suite de chiffrement PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Suites de chiffrement configurées par l'utilisateur

Les critères de sélection de suite de chiffrement intégrés peuvent être remplacés par des suites de chiffrement configurées par l'utilisateur.

Les suites de chiffrement configurées par l'utilisateur sont une fonctionnalité destinée aux utilisateurs avancés qui comprennent les suites de chiffrement TLS, leur sécurité et les conséquences des erreurs, et qui sont à l'aise avec le dépannage TLS.

Les critères de sélection de la suite de chiffrement intégrée peuvent être remplacés à l'aide des paramètres suivants :

Remplacer la portée Paramètre Valeur Description
Sélection de la suite de chiffrement pour les certificats TLSCipherCert13 Chaînes de chiffrement OpenSSL 1.1.1 valides pour le protocole TLS 1.3 (leurs valeurs sont transmises à la fonction OpenSSL SSL_CTX_set_ciphersuites()). Critères de sélection de la suite de chiffrement basée sur les certificats pour TLS 1.3

Uniquement OpenSSL 1.1.1 ou version ultérieure.
TLSCipherCert Chaînes de chiffrement OpenSSL valides pour TLS 1.2 ou chaînes de priorité GnuTLS valides. Leurs valeurs sont respectivement transmises aux fonctions SSL_CTX_set_cipher_list() ou gnutls_priority_init(). Critères de sélection des suites de chiffrement basées sur des certificats pour TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Sélection de la suite de chiffrement pour PSK TLSCipherPSK13 Chaînes de chiffrement OpenSSL 1.1.1 valides pour le protocole TLS 1.3 (leurs valeurs sont transmises à la fonction OpenSSL SSL_CTX_set_ciphersuites()). Critères de sélection des suites de chiffrement basées sur PSK pour TLS 1.3

Uniquement OpenSSL 1.1.1 ou plus récent.
TLSCipherPSK Chaînes de chiffrement OpenSSL valides pour TLS 1.2 ou chaînes de priorité GnuTLS valides. Leurs valeurs sont respectivement transmises aux fonctions SSL_CTX_set_cipher_list() ou gnutls_priority_init(). Critères de sélection de suite de chiffrement basés sur PSK pour TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Liste combinée de suites de chiffrement pour certificat et PSK TLSCipherAll13 Chaînes de chiffrement OpenSSL 1.1.1 valides pour le protocole TLS 1.3 (leurs valeurs sont transmises à la fonction OpenSSL SSL_CTX_set_ciphersuites()). Critères de sélection des suites de chiffrement pour TLS 1.3

Uniquement OpenSSL 1.1.1 ou plus récent.
TLSCipherAll Chaînes de chiffrement OpenSSL valides pour TLS 1.2 ou chaînes de priorité GnuTLS valides. Leurs valeurs sont respectivement transmises aux fonctions SSL_CTX_set_cipher_list() ou gnutls_priority_init(). Critères de sélection Ciphersuite pour TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Pour remplacer la sélection de la suite de chiffrement dans les utilitaires zabbix_get et zabbix_sender - utilisez les paramètres de ligne de commande :

  • --tls-cipher13
  • --tls-cipher

Les nouveaux paramètres sont facultatifs. Si un paramètre n'est pas spécifié, la valeur par défaut interne est utilisée. Si un paramètre est défini, il ne peut pas être vide.

Si la définition d'une valeur TLSCipher* dans la bibliothèque de chiffrement échoue, le serveur, le proxy ou l'agent ne démarre pas et une erreur est consignée.

Il est important de comprendre quand chaque paramètre est applicable.

Connexions sortantes

Le cas le plus simple est celui des connexions sortantes :

  • Pour les connexions sortantes avec certificat - utilisez TLSCipherCert13 ou TLSCipherCert
  • Pour les connexions sortantes avec PSK - utilisez TLSCipherPSK13 et TLSCipherPSK
  • Dans le cas des utilitaires zabbix_get et zabbix_sender, les paramètres de ligne de commande --tls-cipher13 et --tls-cipher peuvent être utilisés (le chiffrement est spécifié sans ambiguïté avec un paramètre --tls-connect)
Connexions entrantes

C'est un peu plus compliqué avec les connexions entrantes car les règles sont spécifiques aux composants et à la configuration.

Pour l'agent Zabbix :

Configuration de la connexion de l'agent Configuration du chiffrement
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Pour le serveur et le proxy Zabbix :

Configuration de la connexion Configuration du chiffrement
Connexions sortantes utilisant PSK TLSCipherPSK, TLSCipherPSK13
Connexions entrantes utilisant des certificats TLSCipherAll, TLSCipherAll13
Connexions entrantes utilisant PSK si le serveur n'a pas de certificat TLSCipherPSK, TLSCipherPSK13
Connexions entrantes utilisant PSK si le serveur a un certificat TLSCipherAll, TLSCipherAll13

Certains modèles peuvent être observés dans les deux tableaux ci-dessus :

  • TLSCipherAll et TLSCipherAll13 ne peuvent être spécifiés que si une liste combinée de suites de chiffrement et basées sur PSK est utilisée. Il existe deux cas où cela se produit : serveur (proxy) avec un certificat configuré (les suites de chiffrement PSK sont toujours configurées sur le serveur, proxy si la bibliothèque de chiffrement prend en charge PSK), agent configuré pour accepter les connexions entrantes basées sur certificat et PSK
  • dans les autres cas TLSCipherCert* et/ou TLSCipherPSK* sont suffisants

Les tableaux suivants montrent les valeurs par défaut intégrées de TLSCipher*. Ils pourraient être un bon point de départ pour vos propres valeurs personnalisées.

Paramètre GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Paramètre OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Les valeurs par défaut sont différentes pour les anciennes versions d'OpenSSL (1.0.1, 1.0.2, 1.1.0), pour LibreSSL et si OpenSSL est compilé sans le support PSK.

** Exemples de suites de chiffrement configurées par l'utilisateur **

Voir ci-dessous les exemples suivants de suites de chiffrement configurées par l'utilisateur :

Tester les chaînes de chiffrement et autoriser uniquement les suites de chiffrement PFS

Pour voir quelles suites de chiffrement ont été sélectionnées, vous devez définir 'DebugLevel=4' dans le fichier de configuration, ou utiliser l'option -vv pour zabbix_sender.

Certaines expérimentations avec les paramètres TLSCipher * peuvent être nécessaires avant d'obtenir les suites de chiffrement souhaitées. Il n'est pas pratique de redémarrer plusieurs fois le serveur, le proxy ou l'agent Zabbix juste pour modifier les paramètres TLSCipher *. Des options plus pratiques utilisent zabbix_sender ou la commande openssl. Montrons les deux.

1. Utilisation de zabbix_sender.

Créons un fichier de configuration de test, par exemple /home/zabbix/test.conf, avec la syntaxe d'un fichier zabbix_agentd.conf :

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Vous avez besoin de certificats CA et d'agent valides et de PSK pour cet exemple. Ajustez les chemins et les noms des certificats et des fichiers PSK pour votre environnement.

Si vous n'utilisez pas de certificats, mais uniquement PSK, vous pouvez créer un fichier de test plus simple :

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

Les suites de chiffrement sélectionnées peuvent être vues en exécutant zabbix_sender (exemple compilé avec OpenSSL 1.1.d) :

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Ici, vous voyez les suites de chiffrement sélectionnées par défaut. Ces valeurs par défaut sont choisies pour assurer l'interopérabilité avec les agents Zabbix exécutés sur des systèmes avec des versions OpenSSL plus anciennes (à partir de 1.0.1).

Avec les systèmes plus récents, vous pouvez choisir de renforcer la sécurité en n'autorisant que quelques suites de chiffrement, par exemple uniquement les suites de chiffrement avec PFS (Perfect Forward Secrecy). Essayons de n'autoriser que les suites de chiffrement avec PFS en utilisant les paramètres TLSCipher*.

Le résultat ne sera pas interopérable avec les systèmes utilisant OpenSSL 1.0.1 et 1.0.2, si PSK est utilisé. Le chiffrement basé sur des certificats devrait fonctionner.

Ajoutez deux lignes au fichier de configuration test.conf :

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

et testez à nouveau :

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Les listes "certificate ciphersuites" et "PSK ciphersuites" ont changé - elles sont plus courtes qu'auparavant, ne contenant que les suites de chiffrement TLS 1.3 et les suites de chiffrement TLS 1.2 ECDHE-* comme prévu.

2. TLSCipherAll et TLSCipherAll13 ne peuvent pas être testés avec zabbix_sender ; ils n'affectent pas la valeur "certificate and PSK ciphersuites" indiquée dans l'exemple ci-dessus. Pour modifier TLSCipherAll et TLSCipherAll13, vous devez l'expérimenter avec l'agent, le proxy ou le serveur.

Ainsi, pour autoriser uniquement les suites de chiffrement PFS, vous devrez peut-être ajouter jusqu'à trois paramètres

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

dans zabbix_agentd.conf, zabbix_proxy.conf et zabbix_server.conf si chacun d'eux a un certificat configuré et que l'agent a également PSK.

Si votre environnement Zabbix utilise uniquement un chiffrement basé sur PSK et aucun certificat, alors un seul :

  TLSCipherPSK=kECDHEPSK+AES128

Maintenant que vous comprenez comment cela fonctionne, vous pouvez tester la sélection de la suite de chiffrement même en dehors de Zabbix, avec la commande openssl. Testons les trois valeurs de paramètre TLSCipher* :

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Vous pouvez préférer openssl ciphers avec l'option -V pour une sortie plus détaillée :

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

De même, vous pouvez tester les chaînes de priorité pour GnuTLS :

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Passer de AES128 à AES256

Zabbix utilise AES128 par défaut pour les données. Supposons que vous utilisiez des certificats et que vous souhaitiez passer à AES256, sur OpenSSL 1.1.1.

Ceci peut être réalisé en ajoutant les paramètres respectifs suivants dans zabbix_server.conf :

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Bien que seules les suites de chiffrement liées aux certificats soient utilisées, les paramètres TLSCipherPSK* sont également définis pour éviter leurs valeurs par défaut qui incluent des chiffrements moins sécurisés pour une interopérabilité plus large. Les suites de chiffrement PSK ne peuvent pas être complètement désactivées sur le serveur/proxy.

Et dans zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy