Documentation

Esta é uma tradução da página de documentação original em inglês. Ajude-nos a torná-la melhor.
1 Estrutura do manual
2 O que é o Zabbix
3 Funcionalidades do Zabbix
4 Visão geral do Zabbix
5 What's new in Zabbix 6.4.0
6 What's new in Zabbix 6.4.1
6 What's new in Zabbix 6.4.4
7 What's new in Zabbix 6.4.2
8 What's new in Zabbix 6.4.3
10 What's new in Zabbix 6.4.5
12 What's new in Zabbix 6.4.6
12 What's new in Zabbix 6.4.7
13 What's new in Zabbix 6.4.8
14 What's new in Zabbix 6.4.9
15 What's new in Zabbix 6.4.10
16 What's new in Zabbix 6.4.11
17 What's new in Zabbix 6.4.12
18 What's new in Zabbix 6.4.13
19 What's new in Zabbix 6.4.14
2. Definições
1 Cluster de alta disponibilidade
3 Agent 2
3 Agente
4 Proxy
1 Setup from sources
2 Setup from RHEL packages
3 Setup from Debian/Ubuntu packages
6 Sender
7 Get
8 JS
9 Serviço Web
1 Obtendo o Zabbix
1 PostgreSQL plugin dependencies
2 MongoDB plugin dependencies
Best practices for secure Zabbix setup
Construindo Agente Zabbix 2 no Windows
Criando agente Zabbix no Windows
Criando o agente Zabbix no macOS
1 Sistema operacional Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Instalação agente Windows por MSI
5 Instalação de agente Mac OS pelo PKG
6 Lançamentos instáveis
5 Instalação por containers
6 Instalação da interface web
7 Modificações nos Templates
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
Atualização a partir dos fontes
Upgrade from containers
1 Compilation issues
10 Upgrade notes for 6.4.0
11 Upgrade notes for 6.4.1
12 Upgrade notes for 6.4.2
13 Upgrade notes for 6.4.3
13 Upgrade notes for 6.4.4
14 Upgrade notes for 6.4.5
15 Upgrade notes for 6.4.6
17 Upgrade notes for 6.4.7
18 Upgrade notes for 6.4.8
19 Upgrade notes for 6.4.9
20 Upgrade notes for 6.4.10
21 Upgrade notes for 6.4.11
22 Upgrade notes for 6.4.12
23 Upgrade notes for 6.4.13
24 Upgrade notes for 6.4.14
1 Autenticando e configurando usuário
2 Novo host
3 Novo item
4 Nova trigger
5 Recebendo notificação de problema
6 Novo modelo (template)
6. Aplicação Zabbix
1 Configurando um host
2 Inventário
3 Atualização em massa
1 Agente Zabbix 2
Chaves de item específicas para Windows
1 Índices Dinâmicos
2 Special OIDs
3 Arquivos MIB
3 Traps SNMP
4 Verificações IPMI
1 Chaves de item de monitoramento VMware
6 Monitoramento de arquivo de log
Cálculos agregados
8 Verificações internas
9 Verificações SSH
10 Verificações telnet
11 Verificações externas
12 Itens de captura (trapper)
13 Monitoramento JMX
1 Configurações UnixODBC recomendadas para MySQL
2 Configurações UnixODBC recomendadas para PostgreSQL
3 Configurações UnixODBC recomendadas para Oracle
4 Configurações UnixODBC recomendadas para MSSQL
15 Itens dependentes
16 Agente HTTP
17 Verificações Prometheus
18 Script items
1 Formato da chave de item
2 Intervalos customizados
1 Exemplos de uso
2 Detalhes de pré-processamento
Escapando caracteres especiais de valores de macro LLD em JSONPath
Objetos JavaScript adicionais
5 Pré-processamento CSV para JSON
4 História e tendências
1 Estendendo agentes Zabbix
7 contadores de desempenho do Windows
8 Atualização em massa
8 Mapeamento de valores
10 Fila
11 Cache de valores
12 Execute agora
13 Restringindo verificações de agentes
1 Configurando um gatilho
2 Expressão de acionamento
3 Dependências dos gatilhos
4 Severidade de gatilho
5 Customizando severidades de gatilho
6 Atualização em massa
7 Funções de gatilho preditivas
1 Geração de evento de gatilho
2 Outras fontes de evento
3 Encerramento manual de problemas
1 Correlação de evento baseada em gatilho
2 Correlação de eventos global
6 Marcação
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad hoc
4 Agregação em gráficos
1 Configurando um mapa de rede
2 Elementos do grupo de hosts
3 Indicadores de links
3 Painéis
4 Painéis de host
1 Configurando um modelo
2 Vinculando/desvinculando
3 Aninhamento
4 Atualização em massa
HTTP template operation
Modelos padronizados para dispositivos de rede
operação de modelo ODBC
Operação de template do agente Zabbix 2
Operação do modelo do agente Zabbix
operação do modelo IPMI
Operação do modelo JMX
1 E-mail
2 SMS
3 Scripts de alerta customizados
Exemplos de script de webhook
1 Condições
1 Enviando mensagem
2 Comandos remotos
3 Operações adicionais
4 Usando macros em mensagens
3 Operações de recuperação
4 Operações de atualização
5 Escalações
3 Recebendo notificação sobre itens não suportados
1 Funções macro
2 Macros de usuário
2 Secret user macros
3 Macros de usuário com contexto
4 Macros de descoberta de baixo nível
6 Expression macros
1 Configurando um usuário
2 Permissões
3 Grupos de usuários
CyberArk configuration
HashiCorp configuration
14 Scheduled reports
1 Export to files
2 Streaming to external systems
1 Service tree
3 SLA
4 Setup example
1 Itens de monitoramento web
2 Cenário real de Monitoramento Web
1 Campos de chave de descoberta de máquina virtual
1 Chaves de item de monitoramento da VMware
4 VMware monitoring setup example
JSON examples for VMware items
11. Manutenção
12. Expressões regulares
1 Supressão de problemas
1 Grupos de Templates
2 Grupos de host
2 Templates
3 Hosts
5 Mapas de rede
5 Tipos de mídia
1 Configurando uma regra de descoberta de rede
2 Registro automático de agente ativo
1 Protótipos de itens
2 Protótipos de gatilho
3 Protótipos de gráficos
4 Host prototypes
4 Notas sobre descoberta de baixo nível
1 Descoberta de sistemas de arquivos montados
2 Descoberta de interfaces de rede
3 Descoberta de CPUs e núcleos de CPU
4 Descoberta de OIDs SNMP
4 Discovery of SNMP OIDs
5 Descoberta de objetos JMX
6 Descoberta de sensores IPMI
7 Descoberta de serviços systemd
8 Descoberta de serviços do Windows
9 Descoberta de instâncias do contador de desempenho do Windows
10 Descoberta usando consultas WMI
11 Descoberta usando consultas ODBC SQL
12 Descoberta usando dados do Prometheus
13 Descoberta de dispositivos de bloco
14 Descoberta de interfaces de host no Zabbix
1 Synchronization of monitoring configuration
1 Usando certificados
2 Usando chaves pré-compartilhadas
1 Tipo de conexão ou problemas de permissão
2 Problemas de certificado
3 PSK problems
1 Menu de contexto de evento
2 Menu de contexto de host
3 Menu de contexto de item
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
1 Cause and symptom problems
1 Gráficos
2 Cenários Web
4 Dados recentes
6 Descoberta
9 Mapas
1 Services
3 SLA
4 Relatório de SLA
1 Visão geral
2 Hosts
1 Informações do sistema
2 Relatórios agendados
3 Relatório de disponibilidade
4 Top 100 de triggers
5 Audit log
6 Log de ações
7 Notificações
1 Geral
2 Audit log
2 Proxies
3 Housekeeping
5 Macros
9 Fila
1 Grupos de Host
1 Template groups
1 Items
2 Triggers
3 Gráficos
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Host prototypes
5 Cenários Web
1 Items
2 Triggers
3 Gráficos
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Host prototypes
5 Cenários Web
5 Maintenance
6 Event correlation
7 Discovery
5 Ações
7 Tipos de mídia
8 Scripts
1 Grupos de usuários
3 Usuários
4 Tokens API
1 HTTP
2 LDAP
3 SAML (Linguagem de Marcação de Asserção de Segurança)
5 Funções do usuário
1 Notificações globais
2 Som nos navegadores
4 Pesquisa global
5 Modo de manutenção de front-end
6 Parâmetros da página
7 Definições
8 Criando seu próprio tema
9 Modo de depuração
10 Cookies usados pelo Zabbix
11 Fuso horário
12 Redefinindo senha
> Objeto de alerta
alerta.obter
> Objeto de autenticação
autenticação.get
authentication.update
> Objeto de registro automático
autoregistration.get
autoregistration.update
> Objeto de ação
action.update
ação.criar
ação.excluir
ação.obter
> Objeto de cenário Web
httptest.create
httptest.delete
httptest.get
httptest.update
configuration.export
configuration.import
configuração.importcompare
> Objeto de conexão
connector.create
connector.delete
Método connector.get
Método connector.update
> Objeto de correlação
correlation.get
correlation.update
Descrição
Método correlation.create
> Objeto de configurações
settings.get
settings.update
> Objeto de evento
event.acknowledge
event.get
> Objeto de expressão regular
regexp.create
regexp.delete
regexp.get
regexp.update
> Objeto de função
role.create
role.delete
role.get
role.update
> Objeto do grupo de hosts
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Objeto de grupo de usuários
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objeto gráfico
graph.create
graph.delete
graph.get
graph.update
> Objeto histórico
history.get
histórico.limpar
> Objeto host
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objeto host descoberto
dhost.get
> Objeto de imagem
image.create
image.delete
image.get
imagem.atualização
apiinfo.versão
> Objeto de interface do host
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objeto de item
item.create
item.delete
item.get
item.update
> Objeto de item de gráfico
graphitem.get
> User macro object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objeto de manutenção
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objeto de mapa
map.create
map.delete
map.get
map.update
> Objeto de mapa de ícones
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Module object
module.create
module.delete
module.get
module.update
> Objeto de nó de alta disponibilidade
hanode.get
> Objeto do painel
1 Log de ação
2 Relógio (clock)
3 Visão geral dos dados
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create (criar dashboard)
dashboard.update (atualização de dashboard)
painel.delete
painel.get
> Objeto de dashboard
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objeto do problema
problem.get
> Objeto protótipo gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objeto protótipo do host
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objeto protótipo de item
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objeto de protótipo de trigger
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objeto de log de auditoria
auditlog.get
> Objeto de regra de descoberta
drule.create
drule.delete
drule.get
drule.update
> Regra de objeto LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> objeto de relatório
report.create
report.delete
report.get
report.update
> Objeto de script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Objeto de serviço
service.create
service.delete
service.get
service.update
> Housekeeping object
housekeeping.get
housekeeping.update
> Objeto de serviço descoberto
dservice.get
> objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objeto de tarefa
task.create
task.get
> Objeto Template
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template group object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> Objeto de tendência
trend.get
> Objeto de tipo de mídia
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objeto token
token.create
token.delete
token.generate
token.get
token.update
> Objeto de trigger
trigger.create
trigger.delete
trigger.get
trigger.update
> User object
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
> User directory object
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objeto de verificação de descoberta
dcheck.get
Apêndice 1. Comentário de referência
Apêndice 2. Alterações de 6.2 para 6.4
Mudanças na API do Zabbix 6.4
1 Building loadable plugins
3 Frontend modules
6 Módulos carregáveis
1 Perguntas frequentes / Solução de problemas
1 Criação do banco de dados
2 Reparando o conjunto de caracteres e agrupamento do banco de dados Zabbix
3 Atualização de banco de dados para chaves primárias
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
5 Configuração do TimescaleDB
6 Configuração do Elasticsearch
8 Notas específicas de distribuição sobre a configuração do Nginx para Zabbix
9 Executando agente como root
10 Agente Zabbix no Microsoft Windows
11 Configuração SAML com Okta
11 Oracle database setup
11 SAML setup with Microsoft Azure AD
12 Setting up scheduled reports
13 SAML setup with OneLogin
14 Idiomas frontend adicionais
15 Upgrading to numeric values of extended range
1 servidor Zabbix
2 Zabbix proxy
3 Agente Zabbix (UNIX)
4 Agente Zabbix 2 (UNIX)
5 Zabbix agent (Windows)
6 Agente Zabbix 2 (Windows)
1 Plugin Ceph
2 Plugin Docker
3 Plugin Memcached
4 Plugin Modbus
5 Plugin MongoDB
6 Plugin MQTT
7 MSSQL plugin
7 MySQL plugin
8 Plugin Oracle
9 PostgreSQL plugin
10 Plugin Redis
11 Plugin Smart
8 Zabbix Java Gateway
9 Serviço web Zabbix
10 Inclusão
1 Protocolo de troca de dados servidor-proxy
2 Protocolo do agente Zabbix
3 Protocolo de envio Zabbix
3 Zabbix agent 2 protocol
4 Cabeçalho
4 Zabbix agent 2 plugin protocol
5 Protocolo de exportação em tempo real
2 parâmetros vm.memory.size
2 Passive and active agent checks
4 Codificação dos valores retornados
4 Trapper items
5 Minimum permission level for Windows agent items
5 Suporte a grandes arquivos
7 Sensores
8 Observações sobre o parâmetro memtype em itens proc.mem
9 Observações sobre seleção de processos nos itens proc.mem e proc.num
10 Detalhes de implementação das verificações net.tcp.service ed net.udp.service
11 proc.get parameters
12 Definições de host inalcançável/inacessível
13 Monitoramento remoto das estatísticas do Zabbix
14 Configurando Kerberos com Zabbix
15 parâmetros modbus.get
16 Creating custom performance counter names for VMware
17 Return values
1 Funções Foreach
2 Funções bit a bit
3 Funções de data e hora
4 Funções de histórico
5 Trend functions
6 Funções matemáticas
6 Operator functions
7 Prediction functions
8 String functions
1 Macros suportadas por localização
2 User macros supported by location
8 Símbolos de unidade
9 Sintaxe do período de tempo
10 Execução de comandos
11 Compatibilidade entre versões
14 Python library for Zabbix API
14 Tratamento de erros do banco de dados
15 Biblioteca de links dinâmicos do remetente Zabbix para Windows
17 Service monitoring upgrade
18 Agente vs agente 2 comparação
18 Escaping examples
18 Outros problemas
1. Monitor Linux with Zabbix agent
2 Monitor Windows with Zabbix agent
3. Monitor Apache via HTTP
4. Monitor MySQL with Zabbix agent 2
5 Monitor VMware with Zabbix
manifest.json
Ações
Ativos
Registrar um novo módulo
Configuração
Apresentação
Criar um módulo (tutorial)
Crie um widget (tutorial)
Exemplos
Exemplos
Crie um plugin (tutorial)
Interfaces de plug-in
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17. Criptografia

Visão geral

Zabbix suporta comunicações criptografadas entre componentes Zabbix usando Protocolo Transport Layer Security (TLS) v.1.2 e 1.3 (dependendo do biblioteca de criptografia). Criptografia baseada em certificado e baseada em chave pré-compartilhada é suportado.

A criptografia pode ser configurada para conexões:

A criptografia é opcional e configurável para componentes individuais:

  • Alguns proxies e agentes podem ser configurados para usar certificados criptografia com o servidor, enquanto outros podem usar criptografia baseada em chave, e ainda outros continuam com não criptografado comunicações (como antes)
  • Servidor (proxy) pode usar diferentes configurações de criptografia para diferentes anfitriões

Os programas daemon Zabbix usam uma porta de escuta para conexões de entrada não criptografadas. Adicionar uma criptografia não requer abrindo novas portas em firewalls.

Limitações

  • As chaves privadas são armazenadas em texto simples em arquivos legíveis pelo Zabbix componentes durante a inicialização
  • Chaves pré-compartilhadas são inseridas no frontend do Zabbix e armazenadas no Zabbix banco de dados em texto simples
  • A criptografia integrada não protege as comunicações:
    • Entre o servidor web rodando o frontend Zabbix e a web do usuário navegador
    • Entre o frontend Zabbix e o servidor Zabbix
  • Atualmente, cada conexão criptografada é aberta com um handshake TLS completo, nenhum cache de sessão e tickets são implementados
  • A adição de criptografia aumenta o tempo para verificações e ações de itens, dependendo da latência da rede:
    • Por exemplo, se o atraso do pacote for de 100ms, abrir um TCP conexão e envio de solicitação não criptografada leva cerca de 200ms. Com criptografia são adicionados cerca de 1000 ms para estabelecer o TLS conexão;
    • Os tempos limite podem precisar ser aumentados, caso contrário, alguns itens e ações que executam scripts remotos em agentes podem funcionar com conexões não criptografadas, mas falham com o tempo limite com criptografado.
  • A criptografia não é suportada por network descoberta. Verificações do agente Zabbix realizada pela descoberta de rede não será criptografada e se o Zabbix agente está configurado para rejeitar conexões não criptografadas, tais verificações não terá sucesso.

Compilando Zabbix com suporte a criptografia

Para suportar a criptografia, o Zabbix deve ser compilado e vinculado a um dos bibliotecas de criptografia suportadas:

  • GnuTLS - da versão 3.1.18
  • OpenSSL - versões 1.0.1, 1.0.2, 1.1.0, 1.1.1
  • LibreSSL - testado com as versões 2.7.4, 2.8.2:
    • LibreSSL 2.6.x não é suportado
    • O LibreSSL é suportado como um substituto compatível do OpenSSL; as novas funções de API específicas do LibreSSL tls_*() não são usadas. Componentes Zabbix compilados com LibreSSL não poderão usar PSK, somente certificados podem ser usados.

A biblioteca é selecionada especificando a respectiva opção para script "configurar":

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (também usado para LibreSSL)

Por exemplo, para configurar as origens para servidor e agente com OpenSSL você pode usar algo como:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Diferentes componentes Zabbix podem ser compilados com diferentes criptomoedas bibliotecas (por exemplo, um servidor com OpenSSL, um agente com GnuTLS).

::: não importante Se você planeja usar chaves pré-compartilhadas (PSK), considere usar bibliotecas GnuTLS ou OpenSSL 1.1.0 (ou mais recente) em Componentes Zabbix usando PSKs. Bibliotecas GnuTLS e OpenSSL 1.1.0 suporta conjuntos de cifras PSK com Perfect Forward Sigilo. Versões mais antigas da biblioteca OpenSSL (1.0.1, 1.0.2c) também suportam PSKs, mas os conjuntos de cifras PSK disponíveis não fornecem Perfect Forward Segredo. :::

Gerenciamento de criptografia de conexão

Conexões no Zabbix podem usar:

Existem dois parâmetros importantes usados ​​para especificar a criptografia entre Componentes do Zabbix:

  • TLSConnect - especifica qual criptografia usar para saída conexões (não criptografadas, PSK ou certificado)
  • TLSAccept - especifica quais tipos de conexões são permitidas conexões de entrada (não criptografadas, PSK ou certificado). Um ou mais valores podem ser especificados.

TLSConnect é usado nos arquivos de configuração do proxy Zabbix (no modo ativo, especifica apenas conexões com o servidor) e agente Zabbix (para verificações ativas). No frontend do Zabbix, o equivalente do TLSConnect é o Conexões ao host campo em Configuração → Hosts → <alguns host> → guia Criptografia e o campo Conexões ao proxy em Administração → Proxies → <algum proxy> → guia Criptografia. Se o tipo de criptografia configurado para falha de conexão, nenhuma outra criptografia tipos serão tentados.

TLSAccept é usado nos arquivos de configuração do proxy Zabbix (no modo passivo, especifica apenas conexões do servidor) e agente Zabbix (para verificações passivas). No frontend do Zabbix, o equivalente do TLSAccept é o Conexões do host campo em Configuração → Hosts → <alguns host> → aba Criptografia e o campo Conexões do proxy em Administração → Proxies → <algum proxy> → guia Criptografia.

Normalmente você configura apenas um tipo de criptografia para criptografias. Mas você pode querer mudar o tipo de criptografia, por exemplo a partir de descriptografado para baseado em certificado com tempo de inatividade e reversão mínimos possibilidade. Para alcançar isto:

  • Defina TLSAccept=unencrypted,cert no arquivo de configuração do agente e reinicie o agente Zabbix
  • Teste a conexão com o zabbix_get para o agente usando o certificado. Se funciona, você pode reconfigurar a criptografia para esse agente no Zabbix frontend na Configuração → Hosts → <algum host> → Aba Criptografia definindo Conexões ao host para "Certificado".
  • Quando o cache de configuração do servidor é atualizado (e proxy configuração é atualizada se o host for monitorado por proxy) então as conexões com esse agente serão criptografadas
  • Se tudo funcionar como esperado, você pode definir TLSAccept=cert no arquivo de configuração do agente e reinicie o agente Zabbix. Agora o agente aceitará apenas conexões baseadas em certificados criptografados. Conexões não criptografadas e baseadas em PSK serão rejeitadas.

De maneira semelhante, funciona no servidor e no proxy. Se no Zabbix frontend em configuração do host Conexões do host é definido como "Certificado" e somente conexões criptografadas baseadas em certificado serão aceitas do agent (verificações ativas) e zabbix_sender (itens do trapper).

Muito provavelmente você irá configurar conexões de entrada e saída para usar o mesmo tipo de criptografia ou nenhuma criptografia. Mas tecnicamente é possível configurá-lo assimetricamente, por ex. baseado em certificado criptografia para conexões de entrada e baseadas em PSK para conexões de saída.

A configuração de criptografia para cada host é exibida no Zabbix frontend, em Configuração → Hosts na coluna Criptografia do agente. Por exemplo:

|Exemplo|Conexões ao host|Conexões permitidas do host|Conexões rejeitadas do host| |-------|-------------------|--------------------- --------|------------------------------| |none_none.png|Unencrypted|Unencrypted|Criptografado, certificado e criptografado com base em PSK| |cert_cert.png|Criptografado, baseado em certificado|Criptado, baseado em certificado|Não criptografado e criptografado com base em PSK| |psk_psk.png|Criptografado, baseado em PSK|Criptado, baseado em PSK|Não criptografado e criptografado com base em certificado| |psk_none_psk.png|Criptografado, baseado em PSK|Criptografia não criptografada e baseada em PSK|Criptografia baseada em certificado| |cert_all.png|Criptografado, baseado em certificado|Não criptografado, PSK ou criptografado baseado em certificado|-|

::: não importante As conexões não são criptografadas por padrão. Criptografia deve ser configurado para cada host e proxy individualmente. :::

zabbix_get e zabbix_sender com criptografia

Veja zabbix_get e zabbix_sender manpages para usá-los com criptografia.

Ciphersuites

Ciphersuites por padrão são configurados internamente durante a inicialização do Zabbix e, antes do Zabbix 4.0.19, 4.4.7, não são configuráveis ​​pelo usuário.

Desde o Zabbix 4.0.19, 4.4.7 também os ciphersuites configurados pelo usuário são suportado para GnuTLS e OpenSSL. Os usuários podem configure ciphersuites de acordo com suas políticas de segurança. O uso deste recurso é opcional (integrado ciphersuites padrão ainda funcionam).

Para bibliotecas de criptografia compiladas com configurações padrão Zabbix built-in regras normalmente resultam nos seguintes conjuntos de cifras (em ordem de prioridade mais alta para mais baixa):

Biblioteca Certificate ciphersuites PSK ciphersuites
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128 _CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE _PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128 _CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128- SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128- CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128 -GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM- SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Ciphersuites configurados pelo usuário

Os critérios de seleção do conjunto de cifras integrados podem ser substituídos por ciphersuites configurados pelo usuário.

::: não importante Ciphersuites configurados pelo usuário é um recurso destinado para usuários avançados que entendem conjuntos de criptografia TLS, sua segurança e consequências de erros e que se sentem à vontade com o TLS solução de problemas. :::

Os critérios de seleção do ciphersuite integrados podem ser substituídos usando o seguintes parâmetros:

Substituir escopo Parâmetro Valor Descrição
Seleção de Ciphersuite para certificados TLSCipherCert13 Válido OpenSSL 1.1.1 cipher strings para protocolo TLS 1.3 (seus valores são passados ​​para a função OpenSSL SSL_CTX_set_ciphersuites()). Critérios de seleção de conjuntos de códigos baseados em certificados para TLS 1.3

Somente OpenSSL 1.1.1 ou mais recente.
TLSCipherCert OpenSSL válido strings de criptografia para TLS 1.2 ou GnuTLS válido strings de prioridade. Seus valores são passados ​​para as funções SSL_CTX_set_cipher_list() ou gnutls_priority_init(), respectivamente. Critérios de seleção de conjuntos de códigos baseados em certificados para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Seleção de Ciphersuite para PSK TLSCipherPSK13 Válido OpenSSL 1.1.1 cipher strings para protocolo TLS 1.3 (seus valores são passados ​​para a função OpenSSL SSL_CTX_set_ciphersuites()). Critérios de seleção de conjuntos de códigos baseados em PSK para TLS 1.3

Somente OpenSSL 1.1.1 ou mais recente.
TLSCipherPSK OpenSSL válido strings de criptografia para TLS 1.2 ou GnuTLS válido strings de prioridade. Seus valores são passados ​​para as funções SSL_CTX_set_cipher_list() ou gnutls_priority_init(), respectivamente. Critérios de seleção de ciphersuite baseados em PSK para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Lista combinada de ciphersuite para certificado e PSK TLSCipherAll13 Valid OpenSSL 1.1.1 cipher strings para protocolo TLS 1.3 (seus valores são passados ​​para a função OpenSSL SSL_CTX_set_ciphersuites()). Critérios de seleção de Ciphersuite para TLS 1.3

Somente OpenSSL 1.1.1 ou mais recente.
TLSCipherAll OpenSSL válido strings de criptografia para TLS 1.2 ou GnuTLS válido strings de prioridade. Seus valores são passados ​​para as funções SSL_CTX_set_cipher_list() ou gnutls_priority_init(), respectivamente. Critérios de seleção do Ciphersuite para TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Para substituir a seleção do ciphersuite em zabbix_get e zabbix_sender utilitários - use o parâmetros de linha de comando:

  • --tls-cipher13
  • --tls-cipher

Os novos parâmetros são opcionais. Se um parâmetro não for especificado, o valor padrão interno é usado. Se um parâmetro é definido, ele não pode ser vazio.

Se a configuração de um valor TLSCipher* na biblioteca de criptografia falhar, o servidor, proxy ou agente não será iniciado e um erro será registrado.

É importante entender quando cada parâmetro é aplicável.

Conexões de saída

O caso mais simples são as conexões de saída:

  • Para conexões de saída com certificado - use TLSCipherCert13 ou TLSCipherCert
  • Para conexões de saída com PSK - use TLSCipherPSK13 e TLS CipherPSK
  • No caso dos utilitários zabbix_get e zabbix_sender a linha de comando parâmetros --tls-cipher13 e --tls-cipher podem ser usados (a criptografia é especificada sem ambiguidade com um --tls-connect parâmetro)
Conexões de saída

O caso mais simples são as conexões de saída:

  • Para conexões de saída com certificado - use TLSCipherCert13 ou TLSCipherCert
  • Para conexões de saída com PSK - use TLSCipherPSK13 e TLS CipherPSK
  • No caso dos utilitários zabbix_get e zabbix_sender a linha de comando parâmetros --tls-cipher13 e --tls-cipher podem ser usados (a criptografia é especificada sem ambiguidade com um --tls-connect parâmetro)
Testando strings de cifras e permitindo apenas conjuntos de cifras PFS

Para ver quais ciphersuites foram selecionados, você precisa definir 'DebugLevel=4' no arquivo de configuração, ou use a opção -vv para zabbix_sender.

Algumas experiências com os parâmetros TLSCipher* podem ser necessárias antes de obter os conjuntos de cifras desejados. É inconveniente reiniciar Servidor, proxy ou agente Zabbix várias vezes apenas para ajustar TLSCipher* parâmetros. Opções mais convenientes estão usando zabbix_sender ou o comando openssl. Vamos mostrar os dois.

1. Usando zabbix_sender.

Vamos fazer um arquivo de configuração de teste, por exemplo /home/zabbix/test.conf, com a sintaxe de um arquivo zabbix_agentd.conf:

  Nome do host=não existente
         ServerActive=inexistente
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=inexistente
         TLSPSKFile=/home/zabbix/agent.psk

Você precisa de certificados válidos de CA e agente e PSK para este exemplo. Ajuste os caminhos e nomes de certificados e arquivos PSK para seu ambiente.

Se você não estiver usando certificados, mas apenas PSK, você pode simplificar arquivo de teste:

  Nome do host=não existente
         ServerActive=inexistente
         
         TLSConnect=psk
         TLSPSKIdentity=inexistente
         TLSPSKFile=/home/zabbix/agentd.psk

Os ciphersuites selecionados podem ser vistos executando zabbix_sender (exemplo compilado com OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k item_não-existente -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: depuração: zbx_tls_init_child () ciphersuites de certificados: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-MCG-SHA256 ECDHE-RSA-AES de 128 SHA256 ECDHE-RSA-AES128-SHA AES128-MCG-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: depuração: zbx_tls_init_child () PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES de 128 CBC-SHA256 ECDHE-PSK-AES de 128 CBC-SHA PSK-AES128-MCG-SHA256 PSK-AES de 128 CCM8 PSK-AES de 128 CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: depuração: zbx_tls_init_child () certificado e PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-MCG-SHA256 ECDHE-RSA-AES de 128 SHA256 ECDHE-RSA-AES128-SHA AES128-MCG-SHA256 AES128-CCM8 AES128 -CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Aqui você vê os conjuntos de cifras selecionados por padrão. Esses valores padrão são escolhidos para garantir a interoperabilidade com os agentes Zabbix rodando em sistemas com versões mais antigas do OpenSSL (de 1.0.1).

Com sistemas mais novos, você pode optar por aumentar a segurança permitindo apenas um alguns conjuntos de cifras, e. apenas ciphersuites com PFS (Perfect Forward Segredo). Vamos tentar permitir apenas ciphersuites com PFS usando Parâmetros TLSCipher*.

::: não importante O resultado não será interoperável com sistemas usando OpenSSL 1.0.1 e 1.0.2, se PSK for usado. Baseado em certificado criptografia deve funcionar. :::

Adicione duas linhas ao arquivo de configuração test.conf:

  TLSCipherCert=EECDH+aRSA+AES128
         TLS CipherPSK=kECDHEPSK+AES128

e teste novamente:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k item_não-existente -o 1 2>&1 | grep ciphersuites
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificados ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES1128-SHA256 ECDHE-RSA-AES1128-SHA256
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() Ciphersuites PSK: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         zabbix_sender [42892]: depuração: zbx_tls_init_child () certificado e PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-MCG-SHA256 ECDHE-RSA-AES de 128 SHA256 ECDHE-RSA-AES128-SHA AES128-MCG-SHA256 AES128-CCM8 AES128 -CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

As listas "certificate ciphersuites" e "PSK ciphersuites" foram alteradas - eles são mais curtos do que antes, contendo apenas conjuntos de cifras TLS 1.3 e TLS 1.2 ECDHE-* ciphersuites conforme esperado.

2. TLSCipherAll e TLSCipherAll13 não podem ser testados com zabbix_sender; eles não afetam "certificados e conjuntos de cifras PSK" valor mostrado no exemplo acima. Para ajustar TLScipherAll e TLSCipherAll13 você precisa experimentar com o agente, proxy ou servidor.

Portanto, para permitir apenas conjuntos de cifras PFS, você pode precisar adicionar até três parâmetros

  TLSCipherCert=EECDH+aRSA+AES128
         TLS CipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

para zabbix_agentd.conf, zabbix_proxy.c

Mudando de AES128 para AES256

O Zabbix usa o AES128 como padrão interno para dados. Vamos supor que você está usando certificados e deseja mudar para AES256, no OpenSSL 1.1.1.

Isso pode ser feito adicionando os respectivos parâmetros em zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

::: não importante Embora apenas conjuntos de criptografia relacionados a certificados será usado, os parâmetros TLSCipherPSK* também são definidos para evitar seus valores padrão que incluem cifras menos seguras para interoperabilidade. Ciphersuites PSK não podem ser completamente desabilitados em servidor/proxy. :::

E em zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy