4 Geheime Benutzermakros
Übersicht
Zabbix bietet zwei Optionen zum Schutz sensibler Informationen in Benutzer-Makrowerten:
- Geheimer Text
- Vault-Geheimnis
Obwohl der Wert eines geheimen Makros ausgeblendet ist, kann er durch die Verwendung in Datenpunkten offengelegt werden.
Beispielsweise kann in einem externen Skript eine echo-Anweisung, die auf ein geheimes Makro verweist, verwendet werden, um den Makrowert im Frontend offenzulegen, da der Zabbix Server Zugriff auf den tatsächlichen Makrowert hat.
Siehe Orte, an denen geheime Makrowerte eingeblendet werden.
Geheime Makros können nicht in Auslöser-Ausdrücken verwendet werden.
Geheimer Text
Bei Makros vom Typ „Geheimer Text“ wird der Makrowert mit Sternchen maskiert.
Um einen Makrowert geheim zu machen, klicken Sie auf die Schaltfläche am Ende des Feldes Wert und wählen Sie die Option Geheimer Text aus:
Sobald die Konfiguration gespeichert ist, kann der Wert nicht mehr angezeigt werden.
Um den Makrowert zu ändern, bewegen Sie den Mauszeiger über das Feld Wert und klicken Sie auf die Schaltfläche Neuen Wert festlegen (erscheint beim Darüberfahren):
Wenn Sie auf die Schaltfläche Neuen Wert festlegen klicken (oder den Typ des Makrowerts ändern), wird der aktuelle Wert gelöscht.
Sie können den ursprünglichen Wert wiederherstellen, indem Sie auf den Pfeil 
am Ende des Feldes Wert klicken (nur verfügbar, bevor die neue Konfiguration gespeichert wird).
Beachten Sie, dass durch das Wiederherstellen des ursprünglichen Werts dieser nicht offengelegt wird.
URLs, die ein geheimes Makro enthalten, funktionieren nicht, da das Makro darin als "******" aufgelöst wird.
Vault-Geheimnis
Bei Vault-Geheimnismakros wird der Makrowert in einer externen Software zur Verwaltung von Geheimnissen (Vault) gespeichert.
Um ein Vault-Geheimnismakro zu konfigurieren, klicken Sie auf die Schaltfläche am Ende des Feldes Wert und wählen Sie die Option Vault-Geheimnis aus:
Der Makrowert muss auf ein Vault-Geheimnis verweisen. Das Eingabeformat hängt vom Vault-Anbieter ab. Anbieterspezifische Konfigurationsbeispiele finden Sie unter:
Werte von Vault-Geheimnis-Makros werden vom Vault durch den Zabbix Server abgerufen (und durch den Zabbix Proxy, wenn Resolve secret vault macros by auf Zabbix server and proxy gesetzt ist), und zwar bei jeder Aktualisierung der Konfigurationsdaten; anschließend werden sie im Konfigurations-Cache gespeichert. Zabbix Server und Zabbix Proxy können unterschiedliche Vaults verwenden.
Wenn Resolve secret vault macros by auf Zabbix server gesetzt ist, dann werden Vault-Geheimnisse nur vom Server abgerufen, und der Zabbix Proxy erhält die Werte der Vault-Geheimnis-Makros bei jeder Konfigurationssynchronisierung vom Zabbix Server und speichert sie in seinem eigenen Konfigurations-Cache. Das bedeutet, dass ein Zabbix Proxy nach einem Neustart die Datenerfassung erst starten kann, nachdem er die Konfigurationsaktualisierung vom Zabbix Server erhalten hat.
Um Geheimniswerte manuell aus dem Vault zu aktualisieren, verwenden Sie die Option secrets_reload der Laufzeitsteuerung (nur Server).
Die Verschlüsselung zwischen Zabbix Server und Proxy muss aktiviert sein; andernfalls wird eine Server-Warnmeldung protokolliert.
Wenn ein Makrowert nicht erfolgreich abgerufen werden kann, wird der entsprechende Datenpunkt, der diesen Wert verwendet, nicht unterstützt.
Nicht maskierte Speicherorte
Diese Liste enthält Speicherorte von Parametern, an denen Werte geheimer Makros nicht maskiert werden.
Werte geheimer Makros bleiben an den unten aufgeführten Speicherorten maskiert, wenn sie indirekt referenziert werden.
Zum Beispiel werden {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} integrierte Makros, die in Medientypen (Skript- oder Webhook-Parameter) verwendet werden, zu Datenpunktschlüsseln aufgelöst, die maskierte geheime Makros enthalten, wie z. B. net.tcp.port[******,******] anstelle von net.tcp.port[192.0.2.0,80].
| Kontext | Parameter | |
|---|---|---|
| Datenpunkte, Datenpunktprototypen, LLD-Regeln | ||
| Datenpunkt | Datenpunktschlüsselparameter | |
| Datenpunktprototyp | Datenpunktprototyp-Schlüsselparameter | |
| Low-level-Discovery-Regel | Schlüsselparameter des Discovery-Datenpunkts | |
| SNMP-Agent | SNMP-Community | |
| Kontextname (SNMPv3) | ||
| Sicherheitsname (SNMPv3) | ||
| Authentifizierungs-Passphrase (SNMPv3) | ||
| Privacy-Passphrase (SNMPv3) | ||
| HTTP-Agent | URL | |
| Abfragefelder | ||
| Request-Body | ||
| Header | ||
| Benutzername | ||
| Passwort | ||
| SSL-Schlüsselpasswort | ||
| Skript | Parameter | |
| Skript | ||
| Browser | Parameter | |
| Skript | ||
| Datenbankmonitor | SQL-Abfrage | |
| TELNET-Agent | Skript | |
| Benutzername | ||
| Passwort | ||
| SSH-Agent | Skript | |
| Benutzername | ||
| Passwort | ||
| Einfacher Check | Benutzername | |
| Passwort | ||
| JMX-Agent | Benutzername | |
| Passwort | ||
| Vorverarbeitung von Datenpunktwerten | ||
| JavaScript-Vorverarbeitungsschritt | Skript | |
| Webszenarien | ||
| Webszenario | Variablenwert | |
| Header-Wert | ||
| URL | ||
| Abfragefeldwert | ||
| Post-Feldwert | ||
| Roh-Postdaten | ||
| Webszenario-Authentifizierung | Benutzer | |
| Passwort | ||
| SSL-Schlüsselpasswort | ||
| Konnektoren | ||
| Konnektor | URL | |
| Benutzername | ||
| Passwort | ||
| Token | ||
| HTTP-Proxy | ||
| SSL-Zertifikatsdatei | ||
| SSL-Schlüsseldatei | ||
| SSL-Schlüsselpasswort | ||
| Netzwerkerkennung | ||
| SNMP | SNMP-Community | |
| Kontextname (SNMPv3) | ||
| Sicherheitsname (SNMPv3) | ||
| Authentifizierungs-Passphrase (SNMPv3) | ||
| Privacy-Passphrase (SNMPv3) | ||
| Globale Skripte | ||
| Webhook | JavaScript-Skript | |
| JavaScript-Skriptparameterwert | ||
| Telnet | Benutzername | |
| Passwort | ||
| SSH | Benutzername | |
| Passwort | ||
| Skript | Skript | |
| Medientypen | ||
| Skript | Skriptparameter | |
| Webhook | Parameter | |
| IPMI-Verwaltung | ||
| Host | Benutzername | |
| Passwort | ||