13 Slepeno datu glabāšana
Pārskats
Zabbix var konfigurēt tā, lai izgūtu sensitīvu informāciju no drošas glabātuves. Tiek atbalstīti šādi slepeno datu pārvaldības pakalpojumi: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Slepenos datus var izmantot, lai izgūtu:
- lietotāja makro vērtības
- datubāzes piekļuves akreditācijas datus
Zabbix nodrošina tikai lasīšanas piekļuvi glabātuvē esošajiem slepenajiem datiem, pieņemot, ka šos slepenos datus pārvalda kāds cits.
Informāciju par konkrēta glabātuves nodrošinātāja konfigurāciju skatiet:
Slepeno vērtību kešošana
Pēc noklusējuma vault slepeno makro vērtības Zabbix serveris izgūst katrā konfigurācijas datu atsvaidzināšanas reizē un pēc tam saglabā konfigurācijas kešatmiņā. Zabbix starpniekserveris saņem vault slepeno makro vērtības no Zabbix servera katrā konfigurācijas sinhronizācijā un saglabā tās savā konfigurācijas kešatmiņā.
Starp Zabbix serveri un starpniekserveri ir jābūt iespējotai šifrēšanai; pretējā gadījumā servera brīdinājuma ziņojums tiek reģistrēts žurnālā.
Ir arī iespējams konfigurēt, lai makro vērtības Zabbix serveris un Zabbix starpniekserveris izgūtu neatkarīgi.
Lai manuāli aktivizētu kešoto slepeno vērtību atsvaidzināšanu no vault, izmantojiet komandrindas opciju secrets_reload.
Zabbix lietotāja saskarnes datubāzes akreditācijas datu kešošana pēc noklusējuma ir atspējota, taču to var iespējot, zabbix.conf.php failā iestatot opciju $DB['VAULT_CACHE'] = true. Akreditācijas dati tiks saglabāti lokālā kešatmiņā, izmantojot failu sistēmas pagaidu failu direktoriju. Tīmekļa serverim ir jāatļauj rakstīšana privātā pagaidu mapē (piemēram, Apache gadījumā ir jāiestata konfigurācijas opcija PrivateTmp=True). Lai kontrolētu, cik bieži datu kešatmiņa tiek atsvaidzināta/nederīga, izmantojiet ZBX_DATA_CACHE_TTL konstanti .
TLS konfigurācija
Lai konfigurētu TLS saziņai starp Zabbix komponentiem un vault, pievienojiet sertifikātu, ko parakstījusi sertifikātu iestāde (CA), sistēmas noklusējuma CA krātuvei. Lai izmantotu citu atrašanās vietu, norādiet direktoriju Zabbix serveris/starpniekserveris konfigurācijas parametrā SSLCALocation, ievietojiet sertifikāta failu šajā direktorijā, pēc tam palaidiet CLI komandu:
c_rehash .