13 Slepeno datu glabāšana
Pārskats
Zabbix var konfigurēt tā, lai izgūtu sensitīvu informāciju no drošas glabātuves. Tiek atbalstīti šādi noslēpumu pārvaldības pakalpojumi: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Noslēpumus var izmantot, lai izgūtu:
- lietotāja makro vērtības
- datubāzes piekļuves akreditācijas datus
Zabbix nodrošina tikai lasīšanas piekļuvi glabātuvē esošajiem noslēpumiem, pieņemot, ka noslēpumus pārvalda kāds cits.
Informāciju par konkrēta glabātuves nodrošinātāja konfigurāciju skatiet:
Slepeno vērtību kešošana
Pēc noklusējuma glabātuves slepeno makro vērtības Zabbix serveris iegūst katrā konfigurācijas datu atsvaidzināšanas reizē un pēc tam saglabā konfigurācijas kešatmiņā. Zabbix starpniekserveris saņem glabātuves slepeno makro vērtības no Zabbix servera katrā konfigurācijas sinhronizācijas reizē un saglabā tās savā konfigurācijas kešatmiņā.
Starp Zabbix serveri un starpniekserveri jābūt iespējotai šifrēšanai; pretējā gadījumā servera brīdinājuma ziņojums tiek ierakstīts žurnālā.
Ir iespējams arī konfigurēt, lai makro vērtības Zabbix serveris un Zabbix starpniekserveris iegūtu neatkarīgi.
Lai manuāli aktivizētu kešoto slepeno vērtību atsvaidzināšanu no glabātuves, izmantojiet komandrindas opciju 'secrets_reload'.
Zabbix lietotāja saskarnes datubāzes akreditācijas datu kešošana pēc noklusējuma ir atspējota, taču to var iespējot, iestatot opciju $DB['VAULT_CACHE'] = true failā zabbix.conf.php. Akreditācijas dati tiks saglabāti lokālajā kešatmiņā, izmantojot failu sistēmas pagaidu failu direktoriju. Tīmekļa serverim jāatļauj rakstīšana privātā pagaidu mapē (piemēram, Apache gadījumā jābūt iestatītai konfigurācijas opcijai PrivateTmp=True). Lai kontrolētu, cik bieži datu kešatmiņa tiek atsvaidzināta/invalidēta, izmantojiet konstanti ZBX_DATA_CACHE_TTL constant .
TLS konfigurācija
Lai konfigurētu TLS saziņai starp Zabbix komponentiem un glabātuvi, sistēmas mēroga noklusējuma CA krātuvē pievienojiet sertifikātu, ko parakstījusi sertifikācijas iestāde (CA). Lai izmantotu citu atrašanās vietu, norādiet direktoriju Zabbix serveris/starpniekserveris konfigurācijas parametrā SSLCALocation, ievietojiet sertifikāta failu šajā direktorijā un pēc tam palaidiet CLI komandu:
c_rehash .