13 Przechowywanie sekretów
Przegląd
Zabbix można skonfigurować tak, aby pobierał poufne informacje z bezpiecznego sejfu. Obsługiwane są następujące usługi zarządzania sekretami: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Sekrety mogą być używane do pobierania:
- wartości makr użytkownika
- poświadczeń dostępu do bazy danych
Zabbix zapewnia dostęp tylko do odczytu do sekretów w sejfie, przy założeniu, że sekretami zarządza ktoś inny.
Aby uzyskać informacje o konfiguracji konkretnego dostawcy sejfu, zobacz:
Buforowanie wartości sekretów
Domyślnie wartości makr sekretów z vault są pobierane przez serwer Zabbix przy każdym odświeżeniu danych konfiguracyjnych, a następnie przechowywane w pamięci podręcznej konfiguracji. Zabbix proxy otrzymuje wartości makr sekretów z vault od serwera Zabbix przy każdej synchronizacji konfiguracji i przechowuje je we własnej pamięci podręcznej konfiguracji.
Szyfrowanie musi być włączone między serwerem Zabbix a proxy; w przeciwnym razie rejestrowany jest komunikat ostrzegawczy serwera.
Można również skonfigurować, aby wartości makr były pobierane niezależnie przez serwer Zabbix i Zabbix proxy.
Aby ręcznie wywołać odświeżenie buforowanych wartości sekretów z vault, użyj opcji wiersza poleceń 'secrets_reload' option.
W przypadku poświadczeń bazy danych Zabbix frontend buforowanie jest domyślnie wyłączone, ale można je włączyć, ustawiając opcję $DB['VAULT_CACHE'] = true w pliku zabbix.conf.php. Poświadczenia będą przechowywane w lokalnej pamięci podręcznej z użyciem tymczasowego katalogu systemu plików. Serwer WWW musi zezwalać na zapis w prywatnym folderze tymczasowym (na przykład dla Apache musi być ustawiona opcja konfiguracyjna PrivateTmp=True). Aby kontrolować, jak często pamięć podręczna danych jest odświeżana/unieważniana, użyj stałej ZBX_DATA_CACHE_TTL constant .
Konfiguracja TLS
Aby skonfigurować TLS do komunikacji między komponentami Zabbix a skarbcem, dodaj certyfikat podpisany przez urząd certyfikacji (CA) do domyślnego magazynu CA dla całego systemu. Aby użyć innej lokalizacji, określ katalog w parametrze konfiguracyjnym SSLCALocation Zabbix serwer/proxy, umieść plik certyfikatu w tym katalogu, a następnie uruchom polecenie CLI:
c_rehash .