13 Przechowywanie sekretów
Przegląd
Zabbix może być skonfigurowany do pobierania poufnych informacji z bezpiecznego sejfu. Obsługiwane są następujące usługi zarządzania sekretami: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Sekrety mogą być używane do pobierania:
- wartości makr użytkownika
- poświadczeń dostępu do bazy danych
Zabbix zapewnia dostęp tylko do odczytu do sekretów w sejfie, zakładając, że sekretami zarządza ktoś inny.
Aby uzyskać informacje o konfiguracji konkretnego dostawcy sejfu, zobacz:
Buforowanie wartości tajnych
Domyślnie wartości makr tajnych z vault są pobierane przez serwer Zabbix przy każdym odświeżeniu danych konfiguracyjnych, a następnie zapisywane w pamięci podręcznej konfiguracji. Proxy Zabbix otrzymuje wartości makr tajnych z vault od serwera Zabbix przy każdej synchronizacji konfiguracji i zapisuje je we własnej pamięci podręcznej konfiguracji.
Między serwerem Zabbix a proxy musi być włączone szyfrowanie; w przeciwnym razie w dzienniku zostanie zapisany komunikat ostrzegawczy serwera.
Możliwe jest również skonfigurowanie, aby wartości makr były pobierane niezależnie przez serwer Zabbix i proxy Zabbix.
Aby ręcznie wymusić odświeżenie buforowanych wartości tajnych z vault, użyj opcji wiersza poleceń secrets_reload.
W przypadku poświadczeń bazy danych frontend Zabbix buforowanie jest domyślnie wyłączone, ale można je włączyć, ustawiając opcję $DB['VAULT_CACHE'] = true w pliku zabbix.conf.php. Poświadczenia będą przechowywane w lokalnej pamięci podręcznej z użyciem katalogu tymczasowych plików systemu plików. Serwer WWW musi zezwalać na zapis w prywatnym katalogu tymczasowym (na przykład w przypadku Apache należy ustawić opcję konfiguracji PrivateTmp=True). Aby kontrolować, jak często pamięć podręczna danych jest odświeżana/unieważniana, użyj stałej ZBX_DATA_CACHE_TTL constant .
Konfiguracja TLS
Aby skonfigurować TLS dla komunikacji między komponentami Zabbix a sejfem, dodaj certyfikat podpisany przez urząd certyfikacji (CA) do systemowego domyślnego magazynu CA. Aby użyć innej lokalizacji, określ katalog w parametrze konfiguracji SSLCALocation Zabbix serwer/proxy, umieść plik certyfikatu w tym katalogu, a następnie uruchom polecenie CLI command:
c_rehash .