Zabbix 3.2에서 Server <=> Agent 암호화

3799 단어 zabbix
Zabbix의 Agent <=> Server 통신으로 인터넷을 넘어도 감시 내용이 누락되지 않도록 암호화합니다.
이번에는 PSK(pre-shared keys)를 이용하여 암호화합니다.

환경


  • OS X EI Captian (10.11.6)
  • Zabbix 3.2.1

  • Mac에의 설치는 이하에서 실시하고 있다. 또한, TLS를 ON으로 하기 위해서, configure시에 --with-gnutls 를 잊지 않도록 한다.
  • ぃ tp // 코 m / 와파 5 포 w / ms / 후 3d89580bc78 후 53f50

  • 키 만들기



    GnuTLS로 키를 만듭니다. GnuTLS를 설치하지 않은 경우 brew install gnutls로 미리 둡니다.
    $ cd /var/tmp
    $ psktool -u zabbix_agent -p database.psk -s 32
    
    Generating a random key for user 'zabbix_agent'
    Key stored to database.psk
    

    그러면 database.psk에 열쇠가 있으므로 cat 등으로 확인합니다.
    zabbix_agent:a3107a610fb59c4a67d1ec8a836f8cca47dacabf8b85deb57a980184e04a67e7
    

    에이전트 구성 업데이트


    /usr/local/etc/zabbix/zabbix_agentd.psk 에 앞서 열쇠를 넣을 수 있습니다. 다만 유저명은 필요 없기 때문에, 열쇠의 부분만 격납합니다.
    echo "a3107a610fb59c4a67d1ec8a836f8cca47dacabf8b85deb57a980184e04a67e7" > /usr/local/etc/zabbix/zabbix_agentd.psk
    

    PSK를 사용하여 통신하도록 구성 파일 /usr/local/etc/zabbix_agentd.conf를 업데이트합니다.
    TLSConnect=psk
    TLSAccept=psk
    TLSPSKIdentity=zabbix_agent
    TLSPSKFile=/usr/local/etc/zabbix/zabbix_agentd.psk
    

    서버 설정 업데이트



    웹 UI에서 다음과 같이 설정합니다.



    모든 설정이 끝나면 Agent와 Server를 다시 시작합니다.

    문제해결



    올바르게 구성할 수 없는 경우 로그를 보고 TLS가 사용 가능한지 확인하십시오.
    로그에서 다음과 같이 TLS support가 NO로 설정되어 있으면 TLS 지원되지 않으므로 --with-gnutls를 붙여서 Zabbix 자체를 다시 설치하십시오.
      6525:20161024:105752.796 ****** Enabled features ******
      6525:20161024:105752.796 SNMP monitoring:           YES
      6525:20161024:105752.796 IPMI monitoring:            NO
      6525:20161024:105752.796 Web monitoring:            YES
      6525:20161024:105752.796 VMware monitoring:          NO
      6525:20161024:105752.796 SMTP authentication:       YES
      6525:20161024:105752.796 Jabber notifications:       NO
      6525:20161024:105752.796 Ez Texting notifications:  YES
      6525:20161024:105752.796 ODBC:                       NO
      6525:20161024:105752.796 SSH2 support:               NO
      6525:20161024:105752.796 IPv6 support:               NO
      6525:20161024:105752.796 TLS support:                NO
      6525:20161024:105752.796 ******************************
    

    추가 사항 : PSK로 암호화하면 zabbix_get을 그대로 사용할 수 없습니다.



    피하기 위해 다음과 같이
    zabbix_get -s localhost -k proc.num[ruby,,,td-agent] --tls-connect=psk --tls-psk-identity=zabbix_agent --tls-psk-file=/usr/local/etc/zabbix/zabbix_agentd.psk
    

    참고


  • Zabbix Documentation 3.2 - Encryption
  • Zabbix Documentation 3.2 - Using pre-shared keys
  • ぃ tp // 코 m / 따뜻한 7 / ms / 2 ~ f1fd6 ~ 12f1 ~ 4075f
  • ぃ tp // 코 m / s 코노 / ms / d01793bf85116 A26 A9 A8
  • 좋은 웹페이지 즐겨찾기