Zabbix如何实现Server和Agent的通信加密

一、加密介绍

1、总览

Zabbix版本从3.0之后，开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密，加密方式有预共享密钥(PSK)和证书加密。

加密配置是可选项，一些proxies和agents可以使用证书认证加密通信，另外一些可以使用PSK加密通信，而剩余的可以不使用加密进行通信。

关于porxy的配置设备，我这里就不在介绍了，大家可以去看官方文档。

但是并不是所有的通信都进行了加密，下面的几点就是没有覆盖到。

Private keys are stored in plain text in files readable by Zabbix components during startup.
Pre-shared keys are entered in Zabbix frontend and stored in Zabbix database in plain text.
Built-in encryption does not protect communications:
- between web server running Zabbix frontend and user web browser,
- between Zabbix frontend and Zabbix server,
- between Zabbix server (proxy) and Zabbix database.
Currently each encrypted connection opens with a full TLS handshake, no session caching and tickets are implemented.
Adding encryption increases time of checks and actions, depending on network latency.
For example, if packet delay is 100ms then opening a TCP connection and sending unencrypted request takes around 200ms.
With encryption about 1000 ms are added for establishing TLS connection.
Timeouts may need to be increased, otherwise some items and actions running remote scripts on agents may work with unencrypted connections but fail with timeout with encrypted.
Encryption is not supported by network discovery. Zabbix agent checks performed by network discovery will be unencrypted and if Zabbix agent is configured to reject unencrypted connections such checks will not succeed.

2、编译支持加密功能

要想支持加密功能，我们必须在编译安装的时候把加密库编译进Zabbix里面。

编译的时候加上 --with-openssl

./configure \
--prefix=/usr/local/zabbix \
--sysconfdir=/etc/zabbix \
--enable-server \
--enable-agent \
--with-mysql \
--with-net-snmp \
--with-libcurl \
--with-openssl

二、使用预共享密钥(PSK)

1、生成psk

# openssl rand -hex 32
af8ced32dfe8714e548694e2d29e1a14ba6fa13f216cb35c19d0feb1084b0429

2、配置agent

创建一个文件/etc/zabbix/zabbix_agentd.conf.d/zabbix_agentd.psk，存入刚刚生成的psk。

编辑/etc/zabbix/zabbix_agentd.conf，添加如下内容。

TLSConnect=psk
TLSAccept=psk
TLSPSKFile=/etc/zabbix/zabbix_agentd.conf.d/zabbix_agentd.psk
TLSPSKIdentity=PSK 001

然后重启agent，在server上面测试看看加密连接。

zabbix_get -s 127.0.0.1 -k "system.cpu.load[all,avg1]" --tls-connect=psk --tls-psk-identity="PSK 001" --tls-psk-file=/etc/zabbix/zabbix_agentd.conf.d/zabbix_agentd.psk

测试下来没有什么问题，那我们就配置WEB页面。

等待一段时间，就生效了哦。

三、使用证书通信加密

待完成……

参考文档：https://www.zabbix.com/documentation/3.2/manual/encryption/using_pre_shared_keys

转载于:https://blog.51cto.com/wzlinux/1943419

Zabbix如何实现Server和Agent的通信加密相关推荐

Zabbix安装（server和agent）及基本配置
简介 zabbix([`zæbiks])是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案. zabbix能监视各种网络参数,保证服务器系统的安全运营:并提供灵活的通知机制 ...
Zabbix(一)：server，agent端安装配置及主机，监控项，触发器，动作，媒介配置步骤...
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案. zabbix能监视各种网络参数,保证服务器系统的安全运营:并提供柔软的通知机制以让系统管理员快速定位/解决 ...
Zabbix监控学习系列(2):agent的安装与Server端添加客户端
Zabbix监控学习系列(2) 简介描述 1. windows的客户端安装 1. 1手动安装包安装,安装过程中配置 1. 2免安装压缩包,解压后修改配置文件 2. Linux的客户端安装 3.在Zab ...
zabbix监控系统下——zabbix实现数据库监控、对JMX的支持、server和agent的关系、zabbix监控报警平台
目录五.zabbix实现数据库监控 1.在agent端设置 2.在浏览器前端设置六.zabbix对JMX(Java)应用的支持七.server和agent的关系 1.agent端的信息采集变被动 ...
sq服务启动后又停止_SQL SERVER SQL Agent 服务启动后又停止的解决办法
查看事件查看器.应用程序日志.报错的显示. 无法加载 DLL xplog70.dll 或它引用的一个 DLL.原因: 126(找不到指定的模块.). 安全起见,我更名了sqlserver bin下的x ...
ES集群内部、外部通信加密以及身份认证
前言本章主要实操如何对ES集群进行身份认证和用户鉴权以及ES集群内部之间,集群外部通信加密. 一.身份认证为ES添加身份认证和用户鉴权(RBAC),7.X以后的ES版本可以免费试用Xpack的基础 ...
APP和后端HTTP通信加密思路
这篇博客主要介绍笔者做app加密的具体思路 1.浅谈https https是目前应用最广泛的接口通信加密方式之一了,优点我就不说了(大家自行百度). 主要的两个缺点 a.有一定的技术门槛 b.花钱(最 ...
通信加密和解密，公钥，私钥，CA
监听模式:打开ip和端口＝套接字等待别人来连接为众所周知的服务--固定的端口<1024 客户端程序都是打开一个大于40000 的端口一个主机与另外主机进程通信过程: 客户端应用层进程本身负 ...
达梦数据库登录“6061:通信加密协商失败”的解决办法
问题: 达梦数据库开启了应用层通信加密,也就是COMM_ENCRYPT_NAME设置了加密算法,然后manager等java类型的客户端就无法登录了,然disql命令行工具还是可以登录. 直觉告诉我这 ...

Zabbix如何实现Server和Agent的通信加密

Zabbix如何实现Server和Agent的通信加密相关推荐

最新文章

热门文章