Главная

Monday, 8 February 2021

Настройка шифрованного подключения агента Zabbix.

Всем привет.

Если данные от с zabbix-агентов поступают на zabbix-сервер через интернет и при этом не используется vpn канал, то рекомендуется всегда включать шифрованние передачи данных. Для этого используется наиболее простой вариант шифрования с применением pre-shared ключей.

Для этого в конфигурацию агента zabbix_agent.conf добавляем следующие параметры:

TLSConnect=psk

TLSAccept=unencrypted,psk

TLSPSKFile=/etc/zabbix/zabbix_agentd.psk

TLSPSKIdentity=HOST-PSK

Выполняем генерация PSK-ключа, которую можно выполнить где угодно, а потом перенести файл zabbix_agentd.psk.

host-agent# openssl rand -hex 32 > /etc/zabbix/zabbix_agentd.psk

Перестартовываем агента:

host-agent# service zabbix-agent restart

В свойствах хоста на zabbix-сервере в отдельной вкладке Encryption, настраиваем PSK-ключ нашего хоста.


Обращаю внимание что надо ставить галочки PSK в "Соединения с узла сети"  и  в "Подключения к узлу сети", т.е. обязательно должно быть выбрано PSK и там, и там.

Теперь можем выполнить проверку PSK-соединения:

- для этого сначала перекинем ключ агента на zabbix-сервер:

host-agent# scp /etc/zabbix/zabbix_agentd.psk server:agent01.psk

- посылаем get-запрос:

server# zabbix_get -s hots-agent -k agent.version --tls-connect=psk --tls-psk-identity="HOST-PSK" --tls-psk-file=anget01.psk

Для Windows клиентов также есть возможность устанавливать агента со встроенным SSL-шифрованием. Для этого нужно указать "Enable PSK" во время его инсталяции. 


На следующем шаге вы укажите PSK Identity получите искомый PSK-ключ.

Вот и все. Успехов.

1 comment:

  1. Сам агент должен быть с поддержкой SSL!

    ReplyDelete

А что вы думаете по этому поводу?