Если данные от с zabbix-агентов поступают на zabbix-сервер через интернет и при этом не используется vpn канал, то рекомендуется всегда включать шифрованние передачи данных. Для этого используется наиболее простой вариант шифрования с применением pre-shared ключей.
Для этого в конфигурацию агента zabbix_agent.conf добавляем следующие параметры:
TLSConnect=psk
TLSAccept=unencrypted,psk
TLSPSKFile=/etc/zabbix/zabbix_agentd.psk
TLSPSKIdentity=HOST-PSK
Выполняем генерация PSK-ключа, которую можно выполнить где угодно, а потом перенести файл zabbix_agentd.psk.
host-agent# openssl rand -hex 32 > /etc/zabbix/zabbix_agentd.psk
Перестартовываем агента:
host-agent# service zabbix-agent restart
В свойствах хоста на zabbix-сервере в отдельной вкладке Encryption, настраиваем PSK-ключ нашего хоста.
Обращаю внимание что надо ставить галочки PSK в "Соединения с узла сети" и в "Подключения к узлу сети", т.е. обязательно должно быть выбрано PSK и там, и там.
Теперь можем выполнить проверку PSK-соединения:
- для этого сначала перекинем ключ агента на zabbix-сервер:
host-agent# scp /etc/zabbix/zabbix_agentd.psk server:agent01.psk
- посылаем get-запрос:
server# zabbix_get -s hots-agent -k agent.version --tls-connect=psk --tls-psk-identity="HOST-PSK" --tls-psk-file=anget01.psk
Для Windows клиентов также есть возможность устанавливать агента со встроенным SSL-шифрованием. Для этого нужно указать "Enable PSK" во время его инсталяции.
На следующем шаге вы укажите PSK Identity получите искомый PSK-ключ.
Вот и все. Успехов.
Сам агент должен быть с поддержкой SSL!
ReplyDelete