深入浅出Zabbix 3.0 -- 第十九章 数据加密通信

最新推荐文章于 2024-06-08 13:20:27 发布
最新推荐文章于 2024-06-08 13:20:27 发布
阅读量2.8k 收藏 3
点赞数 1
分类专栏: Zabbix 文章标签: Zabbix 监控 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clm_sky/article/details/90574779
版权

第十九章 数据加密通信

近日完成《深入浅出 zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.csdn.net/course/detail/24870

Zabbix 3.0中非常重要的一个特性就是支持对Zabbixserver、Zabbix proxy、Zabbix agent、zabbix_sender和zabbix_get之间的通信进行加密,支持Certificate-based(基于证书)和pre-shared key-based(基于预共享秘钥)的加密,不再像早期版本那样需要额外的解决方案。

Zabbix 3.0中加密是独立组件,作为配置选项进行配置时非常灵活,可以针对不同的hosts设置不同的加密方式。例如有些proxy 和agents配置使用Certificate-based加密和server之间的通信,有些使用pre-sharedkey-based加密,而另外一些没有配置加密。如下图19-1所示。

 

                            

图 19-1

 

19.1编译Zabbix支持加密

Zabbix使用Transport LayerSecurity (TLS) protocol v1.2进行加密,为了让Zabbix支持加密功能,在源码编译安装时必须要链接到下面三个加密库中的其中一个。

  • mbed TLS:早期也叫PolarSSL,目前仅支持1.3.x版本。注意不支持2.x版本。

  • GnuTLS:支持v3.1.18及更高的版本。

  • OpenSSL:支持v1.0.1及更高的版本。

根据你的选择,configure脚本可以使用下面的某个选项:

  • --with-mbedtls[=DIR]

  • --with-gnutls[=DIR]

  • --with-openssl[=DIR]

例如:

# ./configure--enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp--with-libcurl --with-libxml2 --with-openssl

在编译安装Zabbix的不同组件时可以使用不同的加密库,例如server使用OpenSSL,agent使用GnuTLS。建议使用OpenSSL,在实际测试中OpenSSL是最快的,接下来是GnuTLS。

如果你使用安装包安装Zabbix组件时,默认已经支持加密功能。你可以通过查看日志文件确定Zabbix安装的功能特性。例如下面是Zabbixserver启动时显示的特性列表。

# vi/var/log/zabbix/zabbix_server.log

  1065:20150817:103017.520****** Enabled features ******

  1065:20150817:103017.520SNMP monitoring:           YES

  1065:20150817:103017.520IPMI monitoring:           YES

  1065:20150817:103017.520 Webmonitoring:           YES

  1065:20150817:103017.520VMware monitoring:        YES

  1065:20150817:103017.520SMTP authentication:        YES

  1065:20150817:103017.520Jabber notifications:         YES

  1065:20150817:103017.520 EzTexting notifications:       YES

  1065:20150817:103017.520ODBC:                     YES

  1065:20150817:103017.520SSH2 support:               YES

  1065:20150817:103017.520IPv6 support:               YES

  1065:20150817:103017.520 TLSsupport:                YES

  1065:20150817:103017.520******************************

 

 

19.2 pre-shared keys加密

Zabbix中使用PSK(pre-shared key)加密时,需要提供标识符(PSKidentity)和加密字符串(PSK string)。PSK identity是一个非空的UTF-8字符串,例如PSK ID 001 zabbix agent,在这里仅仅作为一个特定PSK的名称,方便Zabbix中各组件的引用。由于PSK identity在网络中是明文传输,因此在名称中不要涉及到敏感信息。PSK string是由十六进制组成的字符串,例如e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9。

19.2.1 长度限制

在Zabbix中使用PSK加密时,对PSK identity和PSK string长度是有限制的。在Zabbix前端页面中配置PSK identity的长度可以达到128个字符,PSK string的长度可以达到2048个bit,但也要看使用的加密库的限制。如果配置的字符串长度超过限制会导致Zabbix各组件之间通信失败。

例如Zabbix server使用PSK连接到agent之前,server会在数据库中查找agent配置的PSK identity和PSK string,当收到agent配置的PSK identity和PSK string后进行比较,如果双方具有相同的PSK identity和PSK string时将成功连接。

长度限制的参数如下表19-1所示。

表 19-1

组件

PSK identity最大长度

PSK string最小长度

PSK string最大长度

Zabbix

128 UTF-8 characters

128-bit (16-byte PSK, entered as 32 hexadecimal digits)

2048-bit (256-byte PSK, entered as 512 hexadecimal  digits)

GnuTLS

128 bytes (may include UTF-8 characters)

--

2048-bit (256-byte PSK, entered as 512 hexadecimal  digits)

mbed TLS

128 UTF-8 characters

--

256-bit (default limit) (32-byte PSK, entered as 64  hexadecimal digits)

OpenSSL

127 bytes (may include UTF-8 characters)

--

2048-bit (256-byte PSK, entered as 512 hexadecimal  digits)

19.2.2 PSK生成

在CentOS中可以使用不同的工具生成PSK,下面就以生成一个256-bit(32字节)PSK为例来看一下。

  • 使用OpenSSL

# openssl rand -hex 32

3e2b2ef85c2ad0af3410c9a495fe77d0a8741c2f1243c2af73a2e17623f70098

  • 使用GnuTLS

# yum install gnutls-utils

# psktool -u psk_identity -p mypsk.psk -s 32

Generating arandom key for user 'psk_identity'

Key stored to mypsk.psk

# cat mypsk.psk   psk_identity:9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb

使用psktool工具时会生成一个文件,格式为pskidentity:psk string,在Zabbix中使用该文件时需要把psk identity:删除,只保留psk string。

19.2.3 配置实例

19.2.3.1 配置server和agent之间使用PSK

配置步骤:

1、  在agnet主机中,将PSK string保存到一个文件中。例如 /etc/zabbix/zabbix_agentd.psk。

# vi /etc/zabbix/zabbix_agentd.psk

3e2b2ef85c2ad0af3410c9a495fe77d0a8741c2f1243c2af73a2e17623f70098

2、  设置zabbix_agentd.psk文件的访问权限。

# chown zabbix:zabbix /etc/zabbix/zabbix_agentd.psk

# chmod 644 /etc/zabbix/zabbix_agentd.psk

3、  编辑zabbix_agentd.conf配置文件。

# vi /etc/zabbix/zabbix_agentd.conf

TLSConnect=psk

TLSAccept=psk

TLSPSKFile=/etc/zabbix/zabbix_agentd.psk

TLSPSKIdentity=PSKAgent

如果agnet类型为active(主动式)agent,那么agent将连接到server并接收来自server和zabbix_get使用PSK加密的连接,PSK identity为PSK Agent。

4、  重启agent,使用zabbix_get进行测试。

# zabbix_get -s 1

最低0.47元/天 解锁文章
大白小白一起学
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
zabbix failed to accept an incoming connection: connection from “x.x.x.x“ rejected, allowed host “x“
qq_31024251的博客
10-30 3010
1. 之前zabbix 的模式 agent 配置文件内容如下: 2. 现在 启用了zabbix-proxy(192.168.17.70) 现在agent 配置文件调整为如下模式后 zabbix-agent 重启报错: failed to accept an incoming connection: connection from “x.x.x.x” rejected, allowed host “x” 3. 解决方案: zabbix-agent.conf 文件中Server 字段调整如下 4
Zabbix通过PSK共享密钥实现Server和Agent的通信加密
09-29
主要介绍了Zabbix通过PSK共享密钥实现Server和Agent的通信加密,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
解决pyzabbix.ZabbixAPI的SSL证书错误
乘风龙王的开发博客
01-17 479
解决pyzabbix.ZabbixAPI的SSL证书错误。解决方法:忽略SSL验证。适用于pyzabbix 1.0.0及以后版本。
zabbix是什么?LTS是什么意思?如何用docker安装zabbix?监控系统还有啥?linux系统中常见的监控工具有什么?
最新发布
2301_80702576的博客
06-08 655
zabbix是什么?LTS是什么意思?如何用docker安装zabbix?监控系统还有啥?linux系统中常见的监控工具有什么?
PSK在TLS中的应用
Network/Storage/Linux Kernel
02-19 1万+
PSK在TLS中的应用 之前搞TLS的过程中,PSK的概念有所了解,但是一直觉得他没什么用处,就大致看了一下实现,没深究。但是TLS1.3中居然设计到了PSK的概念,我想有必要在这里总结一下,以免忘记。 RFC 4279中详细描述了各个方面。 PSK的三种类型 PSK-only 简单的说,就是client写死一个key,server写死一个key,当然这两个key是一样的。 这个key...
图解zabbix的安装部署,在zabbix监控里添加主机的三种方式,使用API 在zabbix监控系统中查看,创建及删除监控主机
fighting
11-15 381
Zabbix简介: zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 zabbixzabbix server与可选组件zabbix agent两部门组成。 zabbix server可以通过SNMP,zabbix agent,p...
深入浅出Zabbix 3.0 -- 第九章 数据可视化
clm_sky的博客
05-23 3741
第九章数据可视化 Zabbix是一个非常灵活、强大的监控系统,它不仅能够监控大量不同类型的数据指标,并为这些数据数据之间的关联提供了多种可视化工具,通过图形、展示屏、网络拓扑图等将数据直观的展现出来,实时的浏览和查看监控设备的状态。 近日完成《深入浅出zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:h...
zabbix3.0-pgsql9.5-nginx安装
08-22
环境基于zabbix3.0、postgresql9.5,nginx文档含有基础安装和配置,修改支持中文。
zabbix-release-3.0-1.el7.noarch.rpm
11-23
Centos7搭建zabbix服务端时,所需要的zabbix3.0源文件!
zabbix-3.0-api.pdf
03-16
zabbix-3.0-api.pdf , zabbix 3.0 api pdf
zabbix安装包-zabbix-3.0.32.tar.gz
04-21
在下载并解压"zabbix-3.0.32.tar.gz"这个压缩包后,你将获得Zabbix 3.0.32版本的源代码,这允许你在支持的系统上自行编译和安装。Zabbix 3.0系列是一个稳定版本,提供了一套完整的监控工具集,适用于多种环境。 在...
zabbix_agrent-5.0.28-linux-3.0
09-21
本文将深入探讨Zabbix Agent 5.0.28在Linux 3.0操作系统中的安装、配置和使用,以帮助用户更好地理解和利用这一强大的监控工具。 首先,我们来看Zabbix Agent 5.0.28的安装。在Linux 3.0环境下,通常需要通过源码...
TLS 1.0 至 1.3 握手流程详解【转】
llzhang_fly的博客
08-29 4613
TLS 全称为 Transport Layer Security(传输层安全),其前身是 SSL,全称为 Secure Sockets Layer(安全套接字层),它的作用是为上层的应用协议提供安全的通信,比如众所周知的 HTTP + TLS = HTTPS。SSL 2.0 是该协议的第一个公开发布的版本,由于其存在的安全问题很快被升级到了 SSL 3.0,并且在 1999 年,IETF 小组将该协议标准化,因此 TLS 1.0 诞生了。...
TLS中PSK的简要介绍
weixin_34352449的博客
06-04 3534
PSK的目的   我们都知道TLS需要依赖非对称算法(RSK,EC,DS,DH...)完成秘钥交换,身份认证的功能,但是非对称算法的耗时和耗计算资源的特性在对资源或者耗时敏感的场景下,你就想把他优化掉。本文我们就简绍一种TLS标准本身提供的优化方式:PSK. PSK的江湖地位   PSK的方式应该是最古老的一种秘钥交换和认证方式,但是它在TLS中的江湖地位是比较低的,从最早的非正式的优化方案到有了...
传输层安全协议TLS——密码学概述
N阶二进制的博客
11-18 967
TLS 1.3 是一种用于保障网络通信安全的协议,它是 TLS(Transport Layer Security)协议的最新版本。TLS 1.3 通过提供更强大的安全性、更快的握手过程和更好的性能来改进先前的版本。TLS 1.3 的握手过程相较于 TLS 1.2 更为简化,减少了往返次数,提高了握手速度。在 TLS 1.3 中,只需要一轮往返(1-RTT)即可建立安全连接。TLS 1.3 引入了 0-RTT 握手模式,允许客户端在第一次连接时发送数据,从而加速连接建立。
tsl加密算法_密码套件:SSL/TLS加密机制背后的算法故事
weixin_40001372的博客
12-19 597
如果你研究SSL和加密的时间足够长,最终你会遇到“密码”这个词。除了通常是一个很酷的词外,密码是加密的一个非常重要的组成部分。那么,加密所使用的密码是什么呢?密码就是算法,更具体地说,密码是执行加密和相应的解密过程的一系列步骤。现在的密码依赖于计算机的先进处理能力。然而,情况并非总是如此。历史上最早的著名密码之一属于凯撒大帝——罗马皇帝和开胃菜沙拉的供应者,在军事行动中,他使用这些密码与他的将军们...
DevOps干货 | 基于Docker的zabbix部署实战
jiangzhuwanshi2008的博客
08-03 307
前言有人说人生在世要“与时俱进”,还有人说”识时务者为俊杰”。然而作为金融IT从业者,却发现实际并不是这样。我们都知道金融系统瞬息万变,稍微有点风吹草动就会反映在...
TLS 1.3 协议详解
热门推荐
Network/Storage/Linux Kernel
08-09 3万+
TLS 1.3 握手流程详解 需要的背景知识: (1):对 TLS 1.2 协议有一定程度的了解,包括秘钥交换、会话复用等。 第一节 TLS 1.3 的握手概述 协议分析的第一步就是看报文。TLS 1.3的报文,有个特点,就是通过抓包发现,只能看到明文的Client Hello和Server Hello,其余的握手报文均被加密。 1-RTT 如图: 图1 条件:无条...
zabbix_agent-6.2.3-linux-3.0-amd64-static.tar.gz怎么安装
04-05
1. 下载Zabbix Agent的压缩包:zabbix_agent-6.2.3-linux-3.0-amd64-static.tar.gz 2. 解压缩该压缩包:tar -zxvf zabbix_agent-6.2.3-linux-3.0-amd64-static.tar.gz 3. 进入解压缩后的目录:cd zabbix_agent-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大白小白一起学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值