zabbix对Vault部署及加密转存使用方法

最新推荐文章于 2024-06-25 03:50:39 发布
最新推荐文章于 2024-06-25 03:50:39 发布
阅读量542 收藏
点赞数
分类专栏: zabbix技术干货 文章标签: 服务器监控 zabbix
原文链接:https://forum.lwops.cn/article/204
版权

Zabbix 5.2 以上在安全性能做了很大的改进,如支持连接加密,保密宏等。现在zabbix的所有连接都可以配置为加密模式。5.2版本引入了HashCorp Valut来保存一些机密信息到外部存储(如:使用的宏信息进行外部存储,不已明文的方式在界面上显示)

一、Vault服务部署
1、上传并解压vault_1.10.2_linux_amd64.zip文件
#unzip vault_1.10.2_linux_amd64.zip

2、把文件存放到/usr/bin/目录下,执行查看版本是否与压缩文件一致
#mv vault /usr/bin

vault –version

3、安装并启用命令自动补全功能:

vault -autocomplete-install

complete -C /usr/bin/vault vault

4、创建vault账号

useradd --system --home /etc/vault --shell /bin/false vault

5、创建配置文件存放目录及数据文件存放目录并赋权

mkdir /etc/vault

touch /etc/vault/ vault.hcl

mkdir –p /data/vault_data

chown -R vault:vault /etc/vault /data/vault_data

6、添加配置文件/etc/vault/ vault.hcl

vi /etc/vault/vault.hcl

disable_cache = true
disable_mlock = true
ui = true
listener “tcp” {
address = “0.0.0.0:8200”
tls_disable = 1
}
storage “file” {
path = “/data/vault_data”
}
api_addr = “http://0.0.0.0:8200”
max_lease_ttl = “10h”
default_lease_ttl = “10h”
cluster_name = “vault”
raw_storage_endpoint = true
disable_sealwrap = true
disable_printable_check = true

7、添加服务启动文件/lib/systemd/system/vault.service
#vi /lib/systemd/system/vault.service

[Unit]
Description=“HashiCorp Vault - A tool for managing secrets”
Documentation=https://www.vaultproject.io/docs/
Requires=network-online.target
After=network-online.target
ConditionFileNotEmpty=/etc/vault/vault.hcl

[Service]
User=vault
Group=vault
ProtectSystem=full
ProtectHome=read-only
PrivateTmp=yes
PrivateDevices=yes
SecureBits=keep-caps
AmbientCapabilities=CAP_IPC_LOCK
NoNewPrivileges=yes
ExecStart=/usr/bin/vault server -config=/etc/vault/vault.hcl
ExecReload=/bin/kill --signal HUP
KillMode=process
KillSignal=SIGINT
Restart=on-failure
RestartSec=5
TimeoutStopSec=30
StartLimitBurst=3
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target

8、启动并设置开机自启服务
#systemctl daemon-reload
#systemctl enable --now vault
检查服务状态,运行systemctl status vault命令,它应显示运行状态:

二、初始化Vault环境
1、在初始化Vault服务器之前导出VAULT_ADDR环境变量(IP为Vault服务器IP):
#export VAULT_ADDR=http://192.168.1.3:8200
#echo “export VAULT_ADDR=http://192.168.1.3:8200” >> ~/.bashrc

2、通过运行以下命令,使用默认选项开始初始化:
#rm -rf /var/lib/vault/data/*

#vault operator init > /etc/vault/init.file (注:随机产生key与token,建议保存用于界面激活登录)
#cat /etc/vault/init.file

3、2种方式进行激活系统
方法一:每次vault启动之后都要进行解封,才能进行数据的读取写入。输入三次以下命令,输入后会提示要输入key,挑选之前5个key中的三个输入,即可解封
#vault operator unseal

查看vault状态如下则激活完成

配置token环境(注:token为/etc/vault/init.file中生成的)
export VAULT_TOKEN=“hvs.O4W8qAo1mXxvKBhJIw6Ahof3”

配置允许计算机或应用程序使用Vault定义的角色进行身份验证
#vault auth enable approle
Success! Enabled approle auth method at: approle

方法二:访问地址如http://192.168.1.3:8200/ui中的Vault UI挑选之前5个key中的三个输入,最后输入token即可登录:

配置允许计算机或应用程序使用Vault定义的角色进行身份验证

三、自动解封
1、编写启动脚本与关闭脚本
##启动脚本(注:需根据实际情况调整IP与解封需要的key)

cat /etc/vault/ vault_start.sh

#!/bin/bash
export VAULT_ADDR=http://192.168.19.132:8200 ##IP为vault服务器IP
/usr/bin/vault server -config=/etc/vault/vault.hcl &>/dev/null & ##指定启动文件
sleep 1
##3个key
/usr/bin/vault operator unseal “TlHQ+KE1vXFHnneqGDwo81hk3KwC3P3PJ98RjgihS42W”
sleep 1
/usr/bin/vault operator unseal “fc8QU4hklJDhZCUqVNT5wtdr75nFslOrvjXFE5AJKFDz”
sleep 1
/usr/bin/vault operator unseal “5kczCwOivbOOIeTONm/rbLJV0TPVwaewwHrIQjg0nX7g”
sleep 1
echo “vault 已解封”

##关机脚本

cat /etc/vault/vault_stop.sh

#!/bin/bash
ps -ef|grep vault|grep “config=”|awk ‘{print $2}’|xargs kill -9

2、调整服务启动文件/lib/systemd/system/vault.service

cat /lib/systemd/system/vault.service

[Unit]
Description=vault
After=networking

[Service]
Type=forking
ExecStart=/etc/vault/vault_start.sh
ExecStop=/etc/vault/vault_stop.sh

[Install]
WantedBy=multi-user.target

3、重启服务查看是否自动解封

systemctl daemon-reload

systemctl restart vault

systemctl status vault

查看vault状态,如下图表示解封完成

vault status

四、ZABBIX配置账号密码加密转存(可界面Secrets添加)
1、创建zabbix数据库连接信息,如zabbix数据库用户为zabbix,密码为ZBX_p@ssw0rd

vault secrets enable -path=zabbix kv-v2

vault kv put zabbix/database username=zabbix password=ZBX_p@ssw0rd

vault kv get zabbix/database 注:输出json格式可vault kv get -format=json zabbix/database

HashiCorp Vault 有严格的权限访问控制,这里为zabbix配置对应的访问权限,并生成对应的访问Token。Vault的策略可以先写成hcl文件,再导入即可。这里主要配置2个策略
2、创建策略文件/etc/vault/zabbix.hcl 内容如下

vi /etc/vault/zabbix.hcl

path “zabbix/data/database” {
capabilities = [“list”,“read”]
}

3、写入策略

vault policy write zabbix-policy /etc/vault/zabbix.hcl

4、生成已配置好策略的数据token,(记录token,后续配置文件需使用)

vault token create -policy=zabbix-policy

5、命令测试token中内容是否为设定的账号密码信息(path为zabbix/database)

curl -s --header “X-Vault-Token:hvs.CAESIISfusXxtuLDGdlng4WJ-J-jvfqKOyomKgcY0hdWni_mGh4KHGh2cy5tcDhMck90TldDY1BKUVRqNGliT1BhUHE” http://192.168.1.3:8200/v1/zabbix/data/database

6、Zabbix_Server配置文件zabbix_server.conf中(无需填写账号密码字段)

7、WEB的配置文件zabbix.conf.php中(无需填写账号密码信息)

五、宏信息转存
1、将zabbix 宏存储在Vault中,在Vault创建一个名为macros的path,将数据库中账号密码进行存储

vault kv put zabbix/macros username=hcy password=zabbix@2022

vault kv get zabbix/macros

2、把策略配置添加到zabbix.hcl文件中

vi /etc/vault/zabbix.hcl

path “zabbix/data/macros” {
capabilities = [“list”,“read”]
}

3、更新写入策略

vault policy write zabbix-policy /etc/vault/zabbix.hcl

4、命令测试token中内容是否为设定的账号密码信息(path为zabbix/macros)

curl -s --header “X-Vault-Token:hvs.CAESIISfusXxtuLDGdlng4WJ-J-jvfqKOyomKgcY0hdWni_mGh4KHGh2cy5tcDhMck90TldDY1BKUVRqNGliT1BhUHE” http://192.168.1.3:8200/v1/zabbix/data/macros

5、界面上宏值调用已转存的数据,注意宏的类型为Vault secret 并配置path:参数,如zabbix/macros:username

六、适配pcs集群
注:vault服务部署在数据库服务器上,zabbix与web服务通过连接数据库的VIP实现故障切换(由于vault为多单机负载均衡且数据一致,VIP切换对vault数据读取无影响)

1、将已配置好的vault进行复制到另外一台vault服务器上,重启服务可查看服务启动正常
#将 /etc/vault 、/data/vault_data、/lib/systemd/system/vault.service 复制到其他主机后(实现多单机负载均衡),启动服务
#systemctl daemon-reload
#systemctl enable vault ###开机自启动
#systemctl start vault ###启动服务

systemctl status vault ###查看服务运行状态

2、后续新增内容,在其中一台进行配置后,重新把/data/vault_data或其他新增的配置文件到另外一台后,重启服务即可

乐维_lwops
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux useradd 命令
踏歌行的专栏
01-07 1万+
1、概述          创建一个新的用户或者创建用户时修改用户的默认信息          创建新用户是涉及文件:【主和组ID都是 = 对应最大值 + 1】 [root@zhang ~]# tail -3/etc/passwd usert3:x:603:603::/mnt/tt3:/bin/bash usert4:x:604:604::/home/usert4:/bin/bas
Linux zabbix agent部署及配置方法详解
01-09
部署zabbix仓库 rpm -Uvh https://mirrors.aliyun.com/zabbix/zabbix/5.0/rhel/7/x86_64/zabbix-release-5.0-1.el7.noarch.rpm 更换仓库中的url地址 sed -i 's#...
密码重置、API调用、远程命令,Zabbix用户必知的几个技巧
地球空间
12-13 513
Zabbix版本迭代很快,而且每个版本都会有很多新特性,有时有一个不起眼的小的更新却造成很多老司机翻车,以下主要介绍Zabbix几个常见的知识点。
探秘 `vault`:一个强大的安全存储库
gitblog_00035的博客
04-17 322
探秘 vault:一个强大的安全存储库 项目地址:https://gitcode.com/abhisharma404/vault 项目简介 在数字化的世界中,数据安全是不可忽视的重要问题。vault 是一款由 HashiCorp 开发的开源工具,旨在帮助组织管理和保护敏感信息,如API密钥、密码、证书等。通过提供易于使用的接口和高级的安全特性,Vault 帮助用户实现对关键信息的加密存储和细粒度访...
Vault部署保姆级教程_如何安装并配置vault服务器
最新发布
2401_84240129的博客
06-25 619
## 4 **服务器证书准备*** **将ca.crt文件放到服务器/etc/ssl/certs目录下**### 5 **配置文件**ui = true在var/log下面,创建目录/var/log/vault,授权目录给vault用### 6 启动服务。
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 4204
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
Linux下如何增加一个系统用户
云少技术探讨专区
09-17 813
文章转自:http://blog.sina.com.cn/s/blog_0323475501008tjk.html   人邮的《Linux指令速查手册》相当不错,我跟我的朋友都有一本。拿着也方便。我这人,看到好书都这样。我把答案给你贴一下。 【语法】adduser[必要参数][选择性参数]用户名 【功能说明】adduser指令根据指令行参数给系统添加用户,它的配置信息保存在/etc/a
ZABBIX安装及部署使用简介.docx
07-15
在本文中,我们将深入探讨如何安装和部署Zabbix,一个流行的开源监控解决方案,用于监控服务器、网络设备和其他IT基础设施。Zabbix支持多种操作系统,包括Ubuntu,并且提供了丰富的监控功能,如CPU、内存、磁盘和...
docker部署zabbix_agent的方法步骤
01-09
建议:zabbix_agent使用docker-compose方式单独部署 启动方式: 1、run方式启动 docker run --rm --network zabbix --name zabbix_agent--link zabbix_server:zabbix-server -e ZBX_HOSTNAME=mythird -e ZBX_...
zabbix监控安装部署步骤
03-22
亲身测试过,zabbix监控部署过程,可靠
Vault使用教程
bhwqq的博客
12-05 1265
本地开发环境启动client server ,开发环境的server 数据都保存在内存中,且交互式的内容都是没有tls协议加密的 ,请不要在生产环境运行dev环境 生产环境的数据应该都保存在磁盘或者consul里。 vault server -dev //需要记录下这个命令下的Unsealed key 和 access key 秘钥如下: Unseal Key: uDJZKpkZ0bvfPd3LnFmRLNgAQN8DNPBMeQQSMR//trk= Root Token: s.H5lx3jTkUrdOM
Zabbix6.2惊喜发布!特别优化中大型环境部署的性能!
Zabbix_China的博客
07-26 756
Zabbix6.2惊喜发布!特别优化中大型环境部署的性能!
Zabbix加密传输
weixin_34146805的博客
08-23 540
Zabbix数据加密传输Zabbix版本从3.0之后,开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密加密方式有预共享密钥(PSK)和证书加密加密配置是可选项,一些proxies和agents可以使用证书认证加密通信,另外一些可以使用PSK加密通信,而剩...
Linux 基础命令 -- useradd
02-16 447
命令介绍 命令:useradd 添加用户 用法:useradd -D [options] useradd 用户 命令选项 [root@fp-21 ~]# useradd --help -c, --comment COMMENT # 添加备注信息 -d, --home-dir HOME_DIR # 指定用户的家目录 -D, --defaults ...
Vault: 基础教程之部署
博客
08-11 4851
七、部署vault 配置 vault使用HCL文件配置: storage "consul" { address = "127.0.0.1:8500" path = "vault/" } listener "tcp" { address = "127.0.0.1:8200" tls_disa
zabbix的安装部署,主机发现以及api的自动控制
枝子的博客
08-02 165
环境: serevr1:zabbix + agent(节点) server2:agent 1.安装 server1: yum instll -y zabbix-server-mysql-4.0.5-1.el7.x86_64.rpm zabbix-web-4.0.5-1.el7.noarch.rpm zabbix-web-mysql-4.0.5-1.el7.noarch.rpm za...
Linux新建用户
白宇 的博客
12-28 652
useradd 选项 写道 选项: -b, --base-dir BASE_DIR 新账户的主目录的基目录 -c, --comment COMMENT 新账户的 GECOS 字段 -d, --home-dir HOME_DIR 新账户的主目录 -D, --defaults 显示或更改默认的 useradd 配置 -e, --expiredate EXPIRE_DATE 新账户的过期日期 -f...
【网络安全】什么是网络安全?网络安全类型(4)
2401_84264010的博客
04-28 600
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
VAULT高可用集群部署
qq_42844168的博客
08-31 1585
HA _VAULT部署 角色 ip raft_node_id leader 172.17.22.11 vault_1 follower 172.17.22.12 vault_2 follower 172.17.22.13 vault_3 如无特殊说明,以下操作均在leader节点执行 1.VAULT部署 下载 wget https://releases.hashicorp.com/vault/1.8.2/vault_1.8.2_linux_amd64.zip 解压 u
Zabbix 4.0 完整部署教程:服务器安装与配置详解
Zabbix是一个流行的开源网络监控系统,用于监视和管理网络设备、服务器和应用程序的性能。...在实际部署中,可能还需要对防火墙设置、网络配置以及权限管理等进行相应的调整,以满足你的特定环境需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值