深入浅出Zabbix 3.0 -- 第十九章 数据加密通信

最新推荐文章于 2025-03-08 08:36:50 发布
最新推荐文章于 2025-03-08 08:36:50 发布
阅读量2.8k 收藏 3
点赞数 1
分类专栏: Zabbix 文章标签: Zabbix 监控 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/clm_sky/article/details/90574779
版权
本文详细介绍了Zabbix 3.0中数据加密通信的实现,包括预共享秘钥(PSK)和基于证书的加密方式。在PSK加密中,讨论了长度限制和生成方法,而在证书加密部分,讲述了证书链的创建、配置参数以及代理和Agent的加密配置。此外,还提到了证书吊销列表的配置以及常见问题的解决。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第十九章 数据加密通信

近日完成《深入浅出 zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.youkuaiyun.com/course/detail/24870

Zabbix 3.0中非常重要的一个特性就是支持对Zabbixserver、Zabbix proxy、Zabbix agent、zabbix_sender和zabbix_get之间的通信进行加密,支持Certificate-based(基于证书)和pre-shared key-based(基于预共享秘钥)的加密,不再像早期版本那样需要额外的解决方案。

Zabbix 3.0中加密是独立组件,作为配置选项进行配置时非常灵活,可以针对不同的hosts设置不同的加密方式。例如有些proxy 和agents配置使用Certificate-based加密和server之间的通信,有些使用pre-sharedkey-based加密,而另外一些没有配置加密。如下图19-1所示。

 

                            

图 19-1

 

19.1编译Zabbix支持加密

Zabbix使用Transport LayerSecurity (TLS) protocol v1.2进行加密,为了让Zabbix支持加密功能,在源码编译安装时必须要链接到下面三个加密库中的其中一个。

  • mbed TLS:早期也叫PolarSSL,目前仅支持1.3.x版本。注意不支持2.x版本。

  • GnuTLS:支持v3.1.18及更高的版本。

  • OpenSSL:支持v1.0.1及更高的版本。

根据你的选择,configure脚本可以使用下面的某个选项:

  • --with-mbedtls[=DIR]

  • --with-gnutls[=DIR]

  • --with-openssl[=DIR]

例如:

# ./configure--enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp--with-libcurl --with-libxml2 --with-openssl

在编译安装Zabbix的不同组件时可以使用不同的加密库,例如server使用OpenSSL,agent使用GnuTLS。建议使用OpenSSL,在实际测试中OpenSSL是最快的,接下来是GnuTLS。

如果你使用安装包安装Zabbix组件时,默认已经支持加密功能。你可以通过查看日志文件确定Zabbix安装的功能特性。例如下面是Zabbixserver启动时显示的特性列表。

# vi/var/log/zabbix/zabbix_server.log

  1065:20150817:103017.520****** Enabled features ******

  1065:20150817:103017.520SNMP monitoring:           YES

  1065:20150817:103017.520IPMI monitoring:           YES

  1065:20150817:103017.520 Webmonitoring:           YES

  1065:20150817:103017.520VMware monitoring:        YES

  1065:20150817:103017.520SMTP authentication:        YES

  1065:20150817:103017.520Jabber notifications:         YES

  1065:20150817:103017.520 EzTexting notifications:       YES

  1065:20150817:103017.520ODBC:                     YES

  1065:20150817:103017.520SSH2 support:               YES

  1065:20150817:103017.520IPv6 support:               YES

  1065:20150817:103017.520 TLSsupport:                YES

  1065:20150817:103017.520******************************

 

 

19.2 pre-shared keys加密

Zabbix中使用PSK(pre-shared key)加密时,需要提供标识符(PSKidentity)和加密字符串(PSK string)。PSK identity是一个非空的UTF-8字符串,例如PSK ID 001 zabbix agent,在这里仅仅作为一个特定PSK的名称,方便Zabbix中各组件的引用。由于PSK identity在网络中是明文传输,因此在名称中不要涉及到敏感信息。PSK string是由十六进制组成的字符串,例如e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9。

19.2.1 长度限制

在Zabbix中使用PSK加密时,对PSK identity和PSK string长度是有限制的。在Zabbix前端页面中配置PSK identity的长度可以达到128个字符,PSK string的长度可以达到2048个bit,但也要看使用的加密库的限制。如果配置的字符串长度超过限制会导致Zabbix各组件之间通信失败。

例如Zabbix server使用PSK连接到agent之前,server会在数据库中查找agent配置的PSK identity和PSK string,当收到agent配置的PSK identity和PSK string后进行比较,如果双方具有相同的PSK identity和PSK string时将成功连接。

长度限制的参数如下表19-1所示。

表 19-1

组件

PSK identity最大长度

PSK string最小长度

PSK string最大长度

Zabbix

128 UTF-8 characters

128-bit (16-byte PSK, entered as 32 hexadecimal digits)

2048-bit (256-byte PSK, entered as 512 hexadecimal  digits)

GnuTLS

128 bytes (may include UTF-8 characters)

--

2048-bit (256-byte PSK, entered as 512 hexadecimal  digits)

mbed TLS

128 UTF-8 characters

--

256-bit (default limit) (32-byte PSK, entered as 64  hexadecimal digits)

OpenSSL

127 bytes (may include UTF-8 characters)

--

2048-bit (256-byte PSK, entered as 512 hexadecimal  digits)

19.2.2 PSK生成

在CentOS中可以使用不同的工具生成PSK,下面就以生成一个256-bit(32字节)PSK为例来看一下。

  • 使用OpenSSL

# openssl rand -hex 32

3e2b2ef85c2ad0af3410c9a495fe77d0a8741c2f1243c2af73a2e17623f70098

  • 使用GnuTLS

# yum install gnutls-utils

# psktool -u psk_identity -p mypsk.psk -s 32

Generating arandom key for user 'psk_identity'

Key stored to mypsk.psk

# cat mypsk.psk   psk_identity:9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb

使用psktool工具时会生成一个文件,格式为pskidentity:psk string,在Zabbix中使用该文件时需要把psk identity:删除,只保留psk string。

19.2.3 配置实例

19.2.3.1 配置server和agent之间使用PSK

配置步骤:

1、  在agnet主机中,将PSK string保存到一个文件中。例如 /etc/zabbix/zabbix_agentd.psk。

# vi /etc/zabbix/zabbix_agentd.psk

3e2b2ef85c2ad0af3410c9a495fe77d0a8741c2f1243c2af73a2e17623f70098

2、  设置zabbix_agentd.psk文件的访问权限。

# chown zabbix:zabbix /etc/zabbix/zabbix_agentd.psk

# chmod 644 /etc/zabbix/zabbix_agentd.psk

3、  编辑zabbix_agentd.conf配置文件。

# vi /etc/zabbix/zabbix_agentd.conf

TLSConnect=psk

TLSAccept=psk

TLSPSKFile=/etc/zabbix/zabbix_agentd.psk

TLSPSKIdentity=PSKAgent

如果agnet类型为active(主动式)agent,那么agent将连接到server并接收来自server和zabbix_get使用PSK加密的连接,PSK identity为PSK Agent。

4、  重启agent,使用zabbix_get进行测试。

最低0.47元/天 解锁文章
Zabbix Agent与Zabbix Server通信加密
MichaelCoCoQ的博客
08-22 617
启用PSK 在agent端生成PSK key file
Zabbix如何实现Server和Agent的通信加密
weixin_34226182的博客
06-30 369
一、加密介绍1、总览    Zabbix版本从3.0之后,开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密,加密方式有预共享密钥(PSK)和证书加密。    加密配置是可选项,一些proxies和agents可以使用证书认证加密通信,另外一些可以使用PSK加密通信,而剩余的可以不使用...
使用 OpenSSL 和 Python 实现 AES-256-CBC 加密与解密(安全密钥管理)
最新发布
Keirakee的博客
03-08 1550
使用 OpenSSL 和 Python 实现 AES-256-CBC 加密与解密, 在不加密的软件上也能安全传输你的加密消息!
zabbix 配置agent与server 双端psk加密传输
qq_36667924的博客
05-08 667
参考文章。
zabbix与agent端通信加密
weixin_33717298的博客
12-13 213
    Zabbix版本从3.0之后,开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密,加密方式有预共享密钥(PSK)和证书加密,加密配置是可选项,一些proxies和agents可以使用证书认证加密通信,另外一些可以使用PSK加密通信,而剩余的可以不使用加密进行通信,需要注意的是...
zabbix与agent端通信加密--PSK共享密钥
可问春风的博客
03-30 418
zabbix与agent端通信加密--PSK共享密钥
深入浅出Zabbix 3.0 -- 第十三章 监控网络设备
clm_sky的博客
05-24 1319
第十三章监控网络设备 13.1 SNMP简介 13.1.1 SNMP概述 近日完成《深入浅出zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.csdn.net/course/detail/24870 SNMP发展至今以成为应用最广的网络管理协议,目前应用的版本主要有SNMP ...
深入浅出Zabbix 3.0 -- 第二章  Zabbix Web操作与定义
clm_sky的博客
05-23 1156
第二章 Zabbix Web操作与定义 近日完成《深入浅出zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.csdn.net/course/detail/24870 本章介绍Zabbix中一些基本概念的定义和web前端页面的操作,包括Zabbix中使用的一些术语的定义,Web页面...
深入浅出Zabbix 3.0 -- 第三章  Zabbix 监控方式
clm_sky的博客
05-23 1558
第三章 Zabbix监控方式 近日完成《深入浅出zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.csdn.net/course/detail/24870 有人说通过Zabbix可以完成任何监控任务,只有你想不到的,但没有监控不了的,真是这样吗?当你通过本章了解了Zabbix提供...
深入浅出Zabbix 3.0 -- 第一章  Zabbix 安装与配置
clm_sky的博客
05-23 709
第一章 Zabbix安装与配置 1.1 Zabbix介绍 近日完成《深入浅出zabbix 4.0》视频教程的录制并正式发布,该教程基于 zabbix 4.2 ,对Zabbix进行全面讲解。欢迎大家围观。课程链接:https://edu.csdn.net/course/detail/24870 Zabbix是一个企业级的开源监控软件,可以监控IT基础架构的可用性和应用的性能,为用户提供...
Zabbix通过PSK共享密钥实现Server和Agent的通信加密
09-29
主要介绍了Zabbix通过PSK共享密钥实现Server和Agent的通信加密,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Zabbix 3.0 加密传输
09-28
Zabbix 3.0的加密传输文档,PPT版本转PDF,英文版,但是图文并茂,很好理解
Zabbix技术分享——Proxy加密代理:共享密钥(PSK)加密与证书加密
乐维社区的博客
08-17 527
Zabbix版本从3.0之后,开始支持Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get之间的通信加密,加密方式有预共享密钥(PSK)和证书加密,加密配置是可选项,一些proxy和agent可以使用证书认证加密通信,另外一些可以使用PSK加密通信,而剩余的可以不使用加密进行通信,需要注意的是如果希望使用加密通信,编译的时候必须加入 –with-openssl参数。此外,proxy代理配置为被动模式。
如何加强zabbix_agent的安全
u013930899的博客
03-24 312
如何加强zabbix_agent的安全
PSK在TLS中的应用
热门推荐
Network/Storage/Linux Kernel
02-19 1万+
PSK在TLS中的应用 之前搞TLS的过程中,PSK的概念有所了解,但是一直觉得他没什么用处,就大致看了一下实现,没深究。但是TLS1.3中居然设计到了PSK的概念,我想有必要在这里总结一下,以免忘记。 RFC 4279中详细描述了各个方面。 PSK的三种类型 PSK-only 简单的说,就是client写死一个key,server写死一个key,当然这两个key是一样的。 这个key...
zabbix failed to accept an incoming connection: connection from “x.x.x.x“ rejected, allowed host “x“
qq_31024251的博客
10-30 3458
1. 之前zabbix 的模式 agent 配置文件内容如下: 2. 现在 启用了zabbix-proxy(192.168.17.70) 现在agent 配置文件调整为如下模式后 zabbix-agent 重启报错: failed to accept an incoming connection: connection from “x.x.x.x” rejected, allowed host “x” 3. 解决方案: zabbix-agent.conf 文件中Server 字段调整如下 4
图解zabbix的安装部署,在zabbix监控里添加主机的三种方式,使用API 在zabbix监控系统中查看,创建及删除监控主机
fighting
11-15 488
Zabbix简介: zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 zabbixzabbix server与可选组件zabbix agent两部门组成。 zabbix server可以通过SNMP,zabbix agent,p...
TLS 1.0 至 1.3 握手流程详解【转】
llzhang_fly的博客
08-29 5128
TLS 全称为 Transport Layer Security(传输层安全),其前身是 SSL,全称为 Secure Sockets Layer(安全套接字层),它的作用是为上层的应用协议提供安全的通信,比如众所周知的 HTTP + TLS = HTTPS。SSL 2.0 是该协议的第一个公开发布的版本,由于其存在的安全问题很快被升级到了 SSL 3.0,并且在 1999 年,IETF 小组将该协议标准化,因此 TLS 1.0 诞生了。...
Windows安装zabbix客户端
小小傻瓜牙
01-13 457
Windows客户端(添加图形,触发器和centos一样,只是主机,模板不同) Windows的zabbix下载地址 https://www.zabbix.com/download_agents 下载后解压(我在E盘的zabbix里) conf里zabbix_agentd.conf Server=192.168.200.4#zabbix服务端i...
zabbix_agent-6.2.3-linux-3.0-amd64-static.tar.gz怎么安装
04-05
1. 下载Zabbix Agent的压缩包:zabbix_agent-6.2.3-linux-3.0-amd64-static.tar.gz 2. 解压缩该压缩包:tar -zxvf zabbix_agent-6.2.3-linux-3.0-amd64-static.tar.gz 3. 进入解压缩后的目录:cd zabbix_agent-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大白小白一起学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值