Zabbix の psk 暗号化と zabbix_get 値の組み合わせ

Zabbix バージョン 3.0 以降、Zabbix サーバー、Zabbix プロキシ、Zabbix エージェント、zabbix_sender、zabbix_get 間の暗号化通信がサポートされています。暗号化方式には、事前共有キー (PSK) と証明書暗号化があります。暗号化構成はオプションです。一部のプロキシとエージェントは証明書認証を使用して通信を暗号化でき、他のプロキシとエージェントは PSK 暗号化を使用でき、残りは暗号化なしで通信できます。暗号化通信を使用する場合は、コンパイル時に –with-openssl パラメータを追加する必要があることに注意してください。

1. PSK共有キーを生成して追加する

openssl rand -hex 32 コマンドを使用してキーの文字列を生成します。設定手順は次のとおりです。

[root@zabbix スクリプト]# openssl rand -hex 32
ef52cbe2d1a35e6bb3c43b22bd4f1a1d7bf24d1ccb7c47f6a602425970da5432
# 生成されたキーをファイルに書き込みます vim /data/zabbix/etc/psk/zabbix.psk
vim /data/zabbix/etc/zabbix_agentd.conf
#TLSConnect=psk を追加
TLSAccept=psk
TLSPSKファイル=/data/zabbix/etc/psk/zabbix.psk
TLSPSKIdentity=PSK ID 
#設定が完了したらzabbix_agentプロセスを再起動します

2. Zabbix Web GUIに追加

3. テストコマンド

zabbix_get -s 127.0.0.1 -k "system.cpu.load[all,avg1]" --tls-connect=psk --tls-psk-identity="PSK ID" --tls-psk-file=/data/zabbix/etc/psk/zabbix.psk
[[email protected] ~]$/data/zabbix/bin/zabbix_get -s 10.81.47.129 -p 9528 -k "tps" --tls-connect psk --tls-psk-identity="LianYu" --tls-psk-file /data/zabbix/etc/psk/zabbix.psk 
452.05

4..zabbix_get の使い方

# このコマンドは zabbix サーバーでのみ使用できます: zabbix_get -s ホスト名または IP [ -p ポート番号 ] [ -I IP アドレス ] -k 項目キー 
    zabbix_get -s ホスト名または IP [ -p ポート番号 ] [ -I IP アドレス ] --tls-connect cert --tls-ca-file CA ファイル [ --tls-crl-file CRL ファイル ] [ --tls-agent-cert-issuer cert 発行者 ] [ --tls-agent-cert-subject cert 対象 ] --tls-cert-file cert ファイル --tls-key-file キー ファイル -k 項目キー 
    zabbix_get -s ホスト名またはIP [ -p ポート番号 ] [ -I IPアドレス ] --tls-connect psk --tls-psk-identity PSK ID --tls-psk-file PSKファイル -k アイテムキー 
    zabbix_get -h 
    zabbix_get -V 
 
  オプション

    -s, --host ホスト名またはIP
      ホストのホスト名または IP アドレスを指定します。
    -p, --port ポート番号
      ホスト上で実行されているエージェントのポート番号を指定します。デフォルト値は 10050 です。
    -I, --source-address IPアドレス
      送信元 IP アドレスを指定します。
    -k, --key item-key 値を取得する項目のキーを指定します。
    --tls-connect value プロキシへの接続方法。値:
          暗号化方法 暗号化接続なし（デフォルト）

          ＰＳＫ
          TLSと事前共有キー証明書を使用して接続する
          TLS と証明書を使用して接続します --tls-ca-file CA-file ピア証明書の検証に使用する最上位 CA の証明書を含むファイルの完全パス名。
    --tls-crl-file CRL ファイル 失効した証明書を含むファイルの完全パス名。
    --tls-agent-cert-issuer 発行者証明書 許可されたエージェント証明書の発行者。
    --tls-agent-cert-subject 証明書の件名
    許可されたプロキシ証明書のサブジェクト。
    --tls-cert-file cert-file 証明書または証明書チェーンを含むファイルの完全なパス名。
    --tls-key-file keyfile 秘密鍵を含むファイルの完全パス名。
    --tls-psk-identity PSK アイデンティティ
    PSK ID 文字列。
    --tls-psk-file PSK ファイル 事前共有キーを含むファイルのフルパス名。
    -h, --ヘルプ
    このヘルプを表示して終了します。
    -V, --バージョン
    バージョン情報を印刷して終了します。

例：

1 zabbix_get -s 127.0.0.1 -p 10050 -k "system.cpu.load [all,avg1]" 
2 zabbix_get -s 127.0.0.1 -p 10050 -k "system.cpu.load[all,avg1]" --tls-connect cert --tls-ca-file /home/zabbix/zabbix_ca_file --tls-agent-cert-issuer "CN=Signing CA,OU=IT Operations,O=Example Corp,DC=example,DC=com" --tls-agent-cert-subject "CN=server1,OU=IT operations,O=Example Corp,DC=example,DC=com" --tls-cert-file /home/zabbix/zabbix_get.crt --tls-key-file /home/zabbix/zabbix_get.key 
3 zabbix_get -s 127.0.0.1 -p 10050 -k "system.cpu.load [all,avg1]" --tls-connect psk --tls-psk-identity "PSK ID Zabbix agentd" --tls-psk-file /home/zabbix/zabbix_agentd.psk

要約する

上記は、zabbix_get 値と組み合わせた Zabbix の psk 暗号化についての編集者による紹介です。皆様のお役に立てれば幸いです。ご質問がある場合は、メッセージを残していただければ、すぐに返信いたします。

以下もご興味があるかもしれません: