devops:zabbix:zabbix-agent-encryption

Zabbix - включаем шифрование для Агента (Agent Encryption)

Если необходимо шифровать соединение между агентом и сервером нам потребуется включить шифрование. Можно использовать шифрование по сертификату или по PSK (ключу Pre-Shared Key). В этом примере я рассмотрю именно PSK, т.к. это на мой взгляд самый удобный способ шифрования: ключ сгенерировать легко и просто, так же можно использовать несколько ключей.

Установка Агента

Если у нас Linux или что-то подобное - нам повезло, ставим агента при помощи apt, rpm и прочих удобных штук, агент уже идет со всеми необходимыми библиотеками. Если Windows - придется немного поработать руками. Загружаем агента отсюда: https://www.zabbix.com/download_agents при этом нам нужна версия с поддержкой шифрования (в поле Encryption должно быть написано OpenSSL).

Распаковываем агента в папку, например C:\Zabbix

[Устарело, официальный агент уже слинкован со всеми библиотеками]
Теперь нам нужны библиотеки OpenSSL. Самое лучшее - взять вот отсюда https://support.zabbix.com/browse/ZBXNEXT-3047 уже собранный агент Zabbix. Т.к. у них версии агентов часто довольно старенькие, можно брать последнюю версию - из нее мы и выковыряем библиотеки. Вытаскиваем из архива файлы libcrypto-1_1.dll, libssl-1_1.dll и msvcr120.dll в нашу папку C:\Zabbix

Создаем ключ PSK

Оригинал: https://www.zabbix.com/documentation/current/ru/manual/encryption/using_pre_shared_keys 

For example, a 256-bit (32 bytes) PSK can be generated using the following commands:

    with OpenSSL:

  $ openssl rand -hex 32
  af8ced32dfe8714e548694e2d29e1a14ba6fa13f216cb35c19d0feb1084b0429

    with GnuTLS:

  $ psktool -u psk_identity -p database.psk -s 32
  Generating a random key for user 'psk_identity'
  Key stored to database.psk
  
  $ cat database.psk 
  psk_identity:9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb

Note that “psktool” above generates a database file with a PSK identity and its associated PSK. Zabbix expects just a PSK in the PSK file, so the identity string and colon (':') should be removed from the file.

Полученный ключ сохраняем в файл zabbix_agentd.psk и копируем его в C:\Zabbix

Настройка агента

Добавляем в файл zabbix_agentd.conf настройки шифрования: 

TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=PSK001
TLSPSKFile=C:\Zabbix\zabbix_agentd.psk

Установка службы и запуск

Установка в качестве службы: 

zabbix_agentd.exe --config "C:\Zabbix\conf\zabbix_agentd.conf" --install

Запуск: 

net start "Zabbix Agent"

Остановка и удаление службы

Остановка: 

net stop "Zabbix Agent"

Удаление службы: 

zabbix_agentd.exe --uninstall

Подсказка

Если в процессе удаления/установки службы возникает сообщение «zabbix_agentd.exe [416]: ERROR: cannot create service [Zabbix Agent]: [0x00000430] The specified service has been marked for deletion.» и сам сервис висит в непонятном статусе - просто закройте все остнастки по управлению службами и повторите попытку

Настройка сервера Zabbix

Заходим в настройки хоста (Configuratino → Hosts → ваш_хост) и открываем закладку Encyption. Заполняем поля:

  • Connection to host: PSK (Подключение к хосту от сервера Zabbix)
  • Connection from host: PSK (Подключение от хоста к серверу Zabbix)
  • PSK identity: PSK001 (Номер ключа в файле)
  • PSK: ваш_PSK_ключ (Сам ключ)

Применяем настройки, запускаем агент и смотрим логи - все должно заработать.

, , , , , , , ,
  • devops/zabbix/zabbix-agent-encryption.txt
  • Последнее изменение: 2021/10/28 15:12
  • 127.0.0.1