Documentation

This is the documentation page for an unsupported version of Zabbix.
Is this not what you were looking for? Switch to the current version or choose one from the drop-down menu.
1 Foire aux questions / Dépannage
1 Création de la base de données
2 Agent Zabbix sur Microsoft Windows
2 Repairing Zabbix database character set and collation
3 Configuration Elasticsearch
4 Export en temps réel des événements, des valeurs, des tendances
5 Running Agent as root
7 Additional frontend languages
1 Serveur Zabbix
2 Proxy Zabbix
3 Agent Zabbix (UNIX)
4 Agent Zabbix (Windows)
5 Passerelle Java Zabbix
6 Remarques spéciales sur le paramètre "Include"
1 Protocole d'échange de données Serveur-Proxy
2 Protocole de l'agent Zabbix
3 Protocole du sender Zabbix
4 En-tête
5 Protocole d'export en temps réel
1 Éléments supportés par plateforme
2 Paramètre vm.memory.size
3 Vérifications actives et passives des agents
4 Éléments Trapper
5 Niveau d'autorisation minimum pour les éléments d'agent Windows
6 Encodage des valeurs renvoyées
7 Prise en charge des fichiers volumineux
8 Capteur
9 Remarques sur le paramètre memtype dans les éléments proc.mem
10 Remarques sur la sélection des processus dans les éléments proc.mem et proc.num
11 Détails d'implémentation des vérifications net.tcp.service et net.udp.service
12 Détails du prétraitement de la valeur de l'élément
13 Paramètres d'hôtes inaccessibles/indisponibles
13 Supported JSONPath functionality
15 Surveillance à distance des statistiques Zabbix
1 Fonctions de déclencheur supportées
1 Macros supportées
2 Macros utilisateurs supportées par emplacement
8 Symboles d'unités
9 Réglage des périodes de temps
10 Exécution de commande
13 Compatibilité de version
14 Gestion des erreurs de base de données
15 Librairie de liens dynamiques Zabbix sender pour Windows
16 Problèmes avec SELinux
17 Other issues
1 Structure du manuel
2 Qu'est-ce que Zabbix ?
3 Fonctionnalités Zabbix
4 Aperçu de Zabbix
5 Nouveautés dans Zabbix 4.0.0
6 Nouveautés dans Zabbix 4.0.1
7 Nouveautés dans Zabbix 4.0.2
8 Nouveautés dans Zabbix 4.0.3
9 Nouveautés dans Zabbix 4.0.4
10 Nouveautés dans Zabbix 4.0.5
11 Nouveautés dans Zabbix 4.0.6
12 Nouveautés dans Zabbix 4.0.7
13 Nouveautés dans Zabbix 4.0.8
14 Nouveautés Zabbix 4.0.9
15 What's new in Zabbix 4.0.10
16 What's new in Zabbix 4.0.11
17 What's new in Zabbix 4.0.12
18 What's new in Zabbix 4.0.13
19 What's new in Zabbix 4.0.14
20 What's new in Zabbix 4.0.15
21 What's new in Zabbix 4.0.16
22 What's new in Zabbix 4.0.17
23 What's new in Zabbix 4.0.18
24 What's new in Zabbix 4.0.19
25 What's new in Zabbix 4.0.20
26 What's new in Zabbix 4.0.21
27 What's new in Zabbix 4.0.22
28 What's new in Zabbix 4.0.23
29 What's new in Zabbix 4.0.24
30 What's new in Zabbix 4.0.25
31 What's new in Zabbix 4.0.26
32 What's new in Zabbix 4.0.27
33 What's new in Zabbix 4.0.28
34 What's new in Zabbix 4.0.29
35 What's new in Zabbix 4.0.30
36 What's new in Zabbix 4.0.31
37 What's new in Zabbix 4.0.32
38 What's new in Zabbix 4.0.33
39 What's new in Zabbix 4.0.34
40 What's new in Zabbix 4.0.35
41 What's new in Zabbix 4.0.36
42 What's new in Zabbix 4.0.37
43 What's new in Zabbix 4.0.38
44 What's new in Zabbix 4.0.39
2. Définitions
1 Serveur
2 Agent
3 Proxy
1 Configuration à partir des sources
2 Configuration à partir des packages RHEL/CentOS
3 Configuration depuis les packages Debian/Ubuntu
5 Sender
6 Get
1 Obtenir Zabbix
Bonnes pratiques pour la configuration sécurisée de Zabbix
Construction des binaires d'agent Windows avec/sans TLS
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu/​Raspbian
3 Installation de l'agent Windows depuis MSI
4 Installation de l'agent Mac OS à partir de PKG
5 Installation depuis les containers
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
Mise à jour depuis les sources
7 Problèmes connus
8 Modifications des modèles
9 Notes de mise à jour pour la version 4.0.0
10 Notes de mise à jour pour 4.0.1
11 Notes de mise à jour pour 4.0.2
12 Notes de mise à jour pour 4.0.3
14 Notes de mise à jour pour la version 4.0.5
15 Notes de mise à jour pour 4.0.6
16 Notes de mise à jour pour 4.0.7
17 Notes de mise à jour pour 4.0.8
18 Upgrade notes for 4.0.9
19 Upgrade notes for 4.0.10
20 Upgrade notes for 4.0.11
21 Upgrade notes for 4.0.12
22 Upgrade notes for 4.0.13
23 Upgrade notes for 4.0.14
24 Upgrade notes for 4.0.15
25 Upgrade notes for 4.0.16
26 Upgrade notes for 4.0.17
27 Upgrade notes for 4.0.18
28 Upgrade notes for 4.0.19
29 Upgrade notes for 4.0.20
30 Upgrade notes for 4.0.21
31 Upgrade notes for 4.0.22
32 Upgrade notes for 4.0.23
33 Upgrade notes for 4.0.24
34 Upgrade notes for 4.0.25
35 Upgrade notes for 4.0.26
36 Upgrade notes for 4.0.27
37 Upgrade notes for 4.0.28
38 Upgrade notes for 4.0.29
39 Upgrade notes for 4.0.30
40 Upgrade notes for 4.0.31
41 Upgrade notes for 4.0.32
42 Upgrade notes for 4.0.33
43 Upgrade notes for 4.0.34
44 Upgrade notes for 4.0.35
45 Upgrade notes for 4.0.36
46 Upgrade notes for 4.0.37
47 Upgrade notes for 4.0.38
48 Upgrade notes for 4.0.39
1 Identification et configuration des utilisateurs
2 Nouvel hôte
3 Nouvel élément
4 Nouveau déclencheur
5 Notifications de problèmes
6 Nouveau modèle
6. Appliance Zabbix
1 Configuration d’un hôte
2 Inventaire
3 Modification collective
1 Format de clé d’élément
2 Intervalles personnalisés
Clés d'éléments spécifique à Windows
1 Index dynamiques
2 OID spéciaux
3 Fichiers MIB
3 Traps SNMP
4 Vérifications IPMI
1 VMware monitoring item keys
6 Supervision des fichiers journaux
7 Eléments calculés
8 Vérifications Internes
9 Vérifications SSH
10 Vérifications Telnet
11 Vérifications externes
12 Vérifications agrégées
13 Elément trapper
14 Supervision JMX
1 Paramètres UnixODBC recommandés pour MySQL
2 Paramètres UnixODBC recommandés pour PostgreSQL
3 Paramètres recommandés pour UnixODBC sur Oracle
4 Paramètres UnixODBC recommandés pour MSSQL
16 Éléments dépendants
17 Agent HTTP
3 Historique et tendances
1 Extension des agents Zabbix
5 Modules chargeables
6 Compteurs de performance Windows
7 Modification collective
8 Correspondance de valeurs
9 Applications
10 File d'attente
11 Cache de valeur
12 Vérifier maintenant
1 Configuration d'un déclencheur
2 Expression de déclencheur
3 Dépendance des déclencheurs
4 Sévérité des déclencheurs
5 Personnalisation des sévérités des déclencheurs
6 Modification collective
7 Fonctions prédictives de déclenchement
1 Génération d'événement déclencheur
2 Autres sources d'événements
3 Fermeture manuelle des problèmes
Tags d'événement
2 Corrélation globale des événements
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
1 Screen elements
4 Slide shows
5 Host screens
1 Configuration d'un modèle
2 Lier/Délier
3 Imbrication
1 Modèles standardisés pour les périphériques réseau
1 E-mail
2 SMS
3 Jabber
4 Ez Texting
5 Scripts d'alertes personnalisés
1 Conditions
1 Envoi d'un message
2 Commandes à distance
3 Opérations supplémentaires
4 Utilisation des macros dans les messages
3 Opérations de récupération
4 Update operations
5 Escalade
3 Réception de notification pour des éléments non supportés
1 Fonctions de macro
2 Macros utilisateur
3 Macros de découverte de bas niveau
1 Configuration d'un utilisateur
2 Autorisations
3 Groupes d'utilisateurs
8. Supervision de service
1 Éléments de supervision Web
2 Scénario concret
1 Champs clé pour la découverte de machine virtuelle
11. Maintenance
12. Expressions régulières
13. Acquittement des problèmes
1 Groupes d'hôtes
2 Modèles
3 Hôtes
4 Cartes de réseau
5 Écran
1 Configuration d'une règle de découverte du réseau
2 Enregistrement automatique d'agent actif
1 Discovery of mounted filesystems
1 Découverte des interfaces réseau
2 Découverte des processeurs et des cœurs de processeurs
3 Découverte des OID SNMP
4 Découverte d'objets JMX
5 Découverte à l'aide de requêtes SQL ODBC
6 Découverte des services Windows
7 Découverte des interfaces d'hôtes dans Zabbix
Notes sur la découverte de bas niveau
1 Proxys
1 Par certificat
2 Par clés pré-partagées (PSK)
1 Problèmes de type de connexion ou d'autorisation
2 Problèmes de certificat
3 Problèmes PSK
1 Widget de tableau de bord
2 Problèmes
3 Aperçu
4 Web
5 Dernières données
6 Graphiques
7 Écrans
8 Cartes
9 Découverte
10 Services
1 Aperçu
2 Hôtes
1 Informations système
2 Rapport de disponibilité
3 Top 100 des déclencheurs
4 Audit
5 Journal des actions
6 Notifications
1 Groupes d'hôtes
2 Modèles
1 Applications
2 Éléments
3 Déclencheurs
4 Graphiques
5 Règle de découverte
6 Scénarios Web
4 Maintenance
5 Actions
6 Corrélation d'événement
7 Découverte
8 Services
1 Général
2 Proxys
3 Authentification
4 Groupes d'utilisateurs
5 Utilisateurs
6 Types de média
7 Scripts
8 File d'attente
1 Notifications globales
2 Son dans les navigateurs
3 Recherche globale
4 Mode maintenance de l'interface Web
5 Paramètres de page
6 Définitions
7 Création de votre propre thème
8 Mode Debug
9 Cookies used by Zabbix
> Action object
action.create
action.delete
action.get
action.update
> Objet Alert
alert.get
apiinfo.version
> Objet Application
application.create
application.delete
application.get
application.massadd
application.update
> Objet carte
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
> Objet Correspondance d'icône
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objet Corrélation
correlation.create
correlation.delete
correlation.get
correlation.update
> Objet déclencheur
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Objet écran
screen.create
screen.delete
screen.get
screen.update
> Objet Ecran de modèle
templatescreen.copy
templatescreen.create
templatescreen.delete
templatescreen.get
templatescreen.update
> Objet Élément
item.create
item.delete
item.get
item.update
> Objet élément d'écran
screenitem.create
screenitem.delete
screenitem.get
screenitem.update
screenitem.updatebyposition
> Objet Élément d'écran de modèle
templatescreenitem.get
> Objet Élément de graphique
graphitem.get
> Objet Événement
event.acknowledge
event.get
> Objet Graphique
graph.create
graph.delete
graph.get
graph.update
> Objet Groupe d'Hôte
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Objet Groupe d'utilisateurs
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objet Historique
history.get
> Objet Hôte
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objet hôte découvert
dhost.get
> Objet Image
image.create
image.delete
image.get
image.update
> Objet Interface hôte
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objet Macro utilisateur
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objet maintenance
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objet Modèle
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Object problème
problem.get
> Objet Prototype d'hôte
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objet Prototype d'élément
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objet prototype de déclencheur
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objet Prototype de graphique
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Objet règle de découverte
drule.create
drule.delete
drule.get
drule.update
> LLD rule object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objet script
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Objet Scénario Web
httptest.create
httptest.delete
httptest.get
httptest.update
> Objet service
service.adddependencies
service.addtimes
service.create
service.delete
service.deletedependencies
service.deletetimes
service.get
service.getsla
service.update
> Objet service découvert
dservice.get
> Objet Dashboard
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objet Table de correspondance
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objet Tendance
trend.get
> Objet test de découverte
dcheck.get
> Objet type de média
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
task.create
> Objet Utilisateur
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.update
Annexe 1. Commentaire de référence
Annexe 2. Modifications depuis 3.4 vers 4.0
Modifications de l'API Zabbix en version 4.0
zabbix_agentd
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server

17. Chiffrement

Vue d'ensemble

Zabbix prend en charge les communications chiffrées entre le serveur Zabbix, le proxy Zabbix, les agents Zabbix, les utilitaires zabbix_sender et zabbix_get en utilisant le protocole TLS (Transport Layer Security) v.1.2. Le chiffrement est pris en charge à partir de Zabbix 3.0. Le chiffrement basé sur des certificats et sur des clés pré-partagées est pris en charge.

Le chiffrement est facultatif et configurable pour chaque composant individuellement (par exemple, certains proxys et agents peuvent être configurés pour utiliser le chiffrement basé sur des certificats avec le serveur, tandis que d'autres peuvent utiliser le chiffrement par clé pré-partagée).

Le serveur (ou le proxy) peut utiliser différentes configurations de chiffrement pour différents hôtes.

Les démons Zabbix utilisent un seul port d'écoute pour les connexions entrantes chiffrées et non chiffrées. L'ajout d'un chiffrement ne nécessite pas l'ouverture de nouveaux ports sur les pare-feux.

Limitations

  • Les clés privées sont stockées en texte brut dans des fichiers lisibles par les composants Zabbix lors du démarrage.
  • Les clés pré-partagées sont saisies dans l'interface Zabbix et stockées dans la base de données Zabbix en texte brut.
  • Le chiffrement intégré ne protège pas les communications :
   * entre le serveur Web exécutant l'interface Zabbix et le navigateur Web de l'utilisateur,
          * entre le serveur Web exécutant l'interface Zabbix et le serveur,
          * entre le serveur Zabbix (ou le proxy) et la base de données Zabbix.
       * Actuellement, chaque connexion chiffrée s'ouvre par négociation TLS complète, aucune mise en cache de session et aucun ticket ne sont implémentés.
       * L'ajout du chiffrement augmente la durée des vérifications et des actions, en fonction de la latence du réseau. Par exemple, si le délai de transmission est de 100 ms, l'ouverture d'une connexion TCP et l'envoi d'une requête non chiffrée prennent environ 200 ms.\\ Avec le chiffrement, 1000ms environ sont ajoutés pour établir une connexion TLS.\\ Il peut être nécessaire d'augmenter les délais d'attente. A défaut, certains éléments et actions exécutant des scripts à distance sur des agents fonctionneront en connexion non chiffrée, après échec dû à l'expiration du chiffrement.
       * Le chiffrement n'est pas pris en charge pour la [[fr:manual/discovery/network_discovery|découverte réseau]]. Les vérifications des agents Zabbix effectuées par découverte réseau ne seront pas chiffrées et si l'agent Zabbix est configuré pour rejeter les connexions non chiffrées, ces vérifications échoueront.

Compiler Zabbix avec le support du chiffrement

Pour prendre en charge le chiffrement, Zabbix doit être compilé et lié à l'une des trois bibliothèques cryptographiques suivantes :

  • GnuTLS (à partir de la version 3.1.18).
  • OpenSSL (versions ​1.0.1, 1.0.2, 1.1.0). OpenSSL 1.1.1 est supporté pour les versions Zabbix 3.0.23, 3.4.15, 4.0.1.
  • LibreSSL (testé avec les versions 2.7.4, 2.8.2) est supporté à partir de la version 4.0.6 de Zabbix. LibreSSL 2.6.x n'est pas supporté. LibreSSL est supporté en tant que remplacement compatible de OpenSSL, les nouvelles fonctions tls_*()// de l'API LibreSSL-specific ne sont pas utilisées. Les composants Zabbix compilés avec LibreSSL ne pourront pas utiliser PSK, seuls les certificats peuvent être utilisés.

  * mbed TLS (anciennement PolarSSL) (version 1.3.9 et ultérieures 1.3.x). mbed TLS 2.x n'est actuellement pas supporté, ce n'est pas un remplacement instantané de la branche 1.3, Zabbix ne compilera pas avec mbed TLS 2.x.

La bibliothèque est sélectionnée en spécifiant une des options suivantes au script "configure" :

  • --with-gnutls[=DIR]
  • <​nowiki>​--with-openssl[=DIR]</​nowiki>​ (également utilisé pour LibreSSL)
  • <​nowiki>​--with-mbedtls[=DIR]</​nowiki>

Par exemple, pour configurer les sources pour le serveur et l'agent avec OpenSSL, vous pouvez utiliser le script "configure" comme suit :
./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Différents composants Zabbix peuvent être compilés avec différentes bibliothèques cryptographiques (par exemple, un serveur avec OpenSSL, un agent avec GnuTLS).

Si vous prévoyez d'utiliser des clés pré-partagées (PSK), envisagez d'utiliser les bibliothèques GnuTLS ou mbed TLS pour les composants Zabbix utilisant PSK. Les bibliothèques GnuTLS et mbed TLS prennent en charge les suites de chiffrement PSK avec Confidentialité persistante. La bibliothèque OpenSSL (versions 1.0.1 et 1.0.2c) prend en charge les PSK, mais les suites de chiffrement PSK disponibles ne fournissent pas confidentialité persistante.

Gestion du chiffrement de la connexion

Les connexions dans Zabbix peuvent utiliser :

Deux paramètres importants permettent de spécifier le chiffrement des connexions entre les composants Zabbix :

  • TLSConnect
  • TLSAccept

TLSConnect spécifie le chiffrement à utiliser pour les connexions sortantes et peut prendre une des trois valeurs (unencrypted, PSK, certificate). TLSConnect est utilisé dans les fichiers de configuration pour le proxy Zabbix (en mode actif, spécifie uniquement les connexions au serveur) et l'agent Zabbix (pour les vérifications actives). Dans l'interface Zabbix, les équivalents de TLSConnect sont le champ Connexion à l'hôte de l'onglet Configuration - >Hôtes → <un hôte> → Chiffrement et le champ Connexion au proxy de l'onglet Administration → Proxys → <un proxy> → Chiffrement. Si le type de chiffrement configuré pour la connexion échoue, aucun autre type de chiffrement ne sera essayé.

TLSAccept indique quels types de connexions sont autorisés pour les connexions entrantes. Les types de connexion sont les suivants : unencrypted, PSK, certificate. Une ou plusieurs valeurs peuvent être spécifiées. TLSAccept est utilisé dans les fichiers de configuration du proxy Zabbix (en mode passif, spécifie uniquement les connexions du serveur) et du démon Zabbix agentd (pour les vérifications passives). Dans l'interface Zabbix, les équivalents de TLSAccept sont le champ Connexion de l'hôte de l'onglet Configuration → Hôtes → <un hôte> → Chiffrement et le champ Connexions du proxy de l'onglet Administration → Proxys → <un proxy> → Chiffrement.

Normalement, vous ne configurez qu'un seul type de chiffrement pour les chiffrements entrants. Mais vous pourriez vouloir changer de type de chiffrement, par exemple du non chiffré au certificat avec un temps d'arrêt minimum et une possibilité de retour en arrière.
Pour y parvenir, vous pouvez définir TLSAccept=unencrypted,cert dans le fichier de configuration du démon agentd, puis redémarrer l'agent Zabbix.
Ensuite, vous pourrez tester la connexion avec la commande zabbix_get à destination de l'agent utilisant un certificat. Si cela fonctionne, vous pourrez reconfigurer le chiffrement pour cet agent dans l'onglet Configuration → Hôtes → <un hôte> → Chiffrement de l'interface Zabbix en définissant Connexion à l'hôte à "Certificat".
Lorsque le cache de configuration du serveur est mis à jour (et la configuration du proxy est mise à jour si l'hôte supervisé par un proxy) les connexions à cet agent seront alors chiffrées.
Si tout fonctionne comme prévu, vous pourrez définir TLSAccept=cert dans le fichier de configuration de l'agent et redémarrer l'agent Zabbix.
Dès lors, l'agent n'acceptera que les connexions chiffrées basées sur des certificats. Les connexions non chiffrées et basées sur PSK seront rejetées.

Tout cela fonctionne de la même manière sur le serveur et le proxy. Si dans le champ Connexion de l'hôte de l'onglet Configuration → Hôtes → <un hôte> → Chiffrement de l'interface Zabbix est défini à "Certificat", alors seules les connexions chiffrées basées sur des certificats seront acceptées depuis l'agent (surveillances actives) et du zabbix_sender (éléments trappeur).

Vous configurerez très probablement les connexions entrantes et sortantes pour utiliser le même type de chiffrement ou aucun chiffrement. Mais techniquement, il est possible de passer à une configuration asymétrique, par exemple un chiffrement par certificat pour les connexions entrantes et basées sur PSK pour les connexions sortantes.

Pour une vue d'ensemble, la configuration de chiffrement pour chaque hôte est affichée dans l'interface Zabbix Configuration → Hôtes sur le côté droit, dans la colonne Chiffrement sur l'agent. Exemples d'affichage de configuration :

Exemple Connexions A l'hôte Connexions autorisées DE l'hôte Connexions rejetées DE l'hôte
none.png Non chiffrées Non chiffrées Chiffrées par certificat et PSK
cert.png Chiffrées par certificat Chiffrées par certificat Non chiffrées et chiffrées par PSK
psk_psk.png Chiffrées par PSK Chiffrées par PSK Non chiffrées et chiffrées par certificat
psk_none_psk.png Chiffrées par PSK Non chiffrées et chiffrées par PSK Chiffrées par certificat
all.png Chiffrées par certificat Non chiffrées, chiffrées par certificat et chiffrées par PSK -

Par défaut, les connexions sont non chiffrées. Le chiffrement doit être configuré pour chaque hôte et chaque proxy individuellement.

zabbix_get et zabbix_sender avec chiffrement

Voir les man-pages zabbix_get et zabbix_sender pour une utilisation par chiffrement.

Méthodes de chiffrement

Les méthodes de chiffrement sont configurées en interne lors du démarrage de Zabbix et dépendent de la bibliothèque cryptographique, actuellement ils ne sont pas configurables par l'utilisateur.

Configurations du chiffrements par type de bibliothèque, de la priorité la plus élevée à la plus basse :

Bibliothèque Méthodes de chiffrement par certificat Méthodes de chiffrement PSK
mbed TLS (PolarSSL) 1.3.9 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-RSA-WITH-AES-128-GCM-SHA256
TLS-RSA-WITH-AES-128-CBC-SHA256
TLS-RSA-WITH-AES-128-CBC-SHA		 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256
TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA
TLS-PSK-WITH-AES-128-GCM-SHA256
TLS-PSK-WITH-AES-128-CBC-SHA256
TLS-PSK-WITH-AES-128-CBC-SHA
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Méthodes de chiffrement utilisant des certificats :

Serveur TLS
Client TLS mbed TLS (PolarSSL) GnuTLS OpenSSL 1.0.2
mbed TLS (PolarSSL) TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
GnuTLS TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
OpenSSL 1.0.2 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256

Méthodes de chiffrement utilisant PSK :

Serveur TLS
Client TLS mbed TLS (PolarSSL) GnuTLS OpenSSL 1.0.2
mbed TLS (PolarSSL) TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-PSK-WITH-AES-128-CBC-SHA
GnuTLS TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-ECDHE-PSK-WITH-AES-128-CBC-SHA256 TLS-PSK-WITH-AES-128-CBC-SHA
OpenSSL 1.0.2 TLS-PSK-WITH-AES-128-CBC-SHA TLS-PSK-WITH-AES-128-CBC-SHA TLS-PSK-WITH-AES-128-CBC-SHA

User-configured ciphersuites

The built-in ciphersuite selection criteria can be overridden with user-configured ciphersuites (since Zabbix 4.0.19).

User-configured ciphersuites is a feature intended for advanced users who understand TLS ciphersuites, their security and consequences of mistakes, and who are comfortable with TLS troubleshooting.

The built-in ciphersuite selection criteria can be overridden using the following parameters:

Override scope Parameter Value Description
Ciphersuite selection for certificates TLSCipherCert13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Certificate-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherCert Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Certificate-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Ciphersuite selection for PSK TLSCipherPSK13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). PSK-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherPSK Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. PSK-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Combined ciphersuite list for certificate and PSK TLSCipherAll13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherAll Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

To override the ciphersuite selection in zabbix_get and zabbix_sender utilities - use the command-line parameters:

  • --tls-cipher13
  • --tls-cipher

The new parameters are optional. If a parameter is not specified, the internal default value is used. If a parameter is defined it cannot be empty.

If the setting of a TLSCipher* value in the crypto library fails then the server, proxy or agent will not start and an error is logged.

It is important to understand when each parameter is applicable.

Outgoing connections

The simplest case is outgoing connections:

  • For outgoing connections with certificate - use TLSCipherCert13 or TLSCipherCert
  • For outgoing connections with PSK - use TLSCipherPSK13 and TLSCipherPSK
  • In case of zabbix_get and zabbix_sender utilities the command-line parameters --tls-cipher13 and --tls-cipher can be used (encryption is unambiguously specified with a --tls-connect parameter)
Incoming connections

It is a bit more complicated with incoming connections because rules are specific for components and configuration.

For Zabbix agent:

Agent connection setup Cipher configuration
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

For Zabbix server and ** proxy**:

Connection setup Cipher configuration
Outgoing connections using PSK TLSCipherPSK, TLSCipherPSK13
Incoming connections using certificates TLSCipherAll, TLSCipherAll13
Incoming connections using PSK if server has no certificate TLSCipherPSK, TLSCipherPSK13
Incoming connections using PSK if server has certificate TLSCipherAll, TLSCipherAll13

Some pattern can be seen in the two tables above:

  • TLSCipherAll and TLSCipherAll13 can be specified only if a combined list of certificate- and PSK-based ciphersuites is used. There are two cases when it takes place: server (proxy) with a configured certificate (PSK ciphersuites are always configured on server, proxy if crypto library supports PSK), agent configured to accept both certificate- and PSK-based incoming connections
  • in other cases TLSCipherCert* and/or TLSCipherPSK* are sufficient

The following tables show the TLSCipher* built-in default values. They could be a good starting point for your own custom values.

Parameter GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parameter OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Default values are different for older OpenSSL versions (1.0.1, 1.0.2, 1.1.0), for LibreSSL and if OpenSSL is compiled without PSK support.

** Examples of user-configured ciphersuites **

See below the following examples of user-configured ciphersuites:

Testing cipher strings and allowing only PFS ciphersuites

To see which ciphersuites have been selected you need to set 'DebugLevel=4' in the configuration file, or use the -vv option for zabbix_sender.

Some experimenting with TLSCipher* parameters might be necessary before you get the desired ciphersuites. It is inconvenient to restart Zabbix server, proxy or agent multiple times just to tweak TLSCipher* parameters. More convenient options are using zabbix_sender or the openssl command. Let's show both.

1. Using zabbix_sender.

Let's make a test configuration file, for example /home/zabbix/test.conf, with the syntax of a zabbix_agentd.conf file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

You need valid CA and agent certificates and PSK for this example. Adjust certificate and PSK file paths and names for your environment.

If you are not using certificates, but only PSK, you can make a simpler test file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

The selected ciphersuites can be seen by running zabbix_sender (example compiled with OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Here you see the ciphersuites selected by default. These default values are chosen to ensure interoperability with Zabbix agents running on systems with older OpenSSL versions (from 1.0.1).

With newer systems you can choose to tighten security by allowing only a few ciphersuites, e.g. only ciphersuites with PFS (Perfect Forward Secrecy). Let's try to allow only ciphersuites with PFS using TLSCipher* parameters.

The result will not be interoperable with systems using OpenSSL 1.0.1 and 1.0.2, if PSK is used. Certificate-based encryption should work.

Add two lines to the test.conf configuration file:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

and test again:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

The "certificate ciphersuites" and "PSK ciphersuites" lists have changed - they are shorter than before, only containing TLS 1.3 ciphersuites and TLS 1.2 ECDHE-* ciphersuites as expected.

2. TLSCipherAll and TLSCipherAll13 cannot be tested with zabbix_sender; they do not affect "certificate and PSK ciphersuites" value shown in the example above. To tweak TLSCipherAll and TLSCipherAll13 you need to experiment with the agent, proxy or server.

So, to allow only PFS ciphersuites you may need to add up to three parameters

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

to zabbix_agentd.conf, zabbix_proxy.conf and zabbix_server_conf if each of them has a configured certificate and agent has also PSK.

If your Zabbix environment uses only PSK-based encryption and no certificates, then only one:

  TLSCipherPSK=kECDHEPSK+AES128

Now that you understand how it works you can test the ciphersuite selection even outside of Zabbix, with the openssl command. Let's test all three TLSCipher* parameter values:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

You may prefer openssl ciphers with option -V for a more verbose output:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

Similarly, you can test the priority strings for GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Switching from AES128 to AES256

Zabbix uses AES128 as the built-in default for data. Let's assume you are using certificates and want to switch to AES256, on OpenSSL 1.1.1.

This can be achieved by adding the respective parameters in zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Although only certificate-related ciphersuites will be used, TLSCipherPSK* parameters are defined as well to avoid their default values which include less secure ciphers for wider interoperability. PSK ciphersuites cannot be completely disabled on server/proxy.

And in zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy