Подключение с шифрованием Заббикс Агент <->Сервер

Процесс установки zabbix а так же дополнительных различных вспомогательных программ
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 865
Стаж: 5 лет 9 месяцев
Откуда: Вологодская область
Поблагодарили: 39 раз
Контактная информация:

Подключение с шифрованием Заббикс Агент <->Сервер

Сообщение Артём Мамзиков »

Подключение с шифрованием Заббикс Агент <->Сервер

Оформить!!!!

Накиданно просто инфы

Создание PSK ключа
OpenSSL:
Команда
openssl rand -hex 32

с GnuTLS:
Команда
psktool -u psk_identity -p database.psk -s 32
cat database.psk



Пути в конфиге
TLSConnect=psk
TLSAccept=psk
TLSPSKFile=С:\zabbix\zabbix_agentd.psk
TLSPSKIdentity=PSK 001

После прописать настройки в узел заббикс сервера обновить после чего запустить службу агента!

Агент будет подключаться к серверу (активные проверки) и принимать от сервера и zabbix_get только те соединения, которые используют PSK

zabbix_get -s 192.168.521.965 -p 10051 --tls-connect=psk --tls-psk-identity="PSK 001" --tls-psk-file="C:\zabbix\51programzabbix_agentd.psk" -k agent.ping

zabbix_get -s 127.0.0.1 -k "system.cpu.load[all,avg1]" --tls-connect=psk --tls-psk-identity="PSK 001"
--tls-psk-identity="PSK 001" --tls-psk-file=/home/zabbix/zabbix_agentd.psk

zabbix_get -s имя-хоста-или-IP [-p номер-порта] [-I IP-адрес] -k ключ-элемента-данных
zabbix_get -s имя-хоста-или-IP [-p номер-порта] [-I IP-адрес] --tls-connect cert --tls-ca-file CA-файл [--tls-crl-file CRL-файл] [--tls-agent-cert-issuer эмитент-сертификата] [--tls-agent-cert-subject тема-сертификата] --tls-cert-file файл-сертификата --tls-key-file файл-ключа -k ключ-элемента данных
zabbix_get -s имя-хоста-или-IP [-p номер-порта] [-I IP-адрес] --tls-connect psk --tls-psk-identity идентификатор-PSK --tls-psk-file PSK-файл -k ключ-элемента-данных

нет активных проверок на сервере [192.168.90.111: 10051]: ложное удостоверение PSK для хоста " 51Program"
не удалось принять входящее соединение: от 192.168.90.111: незашифрованные соединения не допускаются
нет активных проверок на сервере [192.168.90.111: 10051]: false PSK identity for host " 51Program"

ошибка получения значения: ошибка zbx_tcp_read (): [104] сброс соединения одноранговым узлом zabbix_get [26488]: проверка ограничений доступа в конфигурации агента
ошибка получения значения: не удается подключиться [[192.168.521.965 ]:10051]: [111] отказано в подключении

При включенном шифровании обычные команды не проходят
zabbix_get -s 192.168.521.965 -p 10050 -k agent.ping
zabbix_get [6147]: Get value error: ZBX_TCP_READ() failed: [104] Connection reset by peer
zabbix_get [6147]: Check access restrictions in Zabbix agent configuration

При отключении шифрования в заббикс в веб панели так же надо отключить # в конфигурации агента узла




Записи инфа пробы изучение

mbed TLS (ранее PolarSSL)(версия 1.3.9 или более новые 1.3.x). mbed TLS 2.x в настоящее время не поддерживается, это не простая замена ветки 1.3, Zabbix не скомпилируется с mbed TLS 2.x.
GnuTLS (с версии 3.1.18)
apt-get install gnutls-bin libgnutls28-dev

OpenSSL (с версии 1.0.1)
apt-get install openssl python-openssl libgnutls-openssl27 libcrypt-ssleay-perl libio-socket-ssl-perl libnet-smtp-ssl-perl libssl-dev

wget https://tls.mbed.org/download/polarssl-1.3.9-gpl.tgz - скачать
tar -zxvf polarssl-1.3.9-gpl.tgz - извлечь
rm -f polarssl-1.3.9-gpl.tgz – удалить архив
cd polarssl-1.3.9

Ставим на Debian
mbedtls
wget http://http.debian.net/debian/pool/main ... rig.tar.gz


GnuTLS
libc6
wget http://ftp.ru.debian.org/debian/pool/ma ... 0_i386.deb
dpkg -i libc6_2.19-18+deb8u10_i386.deb
rm -f libc6_2.19-18+deb8u10_i386.deb

libgmp10
wget http://ftp.ru.debian.org/debian/pool/ma ... 6_i386.deb
dpkg -i libgmp10_6.0.0+dfsg-6_i386.deb
rm -f libgmp10_6.0.0+dfsg-6_i386.deb

libgnutls-deb0-28
wget http://ftp.ru.debian.org/debian/pool/ma ... 7_i386.deb
dpkg -i libgnutls-deb0-28_3.3.8-6+deb8u7_i386.deb
rm -f libgnutls-deb0-28_3.3.8-6+deb8u7_i386.deb

libhogweed2
wget http://ftp.ru.debian.org/debian/pool/ma ... 2_i386.deb
dpkg -i libhogweed2_2.7.1-5+deb8u2_i386.deb
rm -f libhogweed2_2.7.1-5+deb8u2_i386.deb

libidn11
wget http://ftp.ru.debian.org/debian/pool/ma ... 2_i386.deb
dpkg -i libidn11_1.29-1+deb8u2_i386.deb
rm -f libidn11_1.29-1+deb8u2_i386.deb

libnettle4
wget http://ftp.ru.debian.org/debian/pool/ma ... 2_i386.deb
dpkg -i libnettle4_2.7.1-5+deb8u2_i386.deb
rm -f libnettle4_2.7.1-5+deb8u2_i386.deb

libopts25
wget http://ftp.ru.debian.org/debian/pool/ma ... 3_i386.deb
dpkg -i libopts25_5.18.4-3_i386.deb
rm -f libopts25_5.18.4-3_i386.deb

libp11-kit0
wget http://ftp.ru.debian.org/debian/pool/ma ... 1_i386.deb
dpkg -i libp11-kit0_0.20.7-1_i386.deb
rm -f libp11-kit0_0.20.7-1_i386.deb

libtasn1-6
wget http://ftp.ru.debian.org/debian/pool/ma ... 3_i386.deb
dpkg -i libtasn1-6_4.2-3+deb8u3_i386.deb
rm -f libtasn1-6_4.2-3+deb8u3_i386.deb

zlib1g
wget http://ftp.ru.debian.org/debian/pool/ma ... 1_i386.deb
dpkg -i zlib1g_1.2.8.dfsg-2+b1_i386.deb
rm -f zlib1g_1.2.8.dfsg-2+b1_i386.deb

apt-get update
apt-get upgrade
service zabbix-agent stop
service zabbix-server stop
Установка на Сервер
Для того, чтобы скомпилировать gnutls, сначала выполните скрипт ./configure с опцией --with-gnutls. Желательно указать опцию --prefix для запроса пути установки
отличную от умолчания /usr/local, потому что при установке gnutls
будет создано целое дерево каталогов, а не только один исполняемый файл.

$ ./configure --with-gnutls --prefix=$PREFIX

--with-mbedtls[=DIR]
--with-gnutls[=DIR]
--with-openssl[=DIR]

поиск find / -name gnutls путь /usr/include/gnutls

./configure --with-gnutls --prefix=/usr/include/gnutls
./configure --with-gnutls=/usr/include/gnutls

cd /root/zabbix-3.4.6/
./configure --with-mbedtls --with-gnutls --with-openssl
make
make install
nano /usr/local/etc/zabbix_server.conf
service zabbix-server start


--with-gnutls
apt-get install libgnutls-dev / yum install gnutls-devel

--with-ldap
apt-get install libldap2-dev / yum install openldap-devel
количество слов: 769

Вернуться в «Установка Заббикс и Дополнений»