yuu26's memo

試したことや調べたことなどを記録しています。まずは継続的な更新が目標です。

Zabbix Server と Zabbix Proxy 間の通信を暗号化する

概要

前回の記事 で、Zabbix Proxy を構築しました。

初期状態では Zabbix Server と Zabbix Proxy の通信が平文となっているため、通信暗号化の設定を行います。

f:id:yuu2634:20170528210546p:plain

共有鍵方式と証明書方式がありますが、今回は共有鍵方式 (PSK : Pre-Shared Key) を使用します。


構成

Zabbix Server

  • CentOS 7.3 (1611)
  • Zabbix Server 3.2.6
  • 親サーバ

Zabbix Proxy

  • CentOS 7.3 (1611)
  • Zabbix Proxy 3.2.6
  • NAT 内に設置済みのプロキシサーバ


1. 共有鍵の作成

Zabbix Proxy サーバにログインし、鍵を作成します。
64 の部分は鍵の長さで、任意の値を指定できます。

# openssl rand -hex 64 > /etc/zabbix/zabbix_proxy.psk


今回は Zabbix Proxy と同じ場所にファイルを出力しました。
後ほど使用するため、鍵ファイルの中身を控えておきます。

# cat /etc/zabbix/zabbix_proxy.psk
11fb16b711ca9e90b25840……


2. Zabbix Proxy 側の設定

zabbix_proxy.conf ファイルを開き、以下の内容を追記します。

TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=<任意のユーザ名>
TLSPSKFile=<上記で作成したファイルのパス>


今回の場合は下記のようになります。

TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=zabbix
TLSPSKFile=/etc/zabbix/zabbix_proxy.psk


設定を反映させるため、サービスを再起動します。

# systemctl restart zabbix-proxy


3. Zabbix Server 側の設定

Zabbix Server にログインし、管理→プロキシ→登録済みのプロキシを開きます。
以下の内容を設定し、更新 をクリックします。

プロキシからの接続: PSK
PSKアイデンティティ: <TLSPSKIdentity に設定したユーザ名>
PSK: <作成したPSKファイルの文字列>

f:id:yuu2634:20170528205043p:plain


4. 動作確認

プロキシ一覧を確認し、暗号化欄が PSK となっていること、
最新データ受信時刻 が増え続けていないことを確認します。

f:id:yuu2634:20170528210546p:plain


念のため、Zabbix Proxy の /var/log/zabbix/zabbix_proxy.log を参照し、エラーが出力されていないことを確認します。