Zabbix Server と Zabbix Proxy 間の通信を暗号化する

LinuxTech

前回の記事 で、Zabbix Proxy を構築しました。
初期状態では Zabbix Server と Zabbix Proxy の通信が平文となっているため、通信暗号化の設定を行います。

共有鍵方式と証明書方式がありますが、今回は共有鍵方式 (PSK : Pre-Shared Key) を使用します。

構成

Zabbix Server

  • CentOS 7.3 (1611)
  • Zabbix Server 3.2.6
  • 親サーバ

Zabbix Proxy

  • CentOS 7.3 (1611)
  • Zabbix Proxy 3.2.6
  • NAT 内に設置済みのプロキシサーバ

1. 共有鍵の作成

Zabbix Proxy サーバにログインし、鍵を作成します。
64 の部分は鍵の長さで、任意の値を指定できます。

$ sudo openssl rand -hex 64 > /etc/zabbix/zabbix_proxy.psk

今回は Zabbix Proxy と同じ場所にファイルを出力しました。
後ほど使用するため、鍵ファイルの中身を控えておきます。

$ sudo cat /etc/zabbix/zabbix_proxy.psk
11fb16b711ca9e90b25840……

2. Zabbix Proxy 側の設定

zabbix_proxy.conf ファイルを開き、以下の内容を追記します。

TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=<任意のユーザ名>
TLSPSKFile=<上記で作成したファイルのパス>

今回の場合は下記のようになります。

TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=zabbix
TLSPSKFile=/etc/zabbix/zabbix_proxy.psk

設定を反映させるため、サービスを再起動します。

$ sudo systemctl restart zabbix-proxy

3. Zabbix Server 側の設定

Zabbix Server にログインし、管理→プロキシ→登録済みのプロキシを開きます。
以下の内容を設定し、更新 をクリックします。

プロキシからの接続: PSK
PSKアイデンティティ: <TLSPSKIdentity に設定したユーザ名>
PSK: <作成したPSKファイルの文字列>

4. 動作確認

プロキシ一覧を確認し、暗号化欄が PSK となっていること、
最新データ受信時刻 が増え続けていないことを確認します。

念のため、Zabbix Proxy の /var/log/zabbix/zabbix_proxy.log を参照し、エラーが出力されていないことを確認します。

LinuxTech