Documentation
Table of Contents
2. Настройка шифрования для PostgreSQL
Обзор
В этом разделе предоставлено несколько примеров настроек шифрования для CentOS 8.2 и PostgreSQL 13.
Если значение поля Хост базы данных начинается с косой черты или это поле пустое, то соединения между веб-интерфейсом Zabbix и PostgreSQL шифрованными быть не могут (параметры в GUI выключаются).
Предварительные требования
Установите базу данных PostgreSQL, используя официальный репозиторий.
«Из коробки» PostgreSQL не настроен на приём TLS подключений. Пожалуйста, следуйте инструкциям из документации PostgreSQL для подготовки сертификата и postgresql.conf [en], а также для контроля доступа пользователей[en] посредством файла ph_hba.conf.
По умолчанию, сокет PostgreSQL привязан к localhost, для удалённых сетевых подключений разрешите прослушивание на реальном сетевом интерфейсе.
Настройки PostgreSQL для всех режимов могут выглядеть следующим образом:
/var/lib/pgsql/13/data/postgresql.conf:
... ssl = on ssl_ca_file = 'root.crt' ssl_cert_file = 'server.crt' ssl_key_file = 'server.key' ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL' ssl_prefer_server_ciphers = on ssl_min_protocol_version = 'TLSv1.3' ...Для контроля доступа подправьте /var/lib/pgsql/13/data/pg_hba.conf:
... ### require hostssl all all 0.0.0.0/0 md5 ### verify CA hostssl all all 0.0.0.0/0 md5 clientcert=verify-ca ### verify full hostssl all all 0.0.0.0/0 md5 clientcert=verify-full ...Режим Required
Веб-интерфейс
Чтобы включить только шифрование на транспортном уровне для соединений между веб-интерфейсом Zabbix и базой данных:
- Отметьте TLS шифрование базы данных
- Оставьте Удостоверять сертификат базы данных неотмеченным
Сервер
Чтобы включить только шифрование на транспортном уровне для соединений между сервером Zabbix и базой данных, настройте /etc/zabbix/zabbix_server.conf:
... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword=<strong_password> DBTLSConnect=required ...Режим Verify CA
Веб-интерфейс
Чтобы включить шифрование с проверкой сертификата для соединений между веб-интерфейсом Zabbix и базой данных:
- Отметьте TLS шифрование базы данных и Удостоверять сертификат базы данных
- Укажите путь в поле Файл TLS CA базы данных
В качестве альтернативы, можно выставить в /etc/zabbix/web/zabbix.conf.php:
... $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = ''; $DB['CERT_FILE'] = ''; $DB['CA_FILE'] = '/etc/ssl/pgsql/root.crt'; $DB['VERIFY_HOST'] = false; $DB['CIPHER_LIST'] = ''; ...Сервер
Чтобы включить шифрование с проверкой сертификата для соединений между сервером Zabbix и базой данных, настройте /etc/zabbix/zabbix_server.conf:
... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword=<strong_password> DBTLSConnect=verify_ca DBTLSCAFile=/etc/ssl/pgsql/root.crt ...Режим Verify full
Веб-интерфейс
Чтобы включить шифрование с сертификатом и проверкой идентичности узла базы данных для соединений между веб-интерфейсом Zabbix и базой данных:
- Отметьте TLS шифрование базы данных и Удостоверять сертификат базы данных
- Укажите путь в поле Файл TLS ключа базы данных
- Укажите путь в поле Файл TLS CA базы данных
- Укажите путь в поле Файл TLS сертификата базы данных
- Отметьте Сверка хоста базы данных
Как альтернатива, можно задать в /etc/zabbix/web/zabbix.conf.php:
$DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = ''; $DB['CERT_FILE'] = ''; $DB['CA_FILE'] = '/etc/ssl/pgsql/root.crt'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = ''; ...Сервер
Чтобы включить шифрование с сертификатом и проверкой идентичности узла базы данных для соединений между сервером Zabbix и базой данных, настройте /etc/zabbix/zabbix_server.conf: