韓誥傭痔

Table of Contents

2 Par cl谷s pr谷-partag谷es (PSK)

2 Par cl谷s pr谷-partag谷es (PSK)

Vue d'ensemble

Chaque cl谷 pr谷-partag谷e (PSK) de 韓誥傭痔 est en fait une paire de:

cha?ne d'identit谷 PSK non secr豕te,
valeur de cha?ne PSK secr豕te.

La cha?ne d'identit谷 PSK est une cha?ne UTF-8 non vide. Par exemple, "PSK ID 001 韓誥傭痔 agentd". C'est un nom unique par lequel ce composant PSK sp谷cifique est d谷sign谷 par les composants 韓誥傭痔. Ne placez pas d'informations sensibles dans la cha?ne d'identit谷 PSK - elles sont transmises non crypt谷es sur le r谷seau.

La valeur PSK est une cha?ne de caract豕res hexad谷cimaux difficile 角 deviner, par exemple "e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9".

Limites de taille

Il existe des limites de taille pour l'identit谷 et la valeur PSK dans 韓誥傭痔, dans certains cas, une biblioth豕que cryptographique peut avoir une limite inf谷rieure:

Composant	Taille maximale de l'identit谷 PSK	Taille minimale de la valeur PSK	Taille maximale de la valeur PSK
韓誥傭痔	128 caract豕res UTF-8	128-bit (16-byte PSK, saisis comme 32 caract豕res hexad谷cimaux)	2048 bits (256 octets PSK, saisis comme 512 caract豕res hexad谷cimaux)
GnuTLS	128 octets (peut inclure des caract豕res UTF-8)	-	2048 bits (256 octets PSK, saisis comme 512 caract豕res hexad谷cimaux)
mbed TLS (PolarSSL)	128 caract豕res UTF-8	-	256 bits (limite par d谷faut) (32 octets PSK, saisis comme 64 caract豕res hexad谷cimaux)
OpenSSL	127 octets (peut inclure des caract豕res UTF-8)	-	2048 bits (256 octets PSK, saisis comme 512 caract豕res hexad谷cimaux)

L'interface 韓誥傭痔 permet de configurer une cha?ne d'identit谷 PSK longue de 128 caract豕res et une longueur PSK longue de 2048 bits quelles que soient les biblioth豕ques cryptographiques utilis谷es.
Si certains composants 韓誥傭痔 supportent des limites inf谷rieures, il est de la responsabilit谷 de l'utilisateur de configurer l'identit谷 et la valeur PSK avec la longueur autoris谷e pour ces composants.
Le d谷passement des limites de longueur entra?ne des d谷faillances de communication entre les composants 韓誥傭痔.

Avant que le serveur 韓誥傭痔 se connecte 角 l'agent 角 l'aide de PSK, le serveur recherche l'identit谷 PSK et la valeur PSK configur谷es pour cet agent dans la base de donn谷es (actuellement dans le cache de configuration). ? la r谷ception d'une connexion, l'agent utilise l'identit谷 PSK et la valeur PSK de son fichier de configuration. Si les deux parties ont la m那me cha?ne d'identit谷 PSK et la m那me valeur PSK, la connexion peut r谷ussir.

Il est de la responsabilit谷 de l'utilisateur de s'assurer qu'il n'y a pas deux PSK ayant la m那me cha?ne d'identit谷 avec des valeurs diff谷rentes. Ne pas le faire peut entra?ner des perturbations impr谷visibles de la communication entre les composants 韓誥傭痔 utilisant des PSK avec cette cha?ne d＊identit谷 PSK.

G谷n谷ration de PSK

Par exemple, un PSK de 256 bits (32 octets) peut 那tre g谷n谷r谷角 l'aide des commandes suivantes:

avec OpenSSL:

  $ openssl rand -hex 32
         af8ced32dfe8714e548694e2d29e1a14ba6fa13f216cb35c19d0feb1084b0429

avec GnuTLS:

  $ psktool -u psk_identity -p database.psk -s 32
         Generating a random key for user 'psk_identity'
         Key stored to database.psk
         
         $ cat database.psk 
         psk_identity:9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb

Notez que la commande "psktool" ci-dessus g谷n豕re un fichier de base de donn谷es avec une identit谷 PSK et son PSK associ谷. 韓誥傭痔 ne pr谷voit qu'un PSK dans le fichier PSK. Par cons谷quent, la cha?ne d'identit谷 et les deux-points (':') doivent 那tre supprim谷s du fichier.

Configuration de PSK pour la communication serveur-agent (exemple)

Sur l'h?te de l'agent, 谷crire la valeur PSK dans un fichier, par exemple, /home/zabbix/zabbix_agentd.psk. Le fichier doit contenir un PSK dans la premi豕re cha?ne de texte, par exemple:

1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952

D谷finir les droits d＊acc豕s au fichier PSK - il ne doit 那tre lisible que par l＊utilisateur 韓誥傭痔.

Modifier les param豕tres TLS dans le fichier de configuration de l'agent zabbix_agentd.conf, par exemple, d谷finir:

TLSConnect=psk
       TLSAccept=psk
       TLSPSKFile=/home/zabbix/zabbix_agentd.psk
       TLSPSKIdentity=PSK 001

L'agent se connecte au serveur (contr?les actifs) et accepte 角 partir du serveur et de la commande zabbix_get uniquement les connexions utilisant PSK. L'identit谷 PSK sera "PSK 001".

Red谷marrer l'agent. Maintenant, vous pouvez tester la connexion en utilisant la commande zabbix_get, par exemple:

$ zabbix_get -s 127.0.0.1 -k "system.cpu.load[all,avg1]" --tls-connect=psk \
                   --tls-psk-identity="PSK 001" --tls-psk-file=/home/zabbix/zabbix_agentd.psk

(Pour minimiser les temps d'interruption, modifier le type de connexion comme d谷crit dans Gestion du chiffrement de la connexion).

Configurer le chiffrement PSK pour cet agent dans l'interface 韓誥傭痔:

Aller dans: Configuration ↙ H?tes
S谷lectionner l'h?te et cliquer sur l'onglet Chiffrement

Exemple:

Tous les champs de saisie obligatoires sont marqu谷s d'un ast谷risque rouge.

D豕s lors que le cache de configuration est synchronis谷 avec la base de donn谷es, les nouvelles connexions utilisent PSK. V谷rifier les fichiers journaux du serveur et de l'agent 角 la recherche de messages d'erreur.

Configuration de PSK pour le serveur - communication proxy active (exemple)

Sur le proxy, 谷crivez la valeur PSK dans un fichier, par exemple, /home/zabbix/zabbix_proxy.psk. Le fichier doit contenir le PSK dans la premi豕re cha?ne de texte, par exemple:

e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9

D谷finir les droits d＊acc豕s au fichier PSK - il ne doit 那tre lisible que par l＊utilisateur 韓誥傭痔.

Modifier les param豕tres TLS dans le fichier de configuration de proxy zabbix_proxy.conf, par exemple, d谷finir:

TLSConnect=psk
       TLSPSKFile=/home/zabbix/zabbix_proxy.psk
       TLSPSKIdentity=PSK 002

Le proxy se connecte au serveur en utilisant PSK. L'identit谷 PSK sera "PSK 002".

(Pour minimiser les temps d'interruption, modifier le type de connexion comme d谷crit dans Gestion du chiffrement de la connexion).

Configurer PSK pour ce proxy dans l'interface 韓誥傭痔. Aller dans // Administration↙ Proxys //, s谷lectionner le proxy et aller dans l'onglet "Chiffrement". Dans "Connexions du proxy", cocher PSK. Coller dans le champ "Identit谷 PSK" "PSK 002" et "e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9" dans le champ "PSK". Cliquez sur "Actualiser".

Red谷marrer le proxy. Il commencera 角 utiliser des connexions au serveur chiffr谷es bas谷es sur PSK. V谷rifiez les fichiers journaux du serveur et du proxy 角 la recherche de messages d'erreur.

Pour un proxy passif, la proc谷dure est similaire. La seule diff谷rence est - d谷finir TLSAccept=psk dans le fichier de configuration du proxy et d谷finir "Connections du proxy" dans l'interface 韓誥傭痔角 PSK.