Documentation
Table of Contents
1 Configuration du chiffrement MySQL
Aper?u
Cette section fournit plusieurs exemples de configuration de chiffrement pour CentOS 8.2 et MySQL 8.0.21 et peut ¨ºtre utilis¨¦ comme guide de d¨¦marrage rapide pour chiffrer la connexion ¨¤ la base de donn¨¦es.
Si l'h?te MySQL est d¨¦fini sur localhost, les options de chiffrement ne seront pas disponible. Dans ce cas, une connexion entre l'interface Áú»¢¶Ä²© et la base de donn¨¦es utilise un fichier socket (sous Unix) ou une m¨¦moire partag¨¦e (sous Windows) et ne peut pas ¨ºtre crypt¨¦.
La liste de combinaisons de cryptage ne se limitent pas ¨¤ celles r¨¦pertori¨¦es sur cette page. Il y a beaucoup plus de combinaisons disponibles.
Conditions pr¨¦alables
Installez la base de donn¨¦es MySQL ¨¤ partir du .
Voir la pour plus de d¨¦tails sur l'utilisation du r¨¦f¨¦rentiel MySQL.
Le serveur MySQL est pr¨ºt ¨¤ accepter des connexions s¨¦curis¨¦es ¨¤ l'aide d'un certificat auto-sign¨¦.
Pour voir quels utilisateurs utilisent une connexion chiffr¨¦e, ex¨¦cutez la requ¨ºte suivante (le sch¨¦ma de performances doit ¨ºtre activ¨¦)?:
mysql> SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS host
FROM performance_schema.status_by_thread AS sbt
JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id
JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id
WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher'
ORDRE BY tls_version?;Mode requis
Configuration MySQL
Les versions modernes de la base de donn¨¦es sont pr¨ºtes ¨¤ l'emploi pour le mode de cryptage 'required'. Un certificat c?t¨¦ serveur sera cr¨¦¨¦ apr¨¨s la configuration et le lancement initiaux.
Cr¨¦ez des utilisateurs et des r?les pour les principaux composants :
mysql> CREATE USER ?
'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>', ?
'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>'
REQUIRE SSL ?
PASSWORD HISTORY 5;
mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role';
mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role';
mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role';
mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%';
mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%';
mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%';
mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%';Notez que le protocole X.509 n'est pas utilis¨¦ pour v¨¦rifier l'identit¨¦, mais l'utilisateur est configur¨¦ pour utiliser uniquement des connexions crypt¨¦es. Voir pour plus de d¨¦tails sur la configuration des utilisateurs.
Ex¨¦cuter pour v¨¦rifier la connexion (la connexion socket ne peut pas ¨ºtre utilis¨¦e pour tester les connexions s¨¦curis¨¦es) :
V¨¦rifiez l'¨¦tat actuel et les suites de chiffrement disponibles :
mysql> status
--------------
mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL)
Connection id: 62
Current database:
Current user: [email protected]
SSL: Cipher in use is TLS_AES_256_GCM_SHA384
mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G;
** 1. row **
Variable_name: Ssl_cipher_list
Value: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA
1 row in set (0.00 sec)
ERROR:
No query specifiedFrontend
Pour activer le chiffrement de transport uniquement pour les connexions entre Áú»¢¶Ä²© frontend et la base de donn¨¦es?:
- Cochez Database TLS encryption
- Laissez Verify database certificate »å¨¦³¦´Ç³¦³ó¨¦
Serveur
Pour activer le chiffrement de transport uniquement pour les connexions entre le serveur et la base de donn¨¦es, configurez /etc/zabbix/zabbix_server.conf?:
...
DBHost=10.211.55.9
NomDB=zabbix
DBUser=zbx_srv
DBPassword=<strong_password>
DBTLSConnect=obligatoire
...V¨¦rifier le mode CA
Copiez l'autorit¨¦ de certification MySQL requise sur le serveur frontal Áú»¢¶Ä²©, attribuez les autorisations pour autoriser le serveur Web ¨¤ lire ce fichier.
Le mode V¨¦rify CA ne fonctionne pas sur SLES 12 et RHEL 7 en raison d'anciennes biblioth¨¨ques MySQL.
Frontend
Pour activer le chiffrement avec v¨¦rification de certificat pour les connexions entre l'interface Áú»¢¶Ä²© et la base de donn¨¦es?:
- Cochez Database TLS encryption et Verify database certificate
- Sp¨¦cifiez le chemin d'acc¨¨s au fichier CA TLS de la base de donn¨¦es
Alternativement, cela peut ¨ºtre d¨¦fini dans /etc/zabbix/web/zabbix.conf.php?:
...
$DB['ENCRYPTION'] = vrai?;
$DB['KEY_FILE'] = '';
$DB['CERT_FILE'] = '';
$DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
$DB['VERIFY_HOST'] = faux?;
$DB['CIPHER_LIST'] = '';
...D¨¦pannez l'utilisateur ¨¤ l'aide de l'outil de ligne de commande pour v¨¦rifier si la connexion est possible pour l'utilisateur requis?:
Serveur
Pour activer le chiffrement avec v¨¦rification de certificat pour les connexions entre le serveur Áú»¢¶Ä²© et la base de donn¨¦es, configurez /etc/zabbix/zabbix_server.conf?:
...
DBHost=10.211.55.9
NomDB=zabbix
DBUser=zbx_srv
DBPassword=<strong_password>
DBTLSConnect=verify_ca
DBTLSCAFile=/etc/ssl/mysql/ca.pem
...V¨¦rifier le mode Full
Configuration MySQL
D¨¦finissez l'option de configuration du serveur MySQL CE (/etc/my.cnf.d/server-tls.cnf) sur?:
[mysqld]
...
# dans cet exemple, les cl¨¦s sont situ¨¦es dans le r¨¦pertoire datadir de MySQL CE
ssl_ca=ca.pem
ssl_cert=server-cert.pem
ssl_key=server-key.pem
require_secure_transport=ON
tls_version=TLSv1.3
...Les cl¨¦s pour le serveur et le client MySQL CE (interface Áú»¢¶Ä²©) doivent ¨ºtre cr¨¦¨¦es manuellement conform¨¦ment ¨¤ la documentation MySQl CE : ou
Le certificat du serveur MySQL doit contenir le champ Nom commun d¨¦fini sur le nom FQDN car l'interface Áú»¢¶Ä²© utilisera le nom DNS pour communiquer avec la base de donn¨¦es ou l'adresse IP de l'h?te de la base de donn¨¦es.
Cr¨¦ez un utilisateur MySQL?:
mysql> CREATE USER
'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>',
'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>'
REQUIRE X509
PASSWORD HISTORY 5;V¨¦rifiez s'il est possible de se connecter avec cet utilisateur?:
$ mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pemInterface Web
Pour activer le chiffrement avec v¨¦rification compl¨¨te des connexions entre l'interface Áú»¢¶Ä²© et la base de donn¨¦es?:
- V¨¦rifiez le cryptage TLS de la base de donn¨¦es et v¨¦rifier le certificat de la base de donn¨¦es
- Sp¨¦cifiez le chemin d'acc¨¨s au fichier de la cl¨¦ TLS de la base de donn¨¦es
- Sp¨¦cifiez le chemin d'acc¨¨s au fichier CA TLS de la base de donn¨¦es
- Sp¨¦cifiez le chemin d'acc¨¨s au fichier de certificat TLS de la base de donn¨¦es
Notez que la v¨¦rification de l'h?te de la base de donn¨¦es est coch¨¦e et gris¨¦e - cette ¨¦tape ne peut pas ¨ºtre ignor¨¦e pour MySQL.
La liste de chiffrement doit ¨ºtre vide, afin que l'interface et le serveur puissent n¨¦gocier celui requis support¨¦ par les deux extr¨¦mit¨¦s.
Alternativement, cela peut ¨ºtre d¨¦fini dans /etc/zabbix/web/zabbix.conf.php :
...
// Utilis¨¦ pour la connexion TLS avec une liste de chiffrement strictement d¨¦finie.
$DB['ENCRYPTION'] = vrai?;
$DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
$DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
$DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
$DB['VERIFY_HOST'] = true;
$DB['CIPHER_LIST'] ='TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA -AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC'?;
...
// ou
...
// Utilis¨¦ pour la connexion TLS sans liste de chiffrement d¨¦finie - s¨¦lectionn¨¦ par le serveur MySQL
$DB['ENCRYPTION'] = vrai?;
$DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
$DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
$DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
$DB['VERIFY_HOST'] = true;
$DB['CIPHER_LIST'] = '';
...Serveur
Pour activer le chiffrement avec v¨¦rification compl¨¨te des connexions entre le serveur Áú»¢¶Ä²© et la base de donn¨¦es, configurez /etc/zabbix/zabbix_server.conf?: