Áú»¢¶Ä²©

Documentation

This is a translation of the original English documentation page. Help us make it better.
2 Qu'est-ce que Áú»¢¶Ä²© ?
3 Fonctionnalit¨¦s de Áú»¢¶Ä²©
4 Aper?u de Áú»¢¶Ä²©
5 Quoi de neuf dans Áú»¢¶Ä²© 6.0.0
6 Quoi de neuf dans Áú»¢¶Ä²© 6.0.1
7 Quoi de neuf dans Áú»¢¶Ä²© 6.0.2
8 Quoi de neuf dans Áú»¢¶Ä²© 6.0.3
9 Quoi de neuf dans Áú»¢¶Ä²© 6.0.4
10 Quoi de neuf dans Áú»¢¶Ä²© 6.0.5
11 Quoi de neuf dans Áú»¢¶Ä²© 6.0.6
12 Quoi de neuf dans Áú»¢¶Ä²© 6.0.7
13 Quoi de neuf dans Áú»¢¶Ä²© 6.0.8
14 Quoi de neuf dans Áú»¢¶Ä²© 6.0.9
15 Quoi de neuf dans 6.0.10
16 Quoi de neuf dans Áú»¢¶Ä²© 6.0.11
17 Quoi de neuf dans Áú»¢¶Ä²© 6.0.12
18 Quoi de neuf dans Áú»¢¶Ä²© 6.0.13
19 Quoi de neuf dans Áú»¢¶Ä²© 6.0.14
20 Quoi de neuf dans Áú»¢¶Ä²© 6.0.15
21 What's new in Áú»¢¶Ä²© 6.0.16
22 What's new in Áú»¢¶Ä²© 6.0.17
23 What's new in Áú»¢¶Ä²© 6.0.18
24 What's new in Áú»¢¶Ä²© 6.0.19
25 What's new in Áú»¢¶Ä²© 6.0.20
26 What's new in Áú»¢¶Ä²© 6.0.21
27 What's new in Áú»¢¶Ä²© 6.0.22
28 What's new in Áú»¢¶Ä²© 6.0.23
29 What's new in Áú»¢¶Ä²© 6.0.24
30 What's new in Áú»¢¶Ä²© 6.0.25
31 What's new in Áú»¢¶Ä²© 6.0.26
32 What's new in Áú»¢¶Ä²© 6.0.27
33 What's new in Áú»¢¶Ä²© 6.0.28
34 What's new in Áú»¢¶Ä²© 6.0.29
35 What's new in Áú»¢¶Ä²© 6.0.30
36 What's new in Áú»¢¶Ä²© 6.0.31
37 What's new in Áú»¢¶Ä²© 6.0.32
38 What's new in Áú»¢¶Ä²© 6.0.33
39 What's new in Áú»¢¶Ä²© 6.0.34
40 What's new in Áú»¢¶Ä²© 6.0.35
41 What's new in Áú»¢¶Ä²© 6.0.36
42 What's new in Áú»¢¶Ä²© 6.0.37
43 What's new in Áú»¢¶Ä²© 6.0.38
44 What's new in Áú»¢¶Ä²© 6.0.39
45 What's new in Áú»¢¶Ä²© 6.0.40
Structure
2. D¨¦finitions
1 Cluster haute disponibilit¨¦
2 Agent
3 Agent 2
4 Proxy
1 Configuration ¨¤ partir des sources
2 Installation ¨¤ partir des paquets RHEL
3 Configuration depuis les packages Debian/Ubuntu
6 Sender
7 Get
8 JS
9 Web service
1 Obtenir Áú»¢¶Ä²©
1 D¨¦pendances du plugin PostgreSQL
2 D¨¦pendances du plugin MongoDB
Bonnes pratiques pour la configuration s¨¦curis¨¦e de Áú»¢¶Ä²©
Construire l'agent Áú»¢¶Ä²© 2 sous Windows
Construire l'agent Áú»¢¶Ä²© sous Windows
Construire l'agent Áú»¢¶Ä²© sur macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Installation de l'agent Windows ¨¤ partir de MSI
5 Installation de l'agent Mac OS ¨¤ partir de PKG
6 Versions instables
Installation with OpenShift
Installation du frontend sur Debian/Ubuntu
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
Mise ¨¤ jour depuis les sources
1 Compilation issues
9 Modifications des mod¨¨les
10 Notes de mise ¨¤ jour pour 6.0.0
11 Notes de mise ¨¤ jour pour 6.0.1
12 Notes de mise ¨¤ jour pour 6.0.2
13 Notes de mise ¨¤ jour pour 6.0.3
14 Notes de mise ¨¤ jour pour 6.0.4
15 Notes de mise ¨¤ jour pour 6.0.5
16 Notes de mise ¨¤ jour pour 6.0.6
17 Notes de mise ¨¤ jour pour 6.0.7
18 Notes de mise ¨¤ jour pour 6.0.8
19 Notes de mise ¨¤ jour pour 6.0.9
20 Notes de mise ¨¤ jour pour 6.0.10
21 Notes de mise ¨¤ jour pour 6.0.11
22 Notes de mise ¨¤ jour pour 6.0.12
23 Notes de mise ¨¤ jour pour 6.0.13
24 Notes de mise ¨¤ jour pour 6.0.14
25 Upgrade notes for 6.0.15
26 Upgrade notes for 6.0.16
27 Upgrade notes for 6.0.17
28 Upgrade notes for 6.0.18
29 Upgrade notes for 6.0.19
30 Upgrade notes for 6.0.20
31 Upgrade notes for 6.0.21
32 Upgrade notes for 6.0.22
33 Upgrade notes for 6.0.23
34 Upgrade notes for 6.0.24
35 Upgrade notes for 6.0.25
36 Upgrade notes for 6.0.26
37 Upgrade notes for 6.0.27
38 Upgrade notes for 6.0.28
39 Upgrade notes for 6.0.29
39 Upgrade notes for 6.0.30
41 Upgrade notes for 6.0.31
42 Upgrade notes for 6.0.32
43 Upgrade notes for 6.0.33
44 Upgrade notes for 6.0.34
45 Upgrade notes for 6.0.35
46 Upgrade notes for 6.0.36
47 Upgrade notes for 6.0.37
48 Upgrade notes for 6.0.38
49 Upgrade notes for 6.0.39
50 Upgrade notes for 6.0.40
1 Connexion et configuration de l'utilisateur
2 Nouvel h?te
3 Nouvel ¨¦l¨¦ment
4 Nouveau d¨¦clencheur
5 Recevoir une notification de probl¨¨me
6 Nouveau mod¨¨le
6. Appliance Áú»¢¶Ä²©
1 Configuration d'un h?te
2 Configuring a host group
2 Inventaire
3 Modification collective
1 Format de cl¨¦ d¡¯¨¦l¨¦ment
2 Intervalles personnalis¨¦s
1 Exemples d'utilisation
2 D¨¦tails du pr¨¦traitement
?chapper les caract¨¨res sp¨¦ciaux des valeurs de macro LLD dans JSONPath
Objets JavaScript suppl¨¦mentaires
5 Pr¨¦traitement CSV vers JSON
Cl¨¦s d'¨¦l¨¦ment sp¨¦cifiques ¨¤ l'agent 2
Cl¨¦s d'¨¦l¨¦ments sp¨¦cifiques ¨¤ Windows
1 Index dynamiques
2 OID sp¨¦ciaux
3 Fichiers MIB
4 V¨¦rifications IPMI
Cl¨¦s d'¨¦l¨¦ment de surveillance VMware
6 Supervision des fichiers journaux
Calculs agr¨¦g¨¦s
8 V¨¦rifications internes
9 V¨¦rifications SSH
10 V¨¦rifications Telnet
11 V¨¦rifications externes
12 ·¡±ô¨¦³¾±ð²Ô³Ù trapper
13 Surveillance JMX
1 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs UnixODBC recommand¨¦s pour MySQL
2 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs UnixODBC recommand¨¦s pour PostgreSQL
3 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs recommand¨¦s pour UnixODBC sur Oracle
4 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs UnixODBC recommand¨¦s pour MSSQL
15 ?l¨¦ments d¨¦pendants
16 Agent HTTP
17 V¨¦rifications Prometheus
18 ?l¨¦ments de script
Aper?u
4 Historique et tendances
1 Extension des agents Áú»¢¶Ä²©
6 Modules chargeables
7 Compteurs de performances Windows
8 Mise ¨¤ jour de masse
9 Table de correspondance des valeurs
10 File d'attente
11 Cache de valeur
12 Ex¨¦cuter maintenant
13 Restreindre les v¨¦rifications des agents
1 Construire des plugins chargeables
1 Configuration d'un d¨¦clencheur
2 Expression de d¨¦clenchement
3 D¨¦pendance des d¨¦clencheurs
4 S¨¦v¨¦rit¨¦ des d¨¦clencheurs
5 Personnalisation des s¨¦v¨¦rit¨¦s des d¨¦clencheurs
6 Modification collective
7 Fonctions pr¨¦dictives de d¨¦clenchement
1 G¨¦n¨¦ration d'¨¦v¨¦nement d¨¦clencheur
2 Autres sources d'¨¦v¨¦nements
3 Fermeture manuelle des probl¨¨mes
1 °ä´Ç°ù°ù¨¦±ô²¹³Ù¾±´Ç²Ô d'¨¦v¨¦nements bas¨¦e sur les d¨¦clencheurs
2 °ä´Ç°ù°ù¨¦±ô²¹³Ù¾±´Ç²Ô globale des ¨¦v¨¦nements
6 Balisage
1 Graphiques simples
2 Graphiques personnalis¨¦s
3 Graphiques ad-hoc
4 Agr¨¦gation dans les graphiques
1 Configuration d'une carte r¨¦seau
2 ?l¨¦ments du groupe d'h?tes
3 Indicateurs de lien
3 Tableaux de bord
4 Tableaux de bord d'h?te
1 Configuration d'un mod¨¨le
2 Lier/D¨¦lier
3 Imbrication
4 Mise ¨¤ jour de masse
Fonctionnement du mod¨¨le d'agent Áú»¢¶Ä²©
Fonctionnement du mod¨¨le de l'agent Áú»¢¶Ä²© 2
Fonctionnement du mod¨¨le JMX
Fonctionnement du mod¨¨le ODBC
²Ñ´Ç»å¨¨±ô±ðs standardis¨¦s pour les p¨¦riph¨¦riques r¨¦seaux
Op¨¦ration de mod¨¨le HTTP
Op¨¦ration de mod¨¨le IPMI
1 E-mail
2 SMS
3 Scripts d'alerte personnalis¨¦s
Exemples de script Webhook
1 Conditions
1 Envoi d'un message
2 Commandes ¨¤ distance
3 Op¨¦rations suppl¨¦mentaires
4 Utiliser des macros dans les messages
3 Op¨¦rations de r¨¦cup¨¦ration
4 Op¨¦rations de mise ¨¤ jour
5 Escalades
3 R¨¦ception de notification pour des ¨¦l¨¦ments non support¨¦s
1 Fonctions de macro
2 Macros utilisateur
3 Macros utilisateur avec contexte
4 Macros de d¨¦couverte de bas niveau
5 Macros d'expression
1 Configuration d'un utilisateur
2 Permissions
3 Groupes d'utilisateur
13 Stockage des secrets
14 Rapports planifi¨¦s
1 Arborescence des services
2 Actions de service
3 SLA
4 Exemple de configuration
1 ?l¨¦ments de supervision Web
2 Sc¨¦nario concret
1 Champs cl¨¦s de d¨¦couverte de machine virtuelle
11. Maintenance
12. Expressions r¨¦guli¨¨res
13. Acquittement des probl¨¨mes
1 Groupes d'h?te
2 ²Ñ´Ç»å¨¨±ô±ðs
3 H?tes
4 Cartes du r¨¦seau
5 Types de m¨¦dia
1 Configuration d'une r¨¨gle de d¨¦couverte r¨¦seau
2 Enregistrement automatique d'agent actif
1 Prototypes d"¨¦l¨¦ment
2 Prototypes de d¨¦clencheur
3 Prototypes de graphique
4 Notes sur la d¨¦couverte de bas niveau
1 D¨¦couverte des syst¨¨mes de fichiers mont¨¦s
2 D¨¦couverte des interfaces r¨¦seau
3 D¨¦couverte des processeurs et des c?urs
4 D¨¦couverte des OID SNMP
5 D¨¦couverte d'objets JMX
6 D¨¦couverte des capteurs IPMI
7 D¨¦couverte des services systemd
8 D¨¦couverte des services Windows
9 D¨¦couverte des instances de compteur de performance Windows
10 D¨¦couverte ¨¤ l'aide de requ¨ºtes WMI
11 D¨¦couverte ¨¤ l'aide de requ¨ºtes SQL ODBC
12 D¨¦couverte ¨¤ l'aide des donn¨¦es Prometheus
13 D¨¦couverte des p¨¦riph¨¦riques de bloc
14 D¨¦couverte des interfaces d'h?tes dans Áú»¢¶Ä²©
7 Custom LLD rules
1 Proxys
1 Par certificat
2 Par cl¨¦s pr¨¦-partag¨¦es (PSK)
1 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs de type de connexion ou d'autorisation
2 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs de certificat
3 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs PSK
1 Menu
1 Journal des actions
2 Horloge
3 Aper?u des donn¨¦es
4 Statut de d¨¦couverte
5 Graphiques favoris
6 Cartes pr¨¦f¨¦r¨¦es
7 G¨¦ocarte
8 Graphique
9 Graphique (classique)
10 Prototype de graphique
11 Disponibilit¨¦ de l'h?te
12 Valeur d'¨¦l¨¦ment
13 Carte
14 Arborescence de navigation de la carte
15 Texte brut
16 H?tes probl¨¦matiques
17 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs
18 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs par gravit¨¦
19 Rapport SLA
20 Information syst¨¨me
20 Top h?tes
22 Aper?u de d¨¦clencheur
22 URL
24 Surveillance Web
2 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs
1 Graphiques
2 Scenarios Web
4 Derni¨¨res donn¨¦es
5 Cartes
6 D¨¦couverte
1 Services
2 Actions de service
3 SLA
4 Rapport SLA
1 Aper?u
2 H?tes
1 Information syst¨¨me
2 Rapports planifi¨¦s
3 Rapport de disponibilit¨¦
4 Top 100 des d¨¦clencheurs
5 Audit
6 Journal des actions
7 Notifications
1 Groupes d'h?tes
1 ·¡±ô¨¦³¾±ð²Ô³Ùs
2 ¶Ù¨¦³¦±ô±ð²Ô³¦³ó±ð³Ü°ùs
3 Graphiques
1 Prototypes d'¨¦l¨¦ment
2 Prototypes de d¨¦clencheur
3 Prototypes de graphique
4 Prototypes d'h?tes
5 Sc¨¦narios Web
1 ·¡±ô¨¦³¾±ð²Ô³Ùs
2 ¶Ù¨¦³¦±ô±ð²Ô³¦³ó±ð³Ü°ùs
3 Graphiques
1 Prototypes d'¨¦l¨¦ment
2 Prototypes de d¨¦clencheur
3 Prototypes de graphique
4 Prototypes d'h?tes
5 Sc¨¦narios Web
4 Maintenance
5 Actions
6 °ä´Ç°ù°ù¨¦±ô²¹³Ù¾±´Ç²Ô des ¨¦v¨¦nements
7 D¨¦couverte
1 G¨¦n¨¦ral
2 Proxys
3 Authentification
4 Groupes d'utilisateurs
5 R?les des utilisateurs
6 Utilisateurs
7 Types de m¨¦dias
8 Scripts
9 File d'attente
1 Notifications globales
2 Son dans les navigateurs
4 Recherche globale
5 Mode maintenance de l'interface Web
6 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de la page
7 D¨¦finitions
8 Cr¨¦er votre propre th¨¨me
9 Mode Debug
10 Cookies utilis¨¦s par Áú»¢¶Ä²©
11 Fuseaux horaires
13 Resetting password
> Objet Action
action.create
action.delete
action.get
action.update
> Objet Alert
alert.get
apiinfo.version
> Objet Authentification
authentication.get
authentication.update
> Objet Carte
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
configuration.importcompare
> Objet Correspondance d'ic?ne
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objet °ä´Ç°ù°ù¨¦±ô²¹³Ù¾±´Ç²Ô
correlation.create
correlation.delete
correlation.get
correlation.update
> Objet ¶Ù¨¦³¦±ô±ð²Ô³¦³ó±ð³Ü°ù
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Objet ?l¨¦ment
item.create
item.delete
item.get
item.update
> Objet ?l¨¦ment de graphique
graphitem.get
> Objet Enregistrement automatique
autoregistration.get
autoregistration.update
> Objet ?v¨¦nement
event.acknowledge
event.get
> Objet Expression r¨¦guli¨¨re
regexp.create
regexp.delete
regexp.get
regexp.update
> Objet Graphique
graph.create
graph.delete
graph.get
graph.update
> Objet Groupe d'h?tes
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Objet Groupe d'utilisateurs
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objet Historique
history.clear
history.get
> Objet H?te
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objet H?te d¨¦couvert
dhost.get
> Objet Image
image.create
image.delete
image.get
image.update
> Objet Interface d'h?te
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objet Audit log
auditlog.get
> Objet Macro utilisateur
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objet Maintenance
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objet ²Ñ´Ç»å¨¨±ô±ð
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Objet Nettoyage
housekeeping.get
housekeeping.update
hanode.get
?> Objet n?ud haute disponibilit¨¦
> Objet ±Ê°ù´Ç²ú±ô¨¨³¾±ð
problem.get
> Objet Prototype d'h?te
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objet Prototype d'¨¦l¨¦ment
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objet Prototype de d¨¦clencheur
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objet Prototype de graphique
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objet Proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objet Rapport
report.create
report.delete
report.get
report.update
> Objet R¨¨gle de d¨¦couverte
drule.create
drule.delete
drule.get
drule.update
> Objet R¨¨gle LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objet ¸é¨¦²µ±ô²¹²µ±ð²õ
settings.get
settings.update
> Objet R?le
role.create
role.delete
role.get
role.update
> Objet Script
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Objet Scenario Web
httptest.create
httptest.delete
httptest.get
httptest.update
> Objet Service
service.create
service.delete
service.get
service.update
> Objet Service d¨¦couvert
dservice.get
> Objet SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objet Tableau de bord
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Carte
14 Map navigation tree
15 Texte brut
16 H?tes probl¨¦matiques
17 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs
18 ±Ê°ù´Ç²ú±ô¨¨³¾±ðs par s¨¦v¨¦rit¨¦
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objet Tableau de bord de mod¨¨le
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objet Table de correspondance
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objet Tendance
trend.get
> Objet Test de d¨¦couverte
dcheck.get
> Objet Token
token.create
token.delete
token.generate
token.get
token.update
> Objet Type de m¨¦dia
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objet T?che
task.create
task.get
> Objet Utilisateur
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
Annexe 1. Commentaire de r¨¦f¨¦rence
Annexe 2. Changements de 5.4 ¨¤ 6.0
Modifications de l'API Áú»¢¶Ä²© dans la version 6.0
20. Modules
1 Cr¨¦ation de la base de donn¨¦es
2 R¨¦paration du jeu de caract¨¨res et de la collation de la base de donn¨¦es Áú»¢¶Ä²©
3 Mise ¨¤ niveau de la base de donn¨¦es vers les cl¨¦s primaires
1 Configuration du chiffrement MySQL
2 Configuration du chiffrement PostgreSQL
5 Configuration TimescaleDB
6 Configuration d'Elasticsearch
7 Exportation en temps r¨¦el des ¨¦v¨¦nements, des valeurs des ¨¦l¨¦ments, des tendances
8 Notes sp¨¦cifiques ¨¤ la distribution sur la configuration de Nginx pour Áú»¢¶Ä²©
9 Ex¨¦cution de l'agent en tant que root
10 Agent Áú»¢¶Ä²© pour Microsoft Windows
11 Configuration SAML avec Okta
12 Configuration de la base de donn¨¦es Oracle
13 Configuration des rapports planifi¨¦s
14 Langues interface Web suppl¨¦mentaires
1 Serveur Áú»¢¶Ä²©
2 Proxy Áú»¢¶Ä²©
3 Áú»¢¶Ä²© agent (UNIX)
4 Áú»¢¶Ä²© agent 2 (UNIX)
5 Agent Áú»¢¶Ä²© (Windows)
6 Agent Áú»¢¶Ä²© 2 (Windows)
1 Plugin Ceph
2 Plugin Docker
3 Ember+ plugin
3 Plugin Memcached
4 Plugin Modbus
5 Plugin MongoDB
6 Plugin MQTT
7 MSSQL plugin
7 Plugin MySQL
8 Plugin Oracle
9 PostgreSQL plugin
10 Plugin Redis
11 Plugin Smart
8 Passerelle Java Áú»¢¶Ä²©
9 Web service Áú»¢¶Ä²©
10 Inclusion
1 Protocole d'¨¦change de donn¨¦es serveur-proxy
2 Protocole de l'agent Áú»¢¶Ä²©
3 Protocole de l'agent Áú»¢¶Ä²© 2
4 Protocole du plug-in agent Áú»¢¶Ä²© 2
5 Protocole d'envoi Áú»¢¶Ä²©
6 En-t¨ºte
7 Protocole d'exportation en temps r¨¦el
1 ?l¨¦ments pris en charge par plate-forme
2 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs vm.memory.size
3 V¨¦rifications passives et actives des agents
4 ?l¨¦ments Trapper
5 Niveau d'autorisation minimum pour les ¨¦l¨¦ments de l'agent Windows
6 Encodage des valeurs renvoy¨¦es
7 Prise en charge des fichiers volumineux
8 Capteur
9 Notes sur le param¨¨tre memtype dans les ¨¦l¨¦ments proc.mem
10 Remarques sur la s¨¦lection des processus dans les ¨¦l¨¦ments proc.mem et proc.num
11 D¨¦tails d'impl¨¦mentation des v¨¦rifications net.tcp.service et net.udp.service
12 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de l'interface h?te inaccessibles/indisponibles
13 Surveillance ¨¤ distance des statistiques Áú»¢¶Ä²©
14 Configurer Kerberos avec Áú»¢¶Ä²©
15 ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de modbus.get
16 Cr¨¦ation de noms de compteurs de performances personnalis¨¦s pour VMware
17 Notes on system.cpu.util items on Windows
1 Fonctions Foreach
2 Fonctions binaires
3 Fonctions date et heure
4 Fonctions d'historique
5 Fonctions de tendance
6 Fonctions math¨¦matiques
7 Fonctions op¨¦rateur
8 Fonctions pr¨¦dictives
9 Fonctions de cha?ne
1 Macros prises en charge
2 Macros utilisateurs support¨¦es par emplacement
8 Symboles d'unit¨¦s
9 Syntaxe de p¨¦riode de temps
10 Ex¨¦cution de commande
11 Compatibilit¨¦ de version
12 Gestion des erreurs de base de donn¨¦es
13 Librairie de liens dynamiques Áú»¢¶Ä²© sender pour Windows
14 Mise ¨¤ niveau de la surveillance des services
14 Python library for Áú»¢¶Ä²© API
15 Autres probl¨¨mes
16 Comparaison agent vs agent 2
18 Escaping examples
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17. Chiffrement

Aper?u

Áú»¢¶Ä²© prend en charge les communications chiffr¨¦es entre les composants Áú»¢¶Ä²© ¨¤ l'aide du protocole Transport Layer Security (TLS) v.1.2 et 1.3 (selon la biblioth¨¨que de chiffrement). Le chiffrement bas¨¦ sur des certificats et bas¨¦ sur des cl¨¦s pr¨¦-partag¨¦es est pris en charge.

Le chiffrement peut ¨ºtre configur¨¦ pour les connexions :

Le chiffrement est facultatif et configurable pour les composants individuels :

  • Certains proxies et agents peuvent ¨ºtre configur¨¦s pour utiliser le chiffrement bas¨¦ sur certificat avec le serveur, tandis que d'autres peuvent utiliser le chiffrement bas¨¦ sur une cl¨¦ pr¨¦-partag¨¦e, et d'autres encore continuent avec des communications non chiffr¨¦es (comme auparavant)
  • Le serveur (proxy) peut utiliser diff¨¦rentes configurations de cryptage pour diff¨¦rents h?tes

Les d¨¦mons Áú»¢¶Ä²© utilisent un port d'¨¦coute pour les connexions entrantes chiffr¨¦es et non chiffr¨¦es. L'ajout d'un cryptage ne n¨¦cessite pas l'ouverture de nouveaux ports sur les pare-feux.

Limitations

  • Les cl¨¦s priv¨¦es sont stock¨¦es en texte brut dans des fichiers lisibles par les composants Áú»¢¶Ä²© lors du d¨¦marrage
  • Les cl¨¦s pr¨¦-partag¨¦es sont saisies dans l'interface Áú»¢¶Ä²© et stock¨¦es dans la base de donn¨¦es Áú»¢¶Ä²© en texte brut
  • Le cryptage int¨¦gr¨¦ ne prot¨¨ge pas les communications :
    • Entre le serveur Web ex¨¦cutant l'interface Áú»¢¶Ä²© et le navigateur Web de l'utilisateur
    • Entre l'interface Áú»¢¶Ä²© et le serveur Áú»¢¶Ä²©
  • Actuellement, chaque connexion crypt¨¦e s'ouvre avec une v¨¦rification TLS compl¨¨te, aucune mise en cache de session et les tickets ne sont impl¨¦ment¨¦s
  • L'ajout du chiffrement augmente le temps de v¨¦rification et d'action des ¨¦l¨¦ments, en fonction de la latence du r¨¦seau :
    • Par exemple, si le d¨¦lai de paquet est de 100 ms, l'ouverture d'une connexion TCP et l'envoi d'une requ¨ºte non chiffr¨¦e prend environ 200 ms. Avec le cryptage, environ 1000 ms sont ajout¨¦es pour ¨¦tablir la connexion TLS ;
    • Il peut ¨ºtre n¨¦cessaire d'augmenter les timeouts, sinon certains ¨¦l¨¦ments et actions ex¨¦cutant des scripts distants sur des agents peuvent fonctionner avec des connexions non chiffr¨¦es, mais ¨¦chouer avec un d¨¦lai d'expiration chiffr¨¦.
  • Le chiffrement n'est pas pris en charge par la d¨¦couverte du r¨¦seau. Les v¨¦rifications de l'agent Áú»¢¶Ä²© effectu¨¦es par la d¨¦couverte du r¨¦seau ne seront pas chiffr¨¦es et si l'agent Áú»¢¶Ä²© est configur¨¦ pour rejeter les connexions non chiffr¨¦es, ces v¨¦rifications ¨¦choueront.

Compiler Áú»¢¶Ä²© avec prise en charge du chiffrement

Pour prendre en charge le chiffrement, Áú»¢¶Ä²© doit ¨ºtre compil¨¦ et li¨¦ ¨¤ l'une des biblioth¨¨ques de chiffrement prises en charge :

  • GnuTLS - ¨¤ partir de la version 3.1.18
  • OpenSSL - versions 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. Notez que 3.0.x est pris en charge depuis Áú»¢¶Ä²© 6.0.4.
  • LibreSSL - test¨¦ avec les versions 2.7.4, 2.8.2 :
    • LibreSSL 2.6.x n'est pas pris en charge
    • LibreSSL est pris en charge en tant que remplacement compatible d'OpenSSL ; les nouvelles fonctions API tls_*() sp¨¦cifiques ¨¤ LibreSSL ne sont pas utilis¨¦es. Les composants Áú»¢¶Ä²© compil¨¦s avec LibreSSL ne pourront pas utiliser PSK, seuls les certificats peuvent ¨ºtre utilis¨¦s.

La biblioth¨¨que est s¨¦lectionn¨¦e en sp¨¦cifiant l'option respective pour "configurer" le script :

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (¨¦galement utilis¨¦ pour LibreSSL)

Par exemple, pour configurer les sources du serveur et de l'agent avec OpenSSL, vous pouvez utiliser quelque chose comme :

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Diff¨¦rents composants Áú»¢¶Ä²© peuvent ¨ºtre compil¨¦s avec diff¨¦rentes biblioth¨¨ques de chiffrement (par exemple, un serveur avec OpenSSL, un agent avec GnuTLS).

Si vous pr¨¦voyez d'utiliser des cl¨¦s pr¨¦-partag¨¦es (PSK), envisagez d'utiliser les biblioth¨¨ques GnuTLS ou OpenSSL 1.1.0 (ou plus r¨¦cent) dans les composants Áú»¢¶Ä²© utilisant des PSK. Les biblioth¨¨ques GnuTLS et OpenSSL 1.1.0 prennent en charge les suites de chiffrement PSK avec . Les anciennes versions de la biblioth¨¨que OpenSSL (1.0.1, 1.0.2c) prennent ¨¦galement en charge les PSK, mais les suites de chiffrement PSK disponibles ne fournissent pas Perfect Forward Secrecy.

Gestion du chiffrement des connexions

Les connexions dans Áú»¢¶Ä²© peuvent utiliser :

Deux param¨¨tres importants sont utilis¨¦s pour sp¨¦cifier le chiffrement entre les composants Áú»¢¶Ä²© :

  • TLSConnect - sp¨¦cifie le chiffrement ¨¤ utiliser pour les connexions sortantes (non chiffr¨¦, PSK ou certificat)
  • TLSAccept - sp¨¦cifie quels types de connexions sont autoris¨¦s pour les connexions entrantes (non crypt¨¦es, PSK ou certificat). Une ou plusieurs valeurs peuvent ¨ºtre sp¨¦cifi¨¦es.

TLSConnect est utilis¨¦ dans les fichiers de configuration pour le proxy Áú»¢¶Ä²© (en mode actif, sp¨¦cifie uniquement les connexions au serveur) et l'agent Áú»¢¶Ä²© (pour les v¨¦rifications actives). Dans l'interface Áú»¢¶Ä²©, l'¨¦quivalent TLSConnect est le champ Connexions ¨¤ l'h?te dans l'onglet Configuration ¡ú H?tes ¡ú <un h?te> ¡ú Chiffrement et le champ Connexions au proxy dans l'onglet Administration ¡ú Proxies ¡ú <un proxy> ¡ú Chiffrement . Si le type de chiffrement configur¨¦ pour la connexion ¨¦choue, aucun autre type de chiffrement ne sera essay¨¦.

TLSAccept est utilis¨¦ dans les fichiers de configuration pour le proxy Áú»¢¶Ä²© (en mode passif, sp¨¦cifie uniquement les connexions depuis le serveur) et l'agent Áú»¢¶Ä²© (pour les v¨¦rifications passives). Dans l'interface Áú»¢¶Ä²©, l'¨¦quivalent TLSAccept est le champ Connexions depuis l'h?te dans l'onglet Configuration ¡ú H?tes ¡ú <un h?te> ¡ú Chiffrement et le champ Connexions depuis le proxy dans l'onglet Administration ¡ú Proxies ¡ú <un proxy> ¡ú Chiffrement .

Normalement, vous ne configurez qu'un seul type de chiffrement pour les chiffrements entrants. Mais vous voudrez peut-¨ºtre changer le type de cryptage, par exemple de non crypt¨¦ ¨¤ bas¨¦ sur certificat avec un temps d'arr¨ºt minimum et une possibilit¨¦ de restauration. Pour y parvenir :

  • ¶Ù¨¦´Ú¾±²Ô¾±²õ²õ±ð³ú TLSAccept=unencrypted,cert dans le fichier de configuration de l'agent et red¨¦marrez l'agent Áú»¢¶Ä²©
  • Testez la connexion avec zabbix_get ¨¤ l'agent ¨¤ l'aide du certificat. Si cela fonctionne, vous pouvez reconfigurer le chiffrement pour cet agent dans l'interface Áú»¢¶Ä²© dans l'onglet Configuration ¡ú H?tes ¡ú <un h?te> ¡ú Chiffrement en d¨¦finissant Connexions ¨¤ l'h?te sur "Certificat".
  • Lorsque le cache de configuration du serveur est mis ¨¤ jour (et que la configuration du proxy est mise ¨¤ jour si l'h?te est surveill¨¦ par proxy), les connexions ¨¤ cet agent seront crypt¨¦es
  • Si tout fonctionne comme pr¨¦vu, vous pouvez d¨¦finir TLSAccept=cert dans le fichier de configuration de l'agent et red¨¦marrer l'agent Áú»¢¶Ä²©. D¨¦sormais, l'agent n'acceptera que les connexions bas¨¦es sur des certificats chiffr¨¦s. Les connexions non chiffr¨¦es et bas¨¦es sur PSK seront rejet¨¦es.

De la m¨ºme mani¨¨re, cela fonctionne sur le serveur et le proxy. Si, dans l'interface Áú»¢¶Ä²©, dans la configuration de l'h?te, Connexions depuis l'h?te est d¨¦fini sur "Certificat", seules les connexions chiffr¨¦es bas¨¦es sur un certificat seront accept¨¦es par l'agent (v¨¦rifications actives) et zabbix_sender (¨¦l¨¦ments de trappeur).

Vous configurerez tr¨¨s probablement les connexions entrantes et sortantes pour utiliser le m¨ºme type de cryptage ou aucun cryptage du tout. Mais techniquement, il est possible de le configurer de mani¨¨re asym¨¦trique, par ex. chiffrement bas¨¦ sur certificat pour les connexions entrantes et bas¨¦ sur PSK pour les connexions sortantes.

La configuration du chiffrement pour chaque h?te est affich¨¦e dans l'interface Áú»¢¶Ä²©, dans Configuration ¡ú H?tes dans la colonne Chiffrement de l'agent. Par exemple:

Exemple Connexions ¨¤ l'h?te Connexions autoris¨¦es depuis l'h?te Connexions rejet¨¦es depuis l'h?te
none_none.png Non crypt¨¦ Non crypt¨¦ Crypt¨¦, certificat et cryptage bas¨¦ sur PSK
cert_cert.png Crypt¨¦, bas¨¦ sur un certificat Crypt¨¦, bas¨¦ sur un certificat Non crypt¨¦ et crypt¨¦ par PSK
psk_psk.png Crypt¨¦, bas¨¦ sur PSK Crypt¨¦, bas¨¦ sur PSK Crypt¨¦ non crypt¨¦ et crypt¨¦ sur certificat
psk_none_psk.png Crypt¨¦, bas¨¦ sur PSK Non crypt¨¦ et crypt¨¦ PSK Crypt¨¦ bas¨¦ sur certificat
cert_all.png Crypt¨¦, bas¨¦ sur certificat Non crypt¨¦, PSK ou crypt¨¦ bas¨¦ sur certificat -

Les connexions ne sont pas chiffr¨¦es par d¨¦faut. Le chiffrement doit ¨ºtre configur¨¦ pour chaque h?te et proxy individuellement.

zabbix_get et zabbix_sender avec chiffrement

Voir les man-pages zabbix_get et zabbix_sender pour une utilisation avec chiffrement.

Suite de chiffrement

Les suites de chiffrement par d¨¦faut sont configur¨¦es en interne lors du d¨¦marrage de Áú»¢¶Ä²© et, avant Áú»¢¶Ä²© 4.0.19, 4.4.7, ne sont pas configurables par l'utilisateur.

Depuis Áú»¢¶Ä²© 4.0.19, 4.4.7, les suites de chiffrement configur¨¦es par l'utilisateur sont ¨¦galement prises en charge pour GnuTLS et OpenSSL. Les utilisateurs peuvent configurer des suites de chiffrement en fonction de leurs politiques de s¨¦curit¨¦. L'utilisation de cette fonctionnalit¨¦ est facultative (les suites de chiffrement par d¨¦faut int¨¦gr¨¦es fonctionnent toujours).

Pour les biblioth¨¨ques de chiffrement compil¨¦es avec les param¨¨tres par d¨¦faut, les r¨¨gles int¨¦gr¨¦es de Áú»¢¶Ä²© entra?nent g¨¦n¨¦ralement les suites de chiffrement suivantes (dans l'ordre de priorit¨¦ la plus ¨¦lev¨¦e ¨¤ la plus faible) :

Librairie Suite de chiffrement Certificat Suite de chiffrement PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

Suites de chiffrement configur¨¦es par l'utilisateur

Les crit¨¨res de s¨¦lection de suite de chiffrement int¨¦gr¨¦s peuvent ¨ºtre remplac¨¦s par des suites de chiffrement configur¨¦es par l'utilisateur.

Les suites de chiffrement configur¨¦es par l'utilisateur sont une fonctionnalit¨¦ destin¨¦e aux utilisateurs avanc¨¦s qui comprennent les suites de chiffrement TLS, leur s¨¦curit¨¦ et les cons¨¦quences des erreurs, et qui sont ¨¤ l'aise avec le d¨¦pannage TLS.

Les crit¨¨res de s¨¦lection de la suite de chiffrement int¨¦gr¨¦e peuvent ¨ºtre remplac¨¦s ¨¤ l'aide des param¨¨tres suivants :

Remplacer la port¨¦e ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð Valeur Description
S¨¦lection de la suite de chiffrement pour les certificats TLSCipherCert13 OpenSSL 1.1.1 valides pour le protocole TLS 1.3 (leurs valeurs sont transmises ¨¤ la fonction OpenSSL SSL_CTX_set_ciphersuites()). Crit¨¨res de s¨¦lection de la suite de chiffrement bas¨¦e sur les certificats pour TLS 1.3

Uniquement OpenSSL 1.1.1 ou version ult¨¦rieure.
TLSCipherCert OpenSSL valides pour TLS 1.2 ou GnuTLS valides. Leurs valeurs sont respectivement transmises aux fonctions SSL_CTX_set_cipher_list() ou gnutls_priority_init(). Crit¨¨res de s¨¦lection des suites de chiffrement bas¨¦es sur des certificats pour TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
S¨¦lection de la suite de chiffrement pour PSK TLSCipherPSK13 OpenSSL 1.1.1 valides pour le protocole TLS 1.3 (leurs valeurs sont transmises ¨¤ la fonction OpenSSL SSL_CTX_set_ciphersuites()). Crit¨¨res de s¨¦lection des suites de chiffrement bas¨¦es sur PSK pour TLS 1.3

Uniquement OpenSSL 1.1.1 ou plus r¨¦cent.
TLSCipherPSK OpenSSL valides pour TLS 1.2 ou GnuTLS valides. Leurs valeurs sont respectivement transmises aux fonctions SSL_CTX_set_cipher_list() ou gnutls_priority_init(). Crit¨¨res de s¨¦lection de suite de chiffrement bas¨¦s sur PSK pour TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Liste combin¨¦e de suites de chiffrement pour certificat et PSK TLSCipherAll13 OpenSSL 1.1.1 valides pour le protocole TLS 1.3 (leurs valeurs sont transmises ¨¤ la fonction OpenSSL SSL_CTX_set_ciphersuites()). Crit¨¨res de s¨¦lection des suites de chiffrement pour TLS 1.3

Uniquement OpenSSL 1.1.1 ou plus r¨¦cent.
TLSCipherAll OpenSSL valides pour TLS 1.2 ou GnuTLS valides. Leurs valeurs sont respectivement transmises aux fonctions SSL_CTX_set_cipher_list() ou gnutls_priority_init(). Crit¨¨res de s¨¦lection Ciphersuite pour TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Pour remplacer la s¨¦lection de la suite de chiffrement dans les utilitaires zabbix_get et zabbix_sender - utilisez les param¨¨tres de ligne de commande :

  • --tls-cipher13
  • --tls-cipher

Les nouveaux param¨¨tres sont facultatifs. Si un param¨¨tre n'est pas sp¨¦cifi¨¦, la valeur par d¨¦faut interne est utilis¨¦e. Si un param¨¨tre est d¨¦fini, il ne peut pas ¨ºtre vide.

Si la d¨¦finition d'une valeur TLSCipher* dans la biblioth¨¨que de chiffrement ¨¦choue, le serveur, le proxy ou l'agent ne d¨¦marre pas et une erreur est consign¨¦e.

Il est important de comprendre quand chaque param¨¨tre est applicable.

Connexions sortantes

Le cas le plus simple est celui des connexions sortantes?:

  • Pour les connexions sortantes avec certificat - utilisez TLSCipherCert13 ou TLSCipherCert
  • Pour les connexions sortantes avec PSK - utilisez TLSCipherPSK13 et TLSCipherPSK
  • Dans le cas des utilitaires zabbix_get et zabbix_sender, les param¨¨tres de ligne de commande --tls-cipher13 et --tls-cipher peuvent ¨ºtre utilis¨¦s (le chiffrement est sp¨¦cifi¨¦ sans ambigu?t¨¦ avec un param¨¨tre --tls-connect)
Connexions entrantes

C'est un peu plus compliqu¨¦ avec les connexions entrantes car les r¨¨gles sont sp¨¦cifiques aux composants et ¨¤ la configuration.

Pour l'agent Áú»¢¶Ä²© :

Configuration de la connexion de l'agent Configuration du chiffrement
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

Pour le serveur et le proxy Áú»¢¶Ä²© :

Configuration de la connexion Configuration du chiffrement
Connexions sortantes utilisant PSK TLSCipherPSK, TLSCipherPSK13
Connexions entrantes utilisant des certificats TLSCipherAll, TLSCipherAll13
Connexions entrantes utilisant PSK si le serveur n'a pas de certificat TLSCipherPSK, TLSCipherPSK13
Connexions entrantes utilisant PSK si le serveur a un certificat TLSCipherAll, TLSCipherAll13

Certains mod¨¨les peuvent ¨ºtre observ¨¦s dans les deux tableaux ci-dessus :

  • TLSCipherAll et TLSCipherAll13 ne peuvent ¨ºtre sp¨¦cifi¨¦s que si une liste combin¨¦e de suites de chiffrement et bas¨¦es sur PSK est utilis¨¦e. Il existe deux cas o¨´ cela se produit : serveur (proxy) avec un certificat configur¨¦ (les suites de chiffrement PSK sont toujours configur¨¦es sur le serveur, proxy si la biblioth¨¨que de chiffrement prend en charge PSK), agent configur¨¦ pour accepter les connexions entrantes bas¨¦es sur certificat et PSK
  • dans les autres cas TLSCipherCert* et/ou TLSCipherPSK* sont suffisants

Les tableaux suivants montrent les valeurs par d¨¦faut int¨¦gr¨¦es de TLSCipher*. Ils pourraient ¨ºtre un bon point de d¨¦part pour vos propres valeurs personnalis¨¦es.

±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Les valeurs par d¨¦faut sont diff¨¦rentes pour les anciennes versions d'OpenSSL (1.0.1, 1.0.2, 1.1.0), pour LibreSSL et si OpenSSL est compil¨¦ sans le support PSK.

** Exemples de suites de chiffrement configur¨¦es par l'utilisateur **

Voir ci-dessous les exemples suivants de suites de chiffrement configur¨¦es par l'utilisateur :

Tester les cha?nes de chiffrement et autoriser uniquement les suites de chiffrement PFS

Pour voir quelles suites de chiffrement ont ¨¦t¨¦ s¨¦lectionn¨¦es, vous devez d¨¦finir 'DebugLevel=4' dans le fichier de configuration, ou utiliser l'option -vv pour zabbix_sender.

Certaines exp¨¦rimentations avec les param¨¨tres TLSCipher * peuvent ¨ºtre n¨¦cessaires avant d'obtenir les suites de chiffrement souhait¨¦es. Il n'est pas pratique de red¨¦marrer plusieurs fois le serveur, le proxy ou l'agent Áú»¢¶Ä²© juste pour modifier les param¨¨tres TLSCipher *. Des options plus pratiques utilisent zabbix_sender ou la commande openssl. Montrons les deux.

1. Utilisation de zabbix_sender.

Cr¨¦ons un fichier de configuration de test, par exemple /home/zabbix/test.conf, avec la syntaxe d'un fichier zabbix_agentd.conf :

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Vous avez besoin de certificats CA et d'agent valides et de PSK pour cet exemple. Ajustez les chemins et les noms des certificats et des fichiers PSK pour votre environnement.

Si vous n'utilisez pas de certificats, mais uniquement PSK, vous pouvez cr¨¦er un fichier de test plus simple :

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

Les suites de chiffrement s¨¦lectionn¨¦es peuvent ¨ºtre vues en ex¨¦cutant zabbix_sender (exemple compil¨¦ avec OpenSSL 1.1.d) :

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Ici, vous voyez les suites de chiffrement s¨¦lectionn¨¦es par d¨¦faut. Ces valeurs par d¨¦faut sont choisies pour assurer l'interop¨¦rabilit¨¦ avec les agents Áú»¢¶Ä²© ex¨¦cut¨¦s sur des syst¨¨mes avec des versions OpenSSL plus anciennes (¨¤ partir de 1.0.1).

Avec les syst¨¨mes plus r¨¦cents, vous pouvez choisir de renforcer la s¨¦curit¨¦ en n'autorisant que quelques suites de chiffrement, par exemple uniquement les suites de chiffrement avec PFS (Perfect Forward Secrecy). Essayons de n'autoriser que les suites de chiffrement avec PFS en utilisant les param¨¨tres TLSCipher*.

Le r¨¦sultat ne sera pas interop¨¦rable avec les syst¨¨mes utilisant OpenSSL 1.0.1 et 1.0.2, si PSK est utilis¨¦. Le chiffrement bas¨¦ sur des certificats devrait fonctionner.

Ajoutez deux lignes au fichier de configuration test.conf :

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

et testez ¨¤ nouveau :

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Les listes "certificate ciphersuites" et "PSK ciphersuites" ont chang¨¦ - elles sont plus courtes qu'auparavant, ne contenant que les suites de chiffrement TLS 1.3 et les suites de chiffrement TLS 1.2 ECDHE-* comme pr¨¦vu.

2. TLSCipherAll et TLSCipherAll13 ne peuvent pas ¨ºtre test¨¦s avec zabbix_sender ; ils n'affectent pas la valeur "certificate and PSK ciphersuites" indiqu¨¦e dans l'exemple ci-dessus. Pour modifier TLSCipherAll et TLSCipherAll13, vous devez l'exp¨¦rimenter avec l'agent, le proxy ou le serveur.

Ainsi, pour autoriser uniquement les suites de chiffrement PFS, vous devrez peut-¨ºtre ajouter jusqu'¨¤ trois param¨¨tres

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

dans zabbix_agentd.conf, zabbix_proxy.conf et zabbix_server.conf si chacun d'eux a un certificat configur¨¦ et que l'agent a ¨¦galement PSK.

Si votre environnement Áú»¢¶Ä²© utilise uniquement un chiffrement bas¨¦ sur PSK et aucun certificat, alors un seul :

  TLSCipherPSK=kECDHEPSK+AES128

Maintenant que vous comprenez comment cela fonctionne, vous pouvez tester la s¨¦lection de la suite de chiffrement m¨ºme en dehors de Áú»¢¶Ä²©, avec la commande openssl. Testons les trois valeurs de param¨¨tre TLSCipher* :

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

Vous pouvez pr¨¦f¨¦rer openssl ciphers avec l'option -V pour une sortie plus d¨¦taill¨¦e :

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

De m¨ºme, vous pouvez tester les cha?nes de priorit¨¦ pour GnuTLS :

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Passer de AES128 ¨¤ AES256

Áú»¢¶Ä²© utilise AES128 par d¨¦faut pour les donn¨¦es. Supposons que vous utilisiez des certificats et que vous souhaitiez passer ¨¤ AES256, sur OpenSSL 1.1.1.

Ceci peut ¨ºtre r¨¦alis¨¦ en ajoutant les param¨¨tres respectifs suivants dans zabbix_server.conf :

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Bien que seules les suites de chiffrement li¨¦es aux certificats soient utilis¨¦es, les param¨¨tres TLSCipherPSK* sont ¨¦galement d¨¦finis pour ¨¦viter leurs valeurs par d¨¦faut qui incluent des chiffrements moins s¨¦curis¨¦s pour une interop¨¦rabilit¨¦ plus large. Les suites de chiffrement PSK ne peuvent pas ¨ºtre compl¨¨tement d¨¦sactiv¨¦es sur le serveur/proxy.

Et dans zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
? 2001-2025 by Áú»¢¶Ä²© SIA. All rights reserved.
Except where otherwise noted, Áú»¢¶Ä²© Documentation is licensed under the following license
Trademark Policy