Documentation
Table of Contents
4 Biztons¨¢gos kapcsolat az adatb¨¢zissal
?³Ù³Ù±ð°ì¾±²Ô³Ù¨¦²õ
Ez a szakasz a Áú»¢¶Ä²© be¨¢ll¨ªt¨¢si l¨¦p¨¦seit ¨¦s konfigur¨¢ci¨®s p¨¦ld¨¢it tartalmazza biztons¨¢gos TLS kapcsolatok a k?vetkez?k k?z?tt:
| ´¡»å²¹³Ù²ú¨¢³ú¾±²õ | Áú»¢¶Ä²© ?sszetev?k |
|---|---|
| MySQL | Áú»¢¶Ä²© frontend, Áú»¢¶Ä²© szerver, Áú»¢¶Ä²© proxy |
| PostgreSQL | Áú»¢¶Ä²© frontend, Áú»¢¶Ä²© szerver, Áú»¢¶Ä²© proxy |
A DBMS-en bel¨¹li kapcsolattitkos¨ªt¨¢s be¨¢ll¨ªt¨¢s¨¢hoz l¨¢sd a hivatalos sz¨¢ll¨ªt¨®t dokument¨¢ci¨® a r¨¦szletek¨¦rt:
- : forr¨¢s- ¨¦s replika-replik¨¢ci¨®s adatb¨¢zis-kiszolg¨¢l¨®k.
- : csoportreplik¨¢ci¨® stb. adatb¨¢zis-kiszolg¨¢l¨®k.
- titkos¨ªt¨¢si lehet?s¨¦gek.
Minden p¨¦lda a MySQL CE (8.0) ¨¦s a PgSQL GA-kiad¨¢sain alapul (13) az AlmaLinux 8 haszn¨¢lat¨¢val el¨¦rhet? hivatalos adatt¨¢rakb¨®l.
°?±¹±ð³Ù±ð±ô³¾¨¦²Ô²â±ð°ì
A titkos¨ªt¨¢s be¨¢ll¨ªt¨¢s¨¢hoz a k?vetkez?k sz¨¹ks¨¦gesek:
- Fejleszt? ¨¢ltal t¨¢mogatott oper¨¢ci¨®s rendszer OpenSSL >=1.1.X vagy alternat¨ªv.
Javasoljuk, hogy ker¨¹lje az oper¨¢ci¨®s rendszert az ¨¦lettartam v¨¦g¨¦n, k¨¹l?n?sen ¨²j telep¨ªt¨¦sek eset¨¦n
- ´¡»å²¹³Ù²ú¨¢³ú¾±²õ motor (RDBMS) telep¨ªtve ¨¦s karbantartva a hivatalos a fejleszt? ¨¢ltal biztos¨ªtott adatt¨¢r. Az oper¨¢ci¨®s rendszereket gyakran sz¨¢ll¨ªtj¨¢k elavult adatb¨¢zisszoftver-verzi¨®kkal, amelyekhez titkos¨ªt¨¢st kell alkalmazni t¨¢mogat¨¢s nincs megval¨®s¨ªtva, p¨¦ld¨¢ul RHEL 7 alap¨² rendszerek ill PostgreSQL 9.2, MariaDB 5.5 titkos¨ªt¨¢si t¨¢mogat¨¢s n¨¦lk¨¹l.
°Õ±ð°ù³¾¾±²Ô´Ç±ô¨®²µ¾±²¹
Ennek a be¨¢ll¨ªt¨¢snak a megad¨¢sa k¨¦nyszer¨ªti a TLS-kapcsolat haszn¨¢lat¨¢t az adatb¨¢zishoz Áú»¢¶Ä²© szerver/proxy ¨¦s frontend az adatb¨¢zishoz:
- k?telez? - csatlakozzon TLS-sel, mint sz¨¢ll¨ªt¨¢si m¨®ddal, azonos¨ªt¨® n¨¦lk¨¹l csekk;
- verify_ca - csatlakozzon TLS-sel ¨¦s ellen?rizze a tan¨²s¨ªtv¨¢nyt;
- verify_full - csatlakozzon TLS-sel, ellen?rizze a tan¨²s¨ªtv¨¢nyt, ¨¦s ellen?rizze a DBHost ¨¢ltal megadott adatb¨¢zis-azonos¨ªt¨® (CN) megegyezik a tan¨²s¨ªtv¨¢ny¨¢val;
Áú»¢¶Ä²© konfigur¨¢ci¨®
Frontend az adatb¨¢zishoz
Az adatb¨¢zishoz val¨® biztons¨¢gos kapcsolat a frontend sor¨¢n konfigur¨¢lhat¨® telep¨ªt¨¦s:
- Jel?lje be az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS titkos¨ªt¨¢s jel?l?n¨¦gyzetet a Configure DB connection l¨¦p¨¦s a sz¨¢ll¨ªt¨¢si titkos¨ªt¨¢s enged¨¦lyez¨¦s¨¦hez.
- Jel?lje be az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ-tan¨²s¨ªtv¨¢ny ellen?rz¨¦se jel?l?n¨¦gyzetet, amely akkor jelenik meg A TLS titkos¨ªt¨¢s mez? be van jel?lve a titkos¨ªt¨¢s enged¨¦lyez¨¦s¨¦hez tan¨²s¨ªtv¨¢nyokat.
MySQL eset¨¦n az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS titkos¨ªt¨¢s jel?l?n¨¦gyzet a k?vetkez? letiltva, ha a Database host be¨¢ll¨ªt¨¢sa localhost, mert a kapcsolat amely socket f¨¢jlt (Unix rendszeren) vagy megosztott mem¨®ri¨¢t (Windows rendszeren) haszn¨¢l, nem titkos¨ªtva legyen.
PostgreSQL eset¨¦n a TLS titkos¨ªt¨¢s jel?l?n¨¦gyzet le van tiltva, ha az ¨¦rt¨¦k az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ host mez? perjellel kezd?dik, vagy a mez? ¨¹res.
A k?vetkez? param¨¦terek v¨¢lnak el¨¦rhet?v¨¦ a TLS titkos¨ªt¨¢sban tan¨²s¨ªtv¨¢ny m¨®d (ha mindk¨¦t jel?l?n¨¦gyzet be van jel?lve):
| ±Ê²¹°ù²¹³¾¨¦³Ù±ð°ù | ³¢±ð¨ª°ù¨¢²õ |
|---|---|
| ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS CA-f¨¢jl | Adja meg az ¨¦rv¨¦nyes TLS-tan¨²s¨ªtv¨¢nyszolg¨¢ltat¨® (CA) f¨¢jl teljes el¨¦r¨¦si ¨²tj¨¢t. |
| ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-kulcsf¨¢jlja | Adja meg az ¨¦rv¨¦nyes TLS-kulcsf¨¢jl teljes el¨¦r¨¦si ¨²tj¨¢t. |
| ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-tan¨²s¨ªtv¨¢nyf¨¢jl | Adja meg az ¨¦rv¨¦nyes TLS-tan¨²s¨ªtv¨¢nyf¨¢jl teljes el¨¦r¨¦si ¨²tj¨¢t. |
| ´¡»å²¹³Ù²ú¨¢³ú¾±²õ gazdag¨¦p ellen?rz¨¦se | Jel?lje be ezt a jel?l?n¨¦gyzetet a gazdag¨¦p-ellen?rz¨¦s aktiv¨¢l¨¢s¨¢hoz. Letiltva a MYSQL-n¨¦l, mert a PHP MySQL k?nyvt¨¢r nem teszi lehet?v¨¦ a peer tan¨²s¨ªtv¨¢ny ¨¦rv¨¦nyes¨ªt¨¦si l¨¦p¨¦s¨¦nek kihagy¨¢s¨¢t. |
| ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS titkos¨ªt¨¢si list¨¢ja | Adja meg az ¨¦rv¨¦nyes titkos¨ªt¨¢sok egy¨¦ni list¨¢j¨¢t. A rejtjellista form¨¢tum¨¢nak meg kell felelnie az OpenSSL szabv¨¢nynak. Csak MySQL eset¨¦n ¨¦rhet? el. |
A TLS-param¨¦tereknek ¨¦rv¨¦nyes f¨¢jlokra kell mutatniuk. Ha ?k nem l¨¦tez? vagy ¨¦rv¨¦nytelen f¨¢jlokra mutat, akkor a enged¨¦lyez¨¦si hiba.
Ha a tan¨²s¨ªtv¨¢nyf¨¢jlok ¨ªrhat¨®k, a frontend figyelmeztet¨¦st gener¨¢l a rendszer information](/manual/web_interface/frontend_sections/reports/status_of_zabbix) jelentse, hogy "A TLS-tan¨²s¨ªtv¨¢nyf¨¢jloknak csak olvashat¨®knak kell lenni¨¹k." (csak megjelenik ha a PHP felhaszn¨¢l¨® a tan¨²s¨ªtv¨¢ny tulajdonosa).
A jelsz¨®val v¨¦dett tan¨²s¨ªtv¨¢nyok nem t¨¢mogatottak.
Haszn¨¢lati esetek
A Áú»¢¶Ä²© frontend grafikus fel¨¹letet haszn¨¢l a lehets¨¦ges opci¨®k meghat¨¢roz¨¢s¨¢hoz: k?telez?, verify_ca, verify_full. Adja meg a sz¨¹ks¨¦ges be¨¢ll¨ªt¨¢sokat a telep¨ªt¨¦sben var¨¢zsl¨® l¨¦p¨¦se DB-kapcsolatok konfigur¨¢l¨¢sa. Ezek a lehet?s¨¦gek a konfigur¨¢ci¨®s f¨¢jlt (zabbix.conf.php) a k?vetkez? m¨®don:
| GUI be¨¢ll¨ªt¨¢sok | °´Ç²Ô´Ú¾±²µ³Ü°ù¨¢³¦¾±¨®s f¨¢jl | ³¢±ð¨ª°ù¨¢²õ | ·¡°ù±ð»å³¾¨¦²Ô²â |
|---|---|---|---|
 |
... // TLS-kapcsolathoz haszn¨¢ljuk. $DB ['ENCRYPTION'] = igaz; $DB['KEY_FILE'] = ''; $DB['CERT_FILE'] = '; $ DB['CA_FILE'] = '; $DB['VERIFY_HOST'] = hamis; $DB['CIPHER_LIST'] = ';< br>... |
Ellen?rizze az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-titkos¨ªt¨¢s¨¢t Hagyja az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ-tan¨²s¨ªtv¨¢ny ellen?rz¨¦se jel?l?n¨¦gyzetet bejel?letlen¨¹l |
Enged¨¦lyezze a ?sz¨¹ks¨¦ges¡± m¨®dot. |
 |
... $DB['ENCRYPTION'] = igaz; \\ $DB['KEY_FILE'] = ''; $DB['CERT_FILE'] = ''; $DB['CA_FILE'?] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = hamis; $DB['CIPHER_LIST'] = '; ... |
1. Ellen?rizze az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-titkos¨ªt¨¢st ¨¦s az Az adatb¨¢zis-tan¨²s¨ªtv¨¢ny ellen?rz¨¦s¨¦t 2. Adja meg az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS CA-f¨¢jl el¨¦r¨¦si ¨²tj¨¢t |
Enged¨¦lyezze a 'verify_ca' m¨®dot. |
 |
... // TLS-kapcsolathoz haszn¨¢lj¨¢k szigor¨²an meghat¨¢rozott titkos¨ªt¨¢si list¨¢val. $DB['ENCRYPTION'] = igaz; $DB['KEY_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['CERT?_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['CA_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['VERIFY?_HOST'] = igaz; $DB['CIPHER_LIST'] = '<titkos¨ªt¨¢s_lista>'; ... Vagy: ... // TLS-kapcsolathoz haszn¨¢latos titkos¨ªt¨¢si lista defini¨¢l¨¢sa n¨¦lk¨¹l ¨C a MySQL szerver ¨¢ltal kiv¨¢lasztott $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['CERT_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['CA_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['VERIFY_HOST'] = igaz; $DB['CIPHER_LIST'] = '; . .. |
1. Ellen?rizze az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-titkos¨ªt¨¢st ¨¦s az Az adatb¨¢zis-tan¨²s¨ªtv¨¢ny ellen?rz¨¦s¨¦t 2. Adja meg az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS kulcsf¨¢jl el¨¦r¨¦si ¨²tj¨¢t. 3. Adja meg az Database TLS CA f¨¢jl el¨¦r¨¦si ¨²tj¨¢t 4. Adja meg az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-tan¨²s¨ªtv¨¢nyf¨¢jl el¨¦r¨¦si ¨²tj¨¢t. 6. Adja meg a TLS titkos¨ªt¨¢si list¨¢t (opcion¨¢lis) |
Enged¨¦lyezze a 'ellen?rz¨¦s_teljes' m¨®dot a MySQL sz¨¢m¨¢ra. |
 |
... $DB['ENCRYPTION'] = igaz; $DB['KEY_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['CERT_FILE'] = '<kulcs_f¨¢jl_el¨¦r¨¦si ¨²t>'; $DB['CA_FILE'] = '<kulcs_f¨¢jl_¨²tvonal>'; $DB['VERIFY_HOST'] = igaz; $DB[' CIPHER_LIST'] = ' '; ... |
1. Ellen?rizze az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-titkos¨ªt¨¢st ¨¦s az Az adatb¨¢zis-tan¨²s¨ªtv¨¢ny ellen?rz¨¦s¨¦t 2. Adja meg az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS kulcsf¨¢jl el¨¦r¨¦si ¨²tj¨¢t. 3. Adja meg az Database TLS CA f¨¢jl el¨¦r¨¦si ¨²tj¨¢t 4. Adja meg az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ TLS-tan¨²s¨ªtv¨¢nyf¨¢jl el¨¦r¨¦si ¨²tj¨¢t. 6. Jel?lje be az ´¡»å²¹³Ù²ú¨¢³ú¾±²õ gazdag¨¦p ellen?rz¨¦se |
Enged¨¦lyezze a 'verify_full' m¨®dot a PostgreSQL-hez. |
L¨¢sd m¨¦g: Titkos¨ªt¨¢si konfigur¨¢ci¨®s p¨¦ld¨¢k ehhez MySQL, titkos¨ªt¨¢s konfigur¨¢ci¨®s p¨¦ld¨¢k ehhez PostgreSQL.
Áú»¢¶Ä²© szerver/proxy konfigur¨¢ci¨®
Az adatb¨¢zishoz val¨® biztons¨¢gos kapcsolatok konfigur¨¢lhat¨®k a megfelel? param¨¦terek a Áú»¢¶Ä²© [szerverben] (/manual/appendix/config/zabbix_server) ¨¦s/vagy proxy konfigur¨¢ci¨®s f¨¢jl.
| °´Ç²Ô´Ú¾±²µ³Ü°ù¨¢³¦¾±¨® | ·¡°ù±ð»å³¾¨¦²Ô²â |
|---|---|
| Nincs | Kapcsol¨®d¨¢s az adatb¨¢zishoz titkos¨ªt¨¢s n¨¦lk¨¹l. |
| 1. ?ll¨ªtsa be a DBTLSConnect=required | A kiszolg¨¢l¨®/proxy TLS-kapcsolatot hoz l¨¦tre az adatb¨¢zishoz. Titkos¨ªtatlan kapcsolat nem enged¨¦lyezett. |
| 1. ?ll¨ªtsa be a DBTLSConnect=verify_ca 2. DBTLSCAFile be¨¢ll¨ªt¨¢sa - adja meg a TLS tan¨²s¨ªtv¨¢nykibocs¨¢t¨® f¨¢jlt |
A kiszolg¨¢l¨®/proxy az adatb¨¢zis-tan¨²s¨ªtv¨¢ny ellen?rz¨¦se ut¨¢n TLS-kapcsolatot hoz l¨¦tre az adatb¨¢zishoz. |
| 1. ?ll¨ªtsa be a DBTLSConnect=verify_full 2. DBTLSCAFile be¨¢ll¨ªt¨¢sa - adja meg a TLS tan¨²s¨ªtv¨¢nykibocs¨¢t¨® f¨¢jlt |
A kiszolg¨¢l¨®/proxy TLS-kapcsolatot hoz l¨¦tre az adatb¨¢zishoz, miut¨¢n ellen?rizte az adatb¨¢zis-tan¨²s¨ªtv¨¢nyt ¨¦s az adatb¨¢zis-gazdaazonos¨ªt¨®t. |
| 1. DBTLSCAFile be¨¢ll¨ªt¨¢sa ¨C adja meg a TLS tan¨²s¨ªtv¨¢nykibocs¨¢t¨® f¨¢jlj¨¢t 2. DBTLSCertFile be¨¢ll¨ªt¨¢sa ¨C adja meg az ¨¹gyf¨¦l nyilv¨¢nos kulcs¨² tan¨²s¨ªtv¨¢nyf¨¢jlj¨¢t 3. DBTLSKeyFile be¨¢ll¨ªt¨¢sa - adja meg az ¨¹gyf¨¦l priv¨¢t kulcs¨¢nak f¨¢jlj¨¢t |
A kiszolg¨¢l¨®/proxy ¨¹gyf¨¦ltan¨²s¨ªtv¨¢nyt biztos¨ªt az adatb¨¢zishoz val¨® csatlakoz¨¢s sor¨¢n. |
| 1. Set DBTLSCipher ¨C azon titkos¨ªt¨¢si rejtjelek list¨¢ja, amelyeket az ¨¹gyf¨¦l enged¨¦lyez a TLS protokollokat haszn¨¢l¨® kapcsolatokhoz TLS 1.2-ig vagy DBTLSCipher13 ¨C azon titkos¨ªt¨¢si rejtjelek list¨¢ja, amelyeket az ¨¹gyf¨¦l enged¨¦lyez a TLS 1.3 protokollt haszn¨¢l¨® kapcsolatokhoz |
(MySQL) TLS a kapcsolat a megadott list¨¢b¨®l sz¨¢rmaz¨® titkos¨ªt¨¢ssal j?n l¨¦tre. (PostgreSQL) Ennek az opci¨®nak a be¨¢ll¨ªt¨¢sa hib¨¢nak min?s¨¹l. |