[comment]: # (tags: ssl) [comment]: # ({f745f323-f745f323}) # 1 Konfiguracja szyfrowania MySQL [comment]: # ({/f745f323-f745f323}) [comment]: # ({ef7f6a8e-f87c5964}) ### Omówienie Ta sekcja zawiera kilka przykładów konfiguracji szyfrowania dla CentOS 8.2 i MySQL 8.0.30 i może służyć jako krótki przewodnik rozpoczynający pracę z szyfrowaniem połączenia z bazą danych. ::: noteimportant Jeśli host MySQL jest ustawiony na localhost, opcje szyfrowania nie będą dostępne. W takim przypadku połączenie między frontendem Zabbix a bazą danych korzysta z pliku gniazda (w systemach Unix) lub pamięci współdzielonej (w systemie Windows) i nie może być szyfrowane. ::: ::: noteclassic Lista kombinacji szyfrowania nie ogranicza się do tych wymienionych na tej stronie. Dostępnych jest wiele innych kombinacji. ::: [comment]: # ({/ef7f6a8e-f87c5964}) [comment]: # ({30b5ee7b-30b5ee7b}) ### Wymagania wstępne Zainstaluj bazę danych MySQL z [oficjalnego repozytorium](https://dev.mysql.com/downloads/repo/yum/). Szczegóły dotyczące korzystania z repozytorium MySQL znajdziesz w [dokumentacji MySQL](https://dev.mysql.com/doc/mysql-yum-repo-quick-guide/en/). Serwer MySQL jest gotowy do akceptowania bezpiecznych połączeń przy użyciu certyfikatu samopodpisanego. Aby sprawdzić, którzy użytkownicy korzystają z szyfrowanego połączenia, uruchom następujące zapytanie (Performance Schema powinno być włączone): mysql> SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS host FROM performance_schema.status_by_thread AS sbt JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher' ORDER BY tls_version; [comment]: # ({/30b5ee7b-30b5ee7b}) [comment]: # ({7b44fd81-fda36821}) ### Szyfrowanie wyłącznie transportu [comment]: # ({/7b44fd81-fda36821}) [comment]: # ({e7c676d6-9ebeae19}) #### Konfiguracja MySQL Nowoczesne wersje bazy danych są gotowe do użycia od razu dla trybu szyfrowania `required` [encryption mode](/manual/appendix/install/db_encrypt#terminology). Certyfikat po stronie serwera zostanie utworzony po początkowej konfiguracji i uruchomieniu. Utwórz użytkowników i role dla głównych komponentów: ::: noteimportant Dla wersji MySQL 8.4+ należy używać `caching_sha2_password` zamiast `mysql_native_password`. ::: ```mysql mysql> CREATE USER 'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '', 'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '' REQUIRE SSL PASSWORD HISTORY 5; mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role'; mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role'; mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role'; mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%'; mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%'; mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%'; mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%'; ``` Należy pamiętać, że protokół X.509 nie jest używany do weryfikacji tożsamości, ale użytkownik jest skonfigurowany tak, aby używać wyłącznie połączeń szyfrowanych. Więcej informacji o konfiguracji użytkowników można znaleźć w [dokumentacji MySQL](https://dev.mysql.com/doc/refman/8.0/en/create-user.html#create-user-tls). Uruchom, aby sprawdzić połączenie (połączenie socket nie może być użyte do testowania bezpiecznych połączeń): mysql -u zbx_srv -p -h 10.211.55.9 --ssl-mode=REQUIRED Sprawdź bieżący stan i dostępne zestawy szyfrów: mysql> status -------------- mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL) Connection id: 62 Current database: Current user: zbx_srv@bfdb.local SSL: Cipher in use is TLS_AES_256_GCM_SHA384 mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G; *************************** 1. row *************************** Variable_name: Ssl_cipher_list Value: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA 1 row in set (0.00 sec) ERROR: No query specified [comment]: # ({/e7c676d6-9ebeae19}) [comment]: # ({68afdcc8-68afdcc8}) #### Frontend Aby włączyć szyfrowanie wyłącznie transportu dla połączeń między frontendem Zabbixa a bazą danych: - Zaznacz *Database TLS encryption* - Pozostaw niezaznaczone *Verify database certificate* ![](../../../../../assets/en/manual/appendix/install/encrypt_db_transport.png){width="600"} [comment]: # ({/68afdcc8-68afdcc8}) [comment]: # ({99c0e65b-99c0e65b}) #### Serwer Aby włączyć szyfrowanie tylko dla transportu połączeń między serwerem a bazą danych, skonfiguruj */etc/zabbix/zabbix\_server.conf*: ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=required ... [comment]: # ({/99c0e65b-99c0e65b}) [comment]: # ({baccf022-82e1ed59}) ### Szyfrowanie z weryfikacją urzędu certyfikacji Skopiuj wymagany MySQL CA na serwer Zabbix frontend, przypisz odpowiednie uprawnienia , aby umożliwić serwerowi odczyt tego pliku. ::: noteclassic Ten tryb nie działa na SLES 12 i RHEL 7 z powodu starszych bibliotek MySQL. ::: [comment]: # ({/baccf022-82e1ed59}) [comment]: # ({f7df2e5a-9776435f}) #### Frontend Aby włączyć szyfrowanie z weryfikacją certyfikatu dla połączeń między frontendem Zabbix a bazą danych: - Zaznacz *Database TLS encryption* i *Verify database certificate* - Określ ścieżkę do pliku Database TLS CA ![](../../../../../assets/en/manual/appendix/install/encrypt_db_verify_ca.png){width="600"} Alternatywnie można to ustawić w */etc/zabbix/web/zabbix.conf.php*: ... $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = ''; $DB['CERT_FILE'] = ''; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = false; $DB['CIPHER_LIST'] = ''; ... Aby rozwiązać problem, użyj narzędzia wiersza poleceń, aby sprawdzić, czy połączenie jest możliwe dla wymaganego użytkownika: mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=REQUIRED --ssl-ca=/var/lib/mysql/ca.pem [comment]: # ({/f7df2e5a-9776435f}) [comment]: # ({a7a54f92-a7a54f92}) #### Serwer Aby włączyć szyfrowanie z weryfikacją certyfikatu dla połączeń między serwerem Zabbix a bazą danych, skonfiguruj */etc/zabbix/zabbix\_server.conf*: ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=verify_ca DBTLSCAFile=/etc/ssl/mysql/ca.pem ... [comment]: # ({/a7a54f92-a7a54f92}) [comment]: # ({edf12bed-fa5d4760}) ### Szyfrowanie z pełną weryfikacją [comment]: # ({/edf12bed-fa5d4760}) [comment]: # ({7d0dc4f4-22fb0ddd}) #### Konfiguracja MySQL Ustaw opcję konfiguracji serwera MySQL CE (* /etc/my.cnf.d/server-tls.cnf *) na: [mysqld] ... # w tym przykładzie klucze znajdują się w katalogu datadir MySQL CE ssl_ca=ca.pem ssl_cert=server-cert.pem ssl_key=server-key.pem require_secure_transport=ON tls_version=TLSv1.3 ... Klucze dla serwera i klienta MySQL CE (frontend Zabbixa) powinny zostać utworzone ręcznie zgodnie z dokumentacją MySQL CE: [Creating SSL and RSA certificates and keys using MySQL](https://dev.mysql.com/doc/refman/8.0/en/creating-ssl-rsa-files-using-mysql.html) lub [Creating SSL certificates and keys using openssl](https://dev.mysql.com/doc/refman/5.7/en/creating-ssl-files-using-openssl.html) ::: noteimportant Certyfikat serwera MySQL powinien zawierać pole Common Name ustawione na nazwę FQDN, ponieważ frontend Zabbixa będzie używać nazwy DNS do komunikacji z bazą danych lub adresu IP hosta bazy danych. ::: Utwórz użytkownika MySQL: ::: noteimportant Dla wersji MySQL 8.4+ należy używać `caching_sha2_password` zamiast `mysql_native_password`. ::: ```mysql mysql> CREATE USER 'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '', 'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '' REQUIRE X509 PASSWORD HISTORY 5; ``` Sprawdź, czy można zalogować się przy użyciu tego użytkownika: mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem [comment]: # ({/7d0dc4f4-22fb0ddd}) [comment]: # ({86a97b70-2f3a5c57}) #### Frontend Aby włączyć szyfrowanie z pełną weryfikacją dla połączeń między frontendem Zabbix a bazą danych: - Zaznacz *Database TLS encryption* i *Verify database certificate* - Podaj ścieżkę do *Database TLS key file* - Podaj ścieżkę do *Database TLS CA file* - Podaj ścieżkę do *Database TLS certificate file* Zwróć uwagę, że *Database host verification* jest zaznaczone i wyszarzone - tego kroku nie można pominąć w przypadku MySQL. ::: notewarning Jeśli pole *Database TLS cipher list* pozostanie puste, zostaną włączone wspólne szyfry dozwolone zarówno przez frontend (klienta), jak i serwer. Alternatywnie szyfry można ustawić jawnie, zgodnie z [wymaganiami konfiguracji szyfrów](https://dev.mysql.com/doc/refman/8.0/en/encrypted-connection-protocols-ciphers.html#encrypted-connection-cipher-configuration). ::: ![](../../../../../assets/en/manual/appendix/install/encrypt_db_verify_full1.png){width=600} Alternatywnie można to ustawić w */etc/zabbix/web/zabbix.conf.php*: ... // Used for TLS connection with strictly defined Cipher list. $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC'; ... // or ... // Used for TLS connection without Cipher list defined - selected by MySQL server $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = ''; ... [comment]: # ({/86a97b70-2f3a5c57}) [comment]: # ({c0090000-c0090000}) #### Serwer Aby włączyć szyfrowanie z pełną weryfikacją dla połączeń między serwerem Zabbix a bazą danych, skonfiguruj */etc/zabbix/zabbix\_server.conf*: ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=verify_full DBTLSCAFile=/etc/ssl/mysql/ca.pem DBTLSCertFile=/etc/ssl/mysql/client-cert.pem DBTLSKeyFile=/etc/ssl/mysql/client-key.pem ... [comment]: # ({/c0090000-c0090000})