[comment]: # (tags: ssl) [comment]: # ({f745f323-f745f323}) # 1 Konfiguracja szyfrowania MySQL [comment]: # ({/f745f323-f745f323}) [comment]: # ({5393a9b0-f87c5964}) ### Omówienie Ta sekcja zawiera kilka przykładów konfiguracji szyfrowania dla CentOS 8.2 i MySQL 8.0.30 i może służyć jako przewodnik szybkiego startu do szyfrowania połączenia z bazą danych. ::: noteimportant Jeśli host MySQL jest ustawiony na localhost, opcje szyfrowania nie będą dostępne. W takim przypadku połączenie między frontend Zabbix a bazą danych korzysta z pliku gniazda (w systemach Unix) lub pamięci współdzielonej (w systemach Windows) i nie może być szyfrowane. ::: ::: noteclassic Lista kombinacji szyfrowania nie ogranicza się do tych wymienionych na tej stronie. Dostępnych jest znacznie więcej kombinacji. ::: [comment]: # ({/5393a9b0-f87c5964}) [comment]: # ({8cb2ef57-30b5ee7b}) ### Wymagania wstępne Zainstaluj bazę danych MySQL z [oficjalnego repozytorium](https://dev.mysql.com/downloads/repo/yum/). Szczegółowe informacje o korzystaniu z repozytorium MySQL znajdują się w [dokumentacji MySQL](https://dev.mysql.com/doc/mysql-yum-repo-quick-guide/en/). Serwer MySQL jest gotowy do akceptowania bezpiecznych połączeń z użyciem certyfikatu z podpisem własnym. Aby sprawdzić, którzy użytkownicy korzystają z szyfrowanego połączenia, uruchom następujące zapytanie (Performance Schema musi być włączone): ```sqlmysql SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS host FROM performance_schema.status_by_thread AS sbt JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher' ORDER BY tls_version; ``` [comment]: # ({/8cb2ef57-30b5ee7b}) [comment]: # ({7b44fd81-fda36821}) ### Szyfrowanie wyłącznie transportu [comment]: # ({/7b44fd81-fda36821}) [comment]: # ({535bee49-9ebeae19}) #### Konfiguracja MySQL Nowoczesne wersje bazy danych są gotowe do użycia od razu w trybie `required` [trybu szyfrowania](/manual/appendix/install/db_encrypt#terminology). Po początkowej konfiguracji i uruchomieniu zostanie utworzony certyfikat po stronie serwera. Utwórz użytkowników i role dla głównych komponentów: ::: noteimportant Dla wersji MySQL 8.4+ należy używać `caching_sha2_password` zamiast `mysql_native_password`. ::: ```sqlmysql mysql> CREATE USER 'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '', 'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '' REQUIRE SSL PASSWORD HISTORY 5; mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role'; mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role'; mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role'; mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%'; mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%'; mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%'; mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%'; ``` Należy pamiętać, że protokół X.509 nie jest używany do weryfikacji tożsamości, ale użytkownik jest skonfigurowany tak, aby używał wyłącznie szyfrowanych połączeń. Więcej informacji o konfiguracji użytkowników można znaleźć w [dokumentacji MySQL](https://dev.mysql.com/doc/refman/8.0/en/create-user.html#create-user-tls). Uruchom, aby sprawdzić połączenie (połączenie socket nie może być użyte do testowania bezpiecznych połączeń): ```bash mysql -u zbx_srv -p -h 10.211.55.9 --ssl-mode=REQUIRED ``` Sprawdź bieżący stan i dostępne zestawy szyfrów: ```sqlmysql mysql> status -------------- mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL) Connection id: 62 Current database: Current user: zbx_srv@bfdb.local SSL: Cipher in use is TLS_AES_256_GCM_SHA384 mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G; *************************** 1. row *************************** Variable_name: Ssl_cipher_list Value: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA 1 row in set (0.00 sec) ERROR: No query specified ``` [comment]: # ({/535bee49-9ebeae19}) [comment]: # ({f58390e3-68afdcc8}) #### Frontend Aby włączyć szyfrowanie tylko transportu dla połączeń między frontend a bazą danych: - Zaznacz *Database TLS encryption* - Pozostaw *Verify database certificate* niezaznaczone ![](../../../../../assets/en/manual/appendix/install/encrypt_db_transport.png){width="600"} [comment]: # ({/f58390e3-68afdcc8}) [comment]: # ({28b4b1c0-99c0e65b}) #### Serwer Aby włączyć szyfrowanie wyłącznie transportu dla połączeń między serwerem a bazą danych, skonfiguruj */etc/zabbix/zabbix\_server.conf*: ```ini ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=required ... ``` [comment]: # ({/28b4b1c0-99c0e65b}) [comment]: # ({627a05e9-fa9ec203}) ### Szyfrowanie z weryfikacją urzędu certyfikacji Skopiuj wymagany urząd certyfikacji MySQL na serwer frontend Zabbix i ustaw odpowiednie uprawnienia, aby serwer WWW mógł odczytać ten plik. ::: noteclassic Ten tryb nie działa w RHEL 7 z powodu starszych bibliotek MySQL. ::: [comment]: # ({/627a05e9-fa9ec203}) [comment]: # ({4cb2ce06-9776435f}) #### Frontend Aby włączyć szyfrowanie z weryfikacją certyfikatu dla połączeń między frontend Zabbix a bazą danych: - Zaznacz *Database TLS encryption* i *Verify database certificate* - Określ ścieżkę do pliku Database TLS CA ![](../../../../../assets/en/manual/appendix/install/encrypt_db_verify_ca.png){width="600"} Alternatywnie można to ustawić w pliku */etc/zabbix/web/zabbix.conf.php*: ```php ... $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = ''; $DB['CERT_FILE'] = ''; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = false; $DB['CIPHER_LIST'] = ''; ... ``` Aby rozwiązać problemy, użyj narzędzia wiersza poleceń, aby sprawdzić, czy połączenie jest możliwe dla wymaganego użytkownika: ```bash mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=REQUIRED --ssl-ca=/var/lib/mysql/ca.pem ``` [comment]: # ({/4cb2ce06-9776435f}) [comment]: # ({cfd9329e-a7a54f92}) #### Serwer Aby włączyć szyfrowanie z weryfikacją certyfikatu dla połączeń między serwerem Zabbix a bazą danych, skonfiguruj */etc/zabbix/zabbix\_server.conf*: ```ini ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=verify_ca DBTLSCAFile=/etc/ssl/mysql/ca.pem ... ``` [comment]: # ({/cfd9329e-a7a54f92}) [comment]: # ({edf12bed-fa5d4760}) ### Szyfrowanie z pełną weryfikacją [comment]: # ({/edf12bed-fa5d4760}) [comment]: # ({f5733df1-22fb0ddd}) #### Konfiguracja MySQL Ustaw opcję konfiguracji serwera MySQL CE (*/etc/my.cnf.d/server-tls.cnf*) na: ```ini [mysqld] ... # w tym przykładzie klucze znajdują się w katalogu datadir MySQL CE ssl_ca=ca.pem ssl_cert=server-cert.pem ssl_key=server-key.pem require_secure_transport=ON tls_version=TLSv1.3 ... ``` Klucze dla serwera i klienta MySQL CE (frontend Zabbix) należy utworzyć ręcznie zgodnie z dokumentacją MySQL CE: [Creating SSL and RSA certificates and keys using MySQL](https://dev.mysql.com/doc/refman/8.0/en/creating-ssl-rsa-files-using-mysql.html) lub[Creating SSL certificates and keys using openssl](https://dev.mysql.com/doc/refman/8.0/en/creating-ssl-files-using-openssl.html) ::: noteimportant Certyfikat serwera MySQL powinien zawierać pole Common Name ustawione na nazwę FQDN, ponieważ frontend Zabbix będzie używać nazwy DNS do komunikacji z bazą danych lub adresu IP hosta bazy danych. ::: Utwórz użytkownika MySQL: ::: noteimportant Dla wersji MySQL 8.4+ należy używać `caching_sha2_password` zamiast `mysql_native_password`. ::: ```sqlmysql mysql> CREATE USER 'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '', 'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '' REQUIRE X509 PASSWORD HISTORY 5; ``` Sprawdź, czy można zalogować się przy użyciu tego użytkownika: ```bash mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem ``` [comment]: # ({/f5733df1-22fb0ddd}) [comment]: # ({48dcfadd-2f3a5c57}) #### Frontend Aby włączyć szyfrowanie z pełną weryfikacją dla połączeń między frontendem Zabbixa a bazą danych: - Zaznacz *Database TLS encryption* oraz *Verify database certificate* - Podaj ścieżkę do *Database TLS key file* - Podaj ścieżkę do *Database TLS CA file* - Podaj ścieżkę do *Database TLS certificate file* Zwróć uwagę, że *Database host verification* jest zaznaczone i wyszarzone - tego kroku nie można pominąć w przypadku MySQL. ::: notewarning Jeśli pole *Database TLS cipher list* pozostanie puste, zostaną włączone wspólne szyfry dozwolone zarówno przez frontend (klienta), jak i serwer. Alternatywnie szyfry można ustawić jawnie, zgodnie z [wymaganiami konfiguracji szyfrów](https://dev.mysql.com/doc/refman/8.0/en/encrypted-connection-protocols-ciphers.html#encrypted-connection-cipher-configuration). ::: ![](../../../../../assets/en/manual/appendix/install/encrypt_db_verify_full1.png){width=600} Alternatywnie można to ustawić w */etc/zabbix/web/zabbix.conf.php*: ```php ... // Used for TLS connection with strictly defined Cipher list. $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC'; ... // or ... // Used for TLS connection without Cipher list defined - selected by MySQL server $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = ''; ... ``` [comment]: # ({/48dcfadd-2f3a5c57}) [comment]: # ({e32ce094-c0090000}) #### Serwer Aby włączyć szyfrowanie z pełną weryfikacją dla połączeń między serwerem Zabbix a bazą danych, skonfiguruj */etc/zabbix/zabbix\_server.conf*: ```ini ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=verify_full DBTLSCAFile=/etc/ssl/mysql/ca.pem DBTLSCertFile=/etc/ssl/mysql/client-cert.pem DBTLSKeyFile=/etc/ssl/mysql/client-key.pem ... ``` [comment]: # ({/e32ce094-c0090000})