[comment]: # ({f745f323-f745f323}) # 1. Настройка шифрования для MySQL [comment]: # ({/f745f323-f745f323}) [comment]: # ({5393a9b0-f87c5964}) ### Обзор В этом разделе приведены несколько примеров настройки шифрования для CentOS 8.2 и MySQL 8.0.30, которые можно использовать как краткое руководство по шифрованию соединения с базой данных. ::: noteimportant Если для узла MySQL задано значение localhost, параметры шифрования будут недоступны. В этом случае соединение между веб-интерфейсом Zabbix и базой данных использует файл сокета (в Unix) или разделяемую память (в Windows) и не может быть зашифровано. ::: ::: noteclassic Список комбинаций шифрования не ограничивается приведенными на этой странице. Доступно гораздо больше комбинаций. ::: [comment]: # ({/5393a9b0-f87c5964}) [comment]: # ({8cb2ef57-30b5ee7b}) ### Предварительные требования Установите базу данных MySQL из [официального репозитория](https://dev.mysql.com/downloads/repo/yum/). Подробности о том, как использовать репозиторий MySQL, см. в [документации MySQL](https://dev.mysql.com/doc/mysql-yum-repo-quick-guide/en/). Сервер MySQL готов принимать защищенные подключения с использованием самоподписанного сертификата. Чтобы увидеть, какие пользователи используют зашифрованное подключение, выполните следующий запрос (Performance Schema должна быть включена): ```sqlmysql SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS host FROM performance_schema.status_by_thread AS sbt JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher' ORDER BY tls_version; ``` [comment]: # ({/8cb2ef57-30b5ee7b}) [comment]: # ({7b44fd81-fda36821}) ### Режим Required [comment]: # ({/7b44fd81-fda36821}) [comment]: # ({535bee49-9ebeae19}) #### Конфигурация MySQL Современные версии базы данных готовы к работе "из коробки" для [режима шифрования](/manual/appendix/install/db_encrypt#terminology) `required`. После первоначальной настройки и запуска будет создан серверный сертификат. Создайте пользователей и роли для основных компонентов: ::: noteimportant Для версий MySQL 8.4+ вместо `mysql_native_password` следует использовать `caching_sha2_password`. ::: ```sqlmysql mysql> CREATE USER 'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '', 'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '' REQUIRE SSL PASSWORD HISTORY 5; mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role'; mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role'; mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role'; mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%'; mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%'; mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%'; mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%'; ``` Обратите внимание, что протокол X.509 не используется для проверки идентичности, но пользователь настроен на использование только зашифрованных соединений. Дополнительные сведения о настройке пользователей см. в [документации MySQL](https://dev.mysql.com/doc/refman/8.0/en/create-user.html#create-user-tls). Выполните проверку соединения (для тестирования защищенных соединений нельзя использовать соединение через сокет): ```bash mysql -u zbx_srv -p -h 10.211.55.9 --ssl-mode=REQUIRED ``` Проверьте текущий статус и доступные наборы шифров: ```sqlmysql mysql> status -------------- mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL) Connection id: 62 Current database: Current user: zbx_srv@bfdb.local SSL: Cipher in use is TLS_AES_256_GCM_SHA384 mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G; *************************** 1. row *************************** Variable_name: Ssl_cipher_list Value: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA 1 row in set (0.00 sec) ERROR: No query specified ``` [comment]: # ({/535bee49-9ebeae19}) [comment]: # ({f58390e3-68afdcc8}) #### Веб-интерфейс Чтобы включить шифрование только для передачи данных для соединений между веб-интерфейсом Zabbix и базой данных: - Установите флажок *Database TLS encryption* - Оставьте *Verify database certificate* неотмеченным ![](../../../../../assets/en/manual/appendix/install/encrypt_db_transport.png){width="600"} [comment]: # ({/f58390e3-68afdcc8}) [comment]: # ({28b4b1c0-99c0e65b}) #### Сервер Чтобы включить шифрование только для передачи данных для соединений между сервером и базой данных, настройте */etc/zabbix/zabbix\_server.conf*: ```ini ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=required ... ``` [comment]: # ({/28b4b1c0-99c0e65b}) [comment]: # ({627a05e9-fa9ec203}) ### Шифрование с проверкой центра сертификации Скопируйте необходимый MySQL CA на сервер веб-интерфейса Zabbix и назначьте соответствующие разрешения, чтобы веб-сервер мог читать этот файл. ::: noteclassic Этот режим не работает в RHEL 7 из-за более старых библиотек MySQL. ::: [comment]: # ({/627a05e9-fa9ec203}) [comment]: # ({4cb2ce06-9776435f}) #### Веб-интерфейс Чтобы включить шифрование с проверкой сертификата для соединений между веб-интерфейсом Zabbix и базой данных: - Отметьте *Database TLS encryption* и *Verify database certificate* - Укажите путь к файлу Database TLS CA ![](../../../../../assets/en/manual/appendix/install/encrypt_db_verify_ca.png){width="600"} В качестве альтернативы это можно задать в */etc/zabbix/web/zabbix.conf.php*: ```php ... $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = ''; $DB['CERT_FILE'] = ''; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = false; $DB['CIPHER_LIST'] = ''; ... ``` Для устранения неполадок используйте командную строку, чтобы проверить, возможно ли подключение для нужного пользователя: ```bash mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=REQUIRED --ssl-ca=/var/lib/mysql/ca.pem ``` [comment]: # ({/4cb2ce06-9776435f}) [comment]: # ({cfd9329e-a7a54f92}) #### Сервер Чтобы включить шифрование с проверкой сертификата для соединений между сервером Zabbix и базой данных, настройте */etc/zabbix/zabbix\_server.conf*: ```ini ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=verify_ca DBTLSCAFile=/etc/ssl/mysql/ca.pem ... ``` [comment]: # ({/cfd9329e-a7a54f92}) [comment]: # ({edf12bed-fa5d4760}) ### Режим Verify Full [comment]: # ({/edf12bed-fa5d4760}) [comment]: # ({f5733df1-22fb0ddd}) #### Конфигурация MySQL Установите параметр конфигурации сервера MySQL CE (*/etc/my.cnf.d/server-tls.cnf*) в значение: ```ini [mysqld] ... # в этом примере ключи находятся в каталоге datadir MySQL CE ssl_ca=ca.pem ssl_cert=server-cert.pem ssl_key=server-key.pem require_secure_transport=ON tls_version=TLSv1.3 ... ``` Ключи для сервера MySQL CE и клиента (веб-интерфейс Zabbix) следует создать вручную в соответствии с документацией MySQL CE: [Creating SSL and RSA certificates and keys using MySQL](https://dev.mysql.com/doc/refman/8.0/en/creating-ssl-rsa-files-using-mysql.html) или [Creating SSL certificates and keys using openssl](https://dev.mysql.com/doc/refman/8.0/en/creating-ssl-files-using-openssl.html) ::: noteimportant Сертификат сервера MySQL должен содержать поле Common Name, установленное в значение FQDN, так как веб-интерфейс Zabbix будет использовать DNS-имя для связи с базой данных или IP-адрес узла сети базы данных. ::: Создайте пользователя MySQL: ::: noteimportant Для версий MySQL 8.4+ вместо `mysql_native_password` следует использовать `caching_sha2_password`. ::: ```sqlmysql mysql> CREATE USER 'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '', 'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '' REQUIRE X509 PASSWORD HISTORY 5; ``` Проверьте, можно ли войти с этим пользователем: ```bash mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem ``` [comment]: # ({/f5733df1-22fb0ddd}) [comment]: # ({48dcfadd-2f3a5c57}) #### Веб-интерфейс Чтобы включить шифрование с полной проверкой для соединений между веб-интерфейсом Zabbix и базой данных: - Установите флажки *Database TLS encryption* и *Verify database certificate* - Укажите путь к *Database TLS key file* - Укажите путь к *Database TLS CA file* - Укажите путь к *Database TLS certificate file* Обратите внимание, что *Database host verification* отмечен и недоступен для изменения - этот шаг нельзя пропустить для MySQL. ::: notewarning Если поле *Database TLS cipher list* оставить пустым, будут включены общие наборы шифров, разрешенные и веб-интерфейсом (клиентом), и сервером. В качестве альтернативы наборы шифров можно задать явно в соответствии с [требованиями к настройке наборов шифров](https://dev.mysql.com/doc/refman/8.0/en/encrypted-connection-protocols-ciphers.html#encrypted-connection-cipher-configuration). ::: ![](../../../../../assets/en/manual/appendix/install/encrypt_db_verify_full1.png){width=600} Кроме того, это можно задать в */etc/zabbix/web/zabbix.conf.php*: ```php ... // Used for TLS connection with strictly defined Cipher list. $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC'; ... // or ... // Used for TLS connection without Cipher list defined - selected by MySQL server $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = ''; ... ``` [comment]: # ({/48dcfadd-2f3a5c57}) [comment]: # ({e32ce094-c0090000}) #### Сервер Чтобы включить шифрование с полной проверкой для соединений между сервером Zabbix и базой данных, настройте */etc/zabbix/zabbix\_server.conf*: ```ini ... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword= DBTLSConnect=verify_full DBTLSCAFile=/etc/ssl/mysql/ca.pem DBTLSCertFile=/etc/ssl/mysql/client-cert.pem DBTLSKeyFile=/etc/ssl/mysql/client-key.pem ... ``` [comment]: # ({/e32ce094-c0090000})