Escolar Documentos
Profissional Documentos
Cultura Documentos
APRESENTAÇÃO
Olá!
Obrigado por acessar esta apostila produzida pela NOTO TI. Antes de começar,
gostaria de fazer uma breve apresentação para que você conheça as origens deste
projeto.
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 3
# openssl req -new -nodes -text -out ca.csr -keyout ca-key.pem -subj "/CN=certificate-
authority"
1 # openssl x509 -req -in ca.csr -text -extfile /etc/ssl/openssl.cnf -extensions v3_ca -signkey
ca-key.pem -out ca-cert.pem
# openssl req -new -nodes -text -out server.csr -keyout server-key.pem -subj
"/CN=postgresql"
# openssl x509 -req -in server.csr -text -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial
-out server-cert.pem
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 4
# openssl req -new -nodes -text -out client.csr -keyout client-key.pem -subj "/CN=zabbix-
2 server"
# openssl x509 -req -in client.csr -text -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -
out client-cert.pem
Ajustando permissões:
# mkdir -p /etc/ssl/postgresql/
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 5
# vim /etc/postgresql/12/main/postgresql.conf
Editar o arquivo pg_hba.conf e adicionar a linha abaixo, que permite acessar o banco de
dados Zabbix com SSL.
5 # vim /etc/postgresql/12/main/pg_hba.conf
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 7
9 # cp ca-cert.pem /etc/ssl/certs/zabbix/root.crt
# cp client-cert.pem /etc/ssl/certs/zabbix/postgresql.crt
# cp client-key.pem /etc/ssl/certs/zabbix/postgresql.key
Ajustar permissões para habilitar criptografia entre Frontend e Banco de dados PostgreSQL
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 8
Ajustar permissões para habilitar criptografia entre Frontend e Banco de dados PostgreSQL
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 9
Adicionar verificação de host. Você deve colocar no nome da conexão o nome para o qual
foi gerado o certificado. Para isso, a resolução do nome da conexão precisa apontar para o
ip do banco de dados. Então, é necessário criar a resolução em /etc/hosts
14
# vim /etc/hosts
127.0.0.1 postgresql
Agora, remova o arquivo de config do Frontend, para cair novamente na tela de setup do
Zabbix e, assim, ativar a criptografia do Frontend com o banco de dados. Siga os passos:
15
# rm /etc/zabbix/web/zabbix.conf.php
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 10
Abra outra vez seu Zabbix pelo navegador; siga os passos de setup novamente, até cair
16 nesta tela de conexão do banco de dados:
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 11
Clique em Next step e, pronto, finalizada a configuração de segurança entre Frontend e banco
de dados.
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 12
17 # mkdir -p /etc/apache2/ssl/private
# chmod 700 /etc/apache2/ssl/private
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 13
# vim.tiny /etc/apache2/sites-available/default-ssl.conf
<VirtualHost *:443>
19 DocumentRoot "/usr/share/zabbix"
ServerName 192.168.25.86:443
SSLCertificateFile /etc/apache2/ssl/apache-selfsigned.crt
SSLCertificateKeyFile /etc/apache2/ssl/private/apache-selfsigned.key
</VirtualHost>
# vim.tiny /etc/apache2/sites-available/000-default.conf
Redirect / https://seuip/zabbix
20 Habilitar no Apache HTTPS e ativar o módulo
# a2ensite default-ssl
# a2enmod ssl
# service apache2 restart
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 14
# vim.tiny /etc/apache2/conf-available/security.conf
ServerSignature Off
ServerTokens Prod
21
Editar o arquivo e deixar os parâmetros conforme abaixo:
# vim.tiny /etc/php/7.0/apache2/php.ini
expose_php = Off
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 15
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 16
# vim /etc/apache2/conf-available/zabbix.conf
22 Acesse o arquivo de novo e altere para o nome que você escolheu
no redirect também
# vim.tiny /etc/apache2/sites-available/000-default.conf
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 17
Altere para noto ou para algum nome de sua preferência. Veja a imagem:
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 18
# rm /var/www/html/index.html
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 19
Dica: Teste se o redirect está funcionando também acessando com http sem
passar o /noto
http://ipdoseuzabbix
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 20
Neste capítulo, vamos criar a criptografia entre Zabbix server e banco de dados.
Siga os passos:
Aproveitando o certificado do Frontend para criar para o Zabbix server com outro nome
# cp postgresql.crt zabbixserver/zabbixserver.crt
24 # cp postgresql.key zabbixserver/zabbixserver.key
# cp root.crt zabbixserver/root.crt
Ajustando permissões
Precisamos agora editar o arquivo do Zabbix server para fazer a configuração dos certificados.
Deixe os parâmetros conforme abaixo:
Editar o arquivo:
# vim /etc/zabbix/zabbix_server.conf
DBTLSConnect=required
DBTLSCAFile=/etc/ssl/certs/zabbix/zabbixserver/root.crt
DBTLSCertFile=/etc/ssl/certs/zabbix/zabbixserver/zabbixserver.crt
25
DBTLSKeyFile=/etc/ssl/certs/zabbix/zabbixserver/zabbixserver.key
# tail -f /var/log/zabbix/zabbix_server.log
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 21
nototi.com.br
Curso Zabbix Ultimate - Capítulo 2 - Zabbix Blindado, Frontend HTTPS e Criptografia entre Zabbix Server e Banco de Dados 22
ENCERRAMENTO
A NOTO TI agradece a você por ter acessado esta apostila. E não deixe de
acompanhar também nossos canais nas mídias digitais. Fique à vontade para entrar
em contato, tirar dúvidas e conferir novos conteúdos que a NOTO TI disponibiliza
com frequência.
Abraço
nototi.com.br