1. 为什么在 Ubuntu 18.04 上部署 Zabbix 监控不是“装完就跑”,而是必须从安全基线开始设计
Zabbix 是我过去八年里在金融、教育和中小制造企业现场部署频率最高的开源监控系统——不是因为它最炫,而是它在“可控性”和“可审计性”之间找到了极难复制的平衡点。但凡你搜索过 “zabbix安装部署” 或 “docker安装zabbix”,就会发现大量教程止步于apt install zabbix-server-pgsql这一行命令之后,紧接着就是浏览器打开http://ip/zabbix,输入默认账号密码,然后配个主机、加个模板,就算“成功”。这种做法在测试环境或许能糊弄过去,但在真实生产环境中,它等同于在服务器上主动敞开三扇门:Web 管理界面未加固、数据库凭据硬编码暴露、Agent 通信未加密。我亲眼见过某客户因沿用默认Admin/zabbix账号,且 Web 前端未做 IP 白名单限制,导致 Zabbix 被扫描器识别后,攻击者直接通过前端 SQL 注入(CVE-2017-2824)反向获取了数据库 root 权限,进而拖库并植入挖矿脚本。这不是危言耸听,而是 Ubuntu 18.04 这个 LTS 版本特有的“历史包袱”:它默认启用 Apache 2.4,但不强制启用 HTTPS;它自带 PostgreSQL 10,但默认监听所有地址;它的防火墙 ufw 默认是关闭状态。所以,本文不叫《Zabbix 安装教程》,而叫《在 Ubuntu 18.04 上构建一个可审计、可收敛、可应急响应的 Zabbix 监控基线》。核心关键词不是“install”或“configure”,而是securely monitor—— 安全地监控。这意味着每一步操作都必须回答三个问题:这个组件暴露了什么网络端口?它使用了哪种认证方式?它的日志是否能被独立采集和告警?接下来的所有章节,都将围绕这三个问题展开,而不是罗列命令。
2. 数据库层:为什么 PostgreSQL 比 MySQL 更适合作为 Zabbix 18.04 的后端,以及如何让它真正“锁死”
Zabbix 官方文档明确支持 MySQL 和 PostgreSQL,但在我经手的 37 个 Ubuntu 18.04 部署案例中,有 32 个最终选择了 PostgreSQL。原因不在性能,而在权限模型的颗粒度。MySQL 的用户权限体系基于“数据库+表+列”的三级结构,而 PostgreSQL 支持“角色(Role)+模式(Schema)+行级安全策略(RLS)”的四层控制。这对 Zabbix 至关重要:Zabbix Server 进程需要读写zabbix数据库的全部表,但 Zabbix Web 前端 PHP 进程只需 SELECT 权限,且仅限于hosts,items,triggers,events等视图,绝不应拥有pg_authid或pg_shadow的访问权。MySQL 很难干净地做到这一点,而 PostgreSQL 可以。
2.1 创建专用系统用户与数据库角色
我们不使用postgres超级用户直接运行 Zabbix,也不用root创建数据库。这是第一步,也是最容易被跳过的安全断点。
# 创建一个无登录权限、无 shell 的专用系统用户 sudo adduser --disabled-login --gecos "" --shell /usr/sbin/nologin zabbixdb # 切换到 postgres 用户,进入 psql sudo -u postgres psql # 在 psql 中创建专用数据库角色(注意:不是 Linux 用户) CREATE ROLE zabbix_srv WITH LOGIN PASSWORD 'StrongPassw0rd!2024'; CREATE ROLE zabbix_web WITH LOGIN PASSWORD 'WebOnlyR3ad0nly!'; # 创建数据库,并指定属主 CREATE DATABASE zabbix OWNER zabbix_srv ENCODING 'UTF8' LC_COLLATE='en_US.UTF-8' LC_CTYPE='en_US.UTF-8'; # 退出 psql \q提示:密码必须满足 Ubuntu 18.04 的
pam_pwquality策略(至少 1 个大写、1 个小写、1 个数字、1 个特殊字符,长度 ≥ 12)。不要用zabbix或admin作为密码的一部分,这是 CVE-2017-2824 利用链的起点。
2.2 配置 pg_hba.conf 实现网络与身份双锁定
PostgreSQL 的pg_hba.conf是它的“门禁系统”。Ubuntu 18.04 默认路径为/etc/postgresql/10/main/pg_hba.conf。我们必须修改它,让数据库只接受来自本机 Zabbix Server 进程的连接,且必须使用md5密码认证,绝对禁止trust或peer认证方式。
在文件末尾添加以下两行(注意顺序,规则自上而下匹配):
# TYPE DATABASE USER ADDRESS METHOD OPTIONS host zabbix zabbix_srv 127.0.0.1/32 md5 host zabbix zabbix_web 127.0.0.1/32 md5这两行的意思是:只有来自本机回环地址127.0.0.1的连接,且用户名为zabbix_srv或zabbix_web,才允许通过md5加密密码的方式访问zabbix数据库。其他任何来源(包括::1IPv6 回环)都被默认拒绝。
修改后,必须重载配置,而非重启服务,以避免监控中断:
sudo systemctl reload postgresql2.3 验证连接隔离性:一个简单的 Shell 脚本就是你的第一道防线
部署完成后,立刻执行以下脚本,它会模拟一个外部攻击者试图从本机非授权用户角度连接数据库:
#!/bin/bash # save as /tmp/zabbix-db-audit.sh echo "=== Testing DB Access Isolation ===" # 尝试用 zabbix_web 角色连接,但访问非授权表(应失败) if echo "SELECT * FROM pg_authid LIMIT 1;" | sudo -u www-data psql -U zabbix_web -d zabbix -t 2>/dev/null | grep -q "permission denied"; then echo "[PASS] zabbix_web cannot access system catalogs" else echo "[FAIL] CRITICAL: zabbix_web has excessive privileges" fi # 尝试从外部 IP 连接(应失败) if timeout 3 nc -zv 127.0.0.1 5432 2>&1 | grep -q "succeeded"; then # 如果端口开放,再尝试用错误密码连接 if echo "SELECT 1;" | PGPASSWORD="wrong" psql -U zabbix_srv -h 127.0.0.1 -d zabbix -t 2>/dev/null | grep -q "1"; then echo "[FAIL] CRITICAL: Database accepts external connections or weak auth" else echo "[PASS] Database port is not exposed to external network" fi else echo "[PASS] Database port 5432 is not listening on external interface" fi赋予执行权限并运行:
chmod +x /tmp/zabbix-db-audit.sh sudo /tmp/zabbix-db-audit.sh这个脚本不是可选步骤,而是你部署流程中的强制检查点。它验证了你是否真的把数据库“锁死”了。我在一次交付中,客户运维坚持认为“只要没开防火墙就行”,结果脚本跑出[FAIL],我们当场发现pg_hba.conf里有一行host all all 0.0.0.0/0 trust—— 这是某个旧版一键脚本留下的后门。没有这个脚本,这个漏洞可能永远不被发现。
3. 服务层:Zabbix Server 的二进制加固与通信信道加密,不只是改个配置文件
Zabbix Server 的zabbix_server进程是整个监控系统的“大脑”,它负责轮询 Agent、计算触发器、发送告警。如果这个进程被劫持或其通信被窃听,整个监控就变成了一个巨大的“假情报源”。Ubuntu 18.04 的官方仓库(zabbix-official-stable)提供的zabbix-server-pgsql包,默认编译时不启用 TLS 支持。这意味着,Server 与 Agent 之间的所有数据(包括 CPU 使用率、磁盘 IO、甚至自定义脚本的输出)都是明文传输的。在同一个 VPC 或物理网段内,这等同于把服务器的健康快照广播给所有邻居。
3.1 编译前的依赖准备:为什么必须手动编译,而不是apt install
Ubuntu 18.04 的apt仓库中,Zabbix 4.0(该版本 LTS 支持至 2023 年)的二进制包是用--without-openssl参数编译的。这是历史原因:当时 OpenSSL 1.1.1 尚未成为标准,且许多嵌入式设备 Agent 不支持。但今天,我们必须打破这个枷锁。
首先,安装编译所需的开发头文件和库:
sudo apt update sudo apt install -y build-essential libpq-dev libcurl4-openssl-dev libxml2-dev libssl-dev libevent-dev libsnmp-dev # 安装 OpenSSL 1.1.1(Ubuntu 18.04 默认是 1.1.0,不支持 TLS 1.3) wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz tar -xzf openssl-1.1.1w.tar.gz cd openssl-1.1.1w ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib make && sudo make install sudo ldconfig /usr/local/ssl/lib注意:
libcurl4-openssl-dev是关键。很多教程推荐libcurl4-gnutls-dev,但 GNUTLS 在 Zabbix 的 TLS handshake 中存在已知兼容性问题,会导致 Agent 连接超时。必须用 OpenSSL 版本。
3.2 下载、配置与编译 Zabbix Server 源码
我们不使用zabbix-4.0.40(最新 4.0.x),而是选择zabbix-4.0.39。因为 4.0.40 引入了一个 TLS 握手 Bug(ZBX-18231),在高并发轮询时会导致 Server 进程 CPU 100%。这是我在压测中踩过的坑,官方补丁直到 4.0.41 才修复,但 4.0.41 已不在 Ubuntu 18.04 的 LTS 支持列表中。
cd /tmp wget https://downloads.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/4.0.39/zabbix-4.0.39.tar.gz tar -xzf zabbix-4.0.39.tar.gz cd zabbix-4.0.39 # 关键:启用所有安全模块,禁用不安全的旧协议 ./configure \ --enable-server \ --enable-agent \ --with-postgresql \ --with-net-snmp \ --with-libcurl \ --with-libxml2 \ --with-openssl=/usr/local/ssl \ --with-ssh2 \ --disable-java \ --enable-tls # 编译(-j$(nproc) 加速,但内存不足时请去掉) make -j$(nproc) sudo make install--enable-tls是灵魂参数。它告诉 Zabbix 构建系统:“请把 TLS 协议栈编译进二进制,让我能用证书说话”。
3.3 生成并部署 TLS 证书:用 OpenSSL 自签,但遵循生产级实践
我们不使用openssl req -x509一键生成,因为那会产生一个自签名根证书,而 Zabbix Agent 无法验证其有效性。我们必须建立一个最小化的 PKI 结构:一个私有的 CA 根证书,一个由该 CA 签发的 Server 证书,以及一个用于 Agent 验证的 CA 证书副本。
# 创建证书目录 sudo mkdir -p /etc/zabbix/ssl/{ca,server,agent} # 1. 生成私有 CA 密钥和自签名根证书(有效期 10 年) sudo openssl genrsa -out /etc/zabbix/ssl/ca/zabbix_ca.key 4096 sudo openssl req -x509 -new -nodes -key /etc/zabbix/ssl/ca/zabbix_ca.key -sha256 -days 3650 -out /etc/zabbix/ssl/ca/zabbix_ca.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=Zabbix Secure Monitoring/CN=Zabbix CA" # 2. 为 Zabbix Server 生成密钥和证书签名请求(CSR) sudo openssl genrsa -out /etc/zabbix/ssl/server/zabbix_server.key 2048 sudo openssl req -new -key /etc/zabbix/ssl/server/zabbix_server.key -out /etc/zabbix/ssl/server/zabbix_server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Zabbix Secure Monitoring/CN=$(hostname -f)" # 3. 用 CA 签发 Server 证书(关键:添加 Subject Alternative Name,否则现代浏览器会报错) echo "subjectAltName = DNS:$(hostname -f),IP:127.0.0.1" | sudo tee /tmp/server_ext.cnf sudo openssl x509 -req -in /etc/zabbix/ssl/server/zabbix_server.csr -CA /etc/zabbix/ssl/ca/zabbix_ca.crt -CAkey /etc/zabbix/ssl/ca/zabbix_ca.key -CAcreateserial -out /etc/zabbix/ssl/server/zabbix_server.crt -days 365 -sha256 -extfile /tmp/server_ext.cnf # 4. 将 CA 证书分发给 Agent(未来部署 Agent 时会用到) sudo cp /etc/zabbix/ssl/ca/zabbix_ca.crt /etc/zabbix/ssl/agent/提示:
$(hostname -f)必须是你的服务器的 FQDN(完全限定域名),例如zabbix-prod.internal.company.com。如果你的服务器只有 IP,没有 DNS,那么-subj中的CN和subjectAltName中的DNS必须改为IP:your_server_ip。否则,Agent 连接时会报certificate verify failed: IP address mismatch。
3.4 配置 zabbix_server.conf:TLS 参数详解与常见陷阱
编辑/usr/local/etc/zabbix_server.conf(注意路径,不是/etc/zabbix/),找到并修改以下参数:
# 数据库连接(使用我们之前创建的专用角色) DBHost=localhost DBName=zabbix DBUser=zabbix_srv DBPassword=StrongPassw0rd!2024 # TLS 配置(这才是重点) TLSConnect=psk TLSAccept=psk,tls TLSCAFile=/etc/zabbix/ssl/ca/zabbix_ca.crt TLSCertFile=/etc/zabbix/ssl/server/zabbix_server.crt TLSKeyFile=/etc/zabbix/ssl/server/zabbix_server.key TLSPSKIdentity=ZBX-PROD-SERVER-01 TLSPSKFile=/etc/zabbix/ssl/psk/zabbix.psk # 其他加固项 LogType=file LogFile=/var/log/zabbix/zabbix_server.log LogFileSize=10 DebugLevel=3 FpingLocation=/usr/bin/fping这里有两个极易混淆的概念:PSK(预共享密钥)和 TLS(证书)。Zabbix 支持两种加密模式:psk(轻量,适合 Agent 数量少)和tls(基于证书,适合大规模、多租户)。我们同时启用TLSAccept=psk,tls,意味着 Server 可以接受两种 Agent 的连接,但为了最高安全性,我们强制要求所有 Agent 必须使用tls模式。TLSPSKIdentity和TLSPSKFile是为兼容旧 Agent 准备的“后门”,在生产环境中,你应该将其注释掉,并在 Agent 配置中只设置TLSConnect=tls。
TLSCAFile是 Agent 用来验证 Server 身份的“信任锚”。它必须和我们分发给 Agent 的那个zabbix_ca.crt完全一致。
4. Web 层:Apache 2.4 的深度加固与 Zabbix 前端的零信任改造
Zabbix Web 前端是攻击者的第一入口。Ubuntu 18.04 的 Apache 2.4 默认配置非常宽松:它允许.htaccess覆盖、启用mod_php的全局变量、不强制 HTTPS、不设置安全 HTTP 头。一个未经加固的 Zabbix Web,就是一座没有城墙的城堡。
4.1 禁用危险模块与覆盖机制
首先,禁用所有非必需的 Apache 模块:
sudo a2dismod status autoindex info cgi cgid userdir sudo a2dismod php7.2 # Ubuntu 18.04 默认是 PHP 7.2然后,编辑/etc/apache2/mods-enabled/dir.conf,确保DirectoryIndex只包含index.php,移除index.html等静态文件:
<IfModule mod_dir.c> DirectoryIndex index.php </IfModule>最关键的是,彻底禁用.htaccess文件的解析能力。这是 Apache 最大的安全隐患之一,因为它允许任意目录下的用户通过.htaccess覆盖服务器全局安全策略。
编辑/etc/apache2/apache2.conf,找到<Directory /var/www/>块,将其修改为:
<Directory /var/www/> Options FollowSymLinks AllowOverride None # 关键!禁止 .htaccess Require all granted </Directory>4.2 强制 HTTPS 与 HSTS:让浏览器替你做安全决策
我们不依赖用户手动输入https://,而是让 Apache 自动重定向所有 HTTP 请求。
创建/etc/apache2/sites-available/zabbix-ssl.conf:
<IfModule mod_ssl.c> <VirtualHost _default_:443> ServerAdmin webmaster@localhost DocumentRoot /usr/share/zabbix # SSL Engine SSLEngine on SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key # HSTS (HTTP Strict Transport Security) - 强制浏览器在未来 2 年内只用 HTTPS 访问 Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" # 安全头 Header always set X-Frame-Options "DENY" Header always set X-Content-Type-Options "nosniff" Header always set X-XSS-Protection "1; mode=block" Header always set Referrer-Policy "no-referrer-when-downgrade" # Zabbix 特定配置 <Directory "/usr/share/zabbix"> Options FollowSymLinks AllowOverride None Require all granted # PHP 7.2 配置(Ubuntu 18.04) <FilesMatch \.php$> SetHandler "proxy:unix:/run/php/php7.2-fpm.sock|fcgi://localhost" </FilesMatch> </Directory> ErrorLog ${APACHE_LOG_DIR}/zabbix_error.log CustomLog ${APACHE_LOG_DIR}/zabbix_access.log combined </VirtualHost> </IfModule>注意:这里使用了 Ubuntu 自带的
snakeoil证书作为临时 HTTPS 证书。在生产环境中,你必须替换为 Let's Encrypt 或企业 CA 签发的证书。但即使使用自签名证书,HSTS 头也能有效防止 SSL Stripping 攻击。
启用站点并重启:
sudo a2ensite zabbix-ssl.conf sudo systemctl restart apache24.3 Zabbix 前端配置文件的“静默加固”
Zabbix Web 的配置文件/usr/share/zabbix/conf/zabbix.conf.php里藏着几个关键的安全开关,它们默认是关闭的。
用sudo nano打开它,找到并修改以下行:
// 启用 CSRF 保护(跨站请求伪造防护) $ZBX_SERVER_NAME = 'Zabbix Production Monitor'; // 显示在页面标题上,防止钓鱼 $ZBX_GUI_URL = 'https://zabbix-prod.internal.company.com'; // 必须是你的 HTTPS URL // 关键:开启 Session Cookie 的 HttpOnly 和 Secure 标志 ini_set('session.cookie_httponly', 1); ini_set('session.cookie_secure', 1); ini_set('session.use_strict_mode', 1); // 禁用 PHP 错误显示(防止信息泄露) error_reporting(0); ini_set('display_errors', 0);session.cookie_secure是强制性的。它告诉浏览器:“这个 Cookie 只能通过 HTTPS 连接发送,HTTP 连接一律忽略”。没有它,攻击者可以通过中间人攻击(MITM)窃取你的会话 Cookie,从而无需密码即可登录 Zabbix Web。
5. Agent 层:远程服务器上的“可信哨兵”,如何让它只说真话、只听真令
Zabbix Agent 是部署在被监控服务器(如一台 Ubuntu 18.04 Web 服务器)上的轻量级进程。它的安全性直接决定了监控数据的真实性。一个被篡改的 Agent,可以向 Server 发送伪造的 CPU 使用率为 0%,让你误以为服务器一切正常,而实际上它已被挖矿程序占满。
5.1 使用 TLS 模式部署 Agent:告别明文通信
在远程服务器上,我们不使用apt install zabbix-agent,而是下载与 Server 完全一致的源码进行编译,确保 TLS 协议栈版本一致。
# 在远程 Ubuntu 18.04 服务器上执行 cd /tmp wget https://downloads.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/4.0.39/zabbix-4.0.39.tar.gz tar -xzf zabbix-4.0.39.tar.gz cd zabbix-4.0.39 # 编译 Agent(不需要数据库支持) ./configure --enable-agent --with-openssl=/usr/local/ssl --enable-tls make && sudo make install然后,编辑/usr/local/etc/zabbix_agentd.conf:
PidFile=/var/run/zabbix/zabbix_agentd.pid LogFile=/var/log/zabbix/zabbix_agentd.log LogFileSize=10 Server=10.10.20.100 # Zabbix Server 的内网 IP ServerActive=10.10.20.100 Hostname=web-prod-01.internal.company.com # 必须与 Server 上添加的主机名完全一致 # TLS 配置(使用我们之前分发的 CA 证书) TLSConnect=tls TLSAccept=tls TLSCAFile=/etc/zabbix/ssl/agent/zabbix_ca.crt TLSCertFile=/etc/zabbix/ssl/agent/zabbix_agent.crt TLSKeyFile=/etc/zabbix/ssl/agent/zabbix_agent.key # 安全加固:禁止远程命令执行(这是 CVE-2017-2824 的根源) EnableRemoteCommands=0 LogRemoteCommands=0EnableRemoteCommands=0是生死线。Zabbix 的“远程命令”功能允许 Server 向 Agent 下发任意 shell 命令,这在自动化运维中很诱人,但一旦 Server 被攻破,攻击者就能通过 Agent 控制所有被监控服务器。在绝大多数监控场景中,这个功能是不必要的,必须禁用。
5.2 为 Agent 生成专属证书:每个 Agent 都是唯一的“数字身份证”
不能让所有 Agent 共用一个证书。我们必须为每一台远程服务器生成唯一的证书,这样 Server 才能精确识别和审计每一台 Agent 的行为。
在 Zabbix Server 上,为web-prod-01生成证书:
# 创建 Agent 证书目录 sudo mkdir -p /etc/zabbix/ssl/agent/web-prod-01 # 生成密钥和 CSR sudo openssl genrsa -out /etc/zabbix/ssl/agent/web-prod-01/web-prod-01.key 2048 sudo openssl req -new -key /etc/zabbix/ssl/agent/web-prod-01/web-prod-01.key -out /etc/zabbix/ssl/agent/web-prod-01/web-prod-01.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Zabbix Secure Monitoring/CN=web-prod-01.internal.company.com" # 用我们的私有 CA 签发 echo "subjectAltName = DNS:web-prod-01.internal.company.com" | sudo tee /tmp/agent_ext.cnf sudo openssl x509 -req -in /etc/zabbix/ssl/agent/web-prod-01/web-prod-01.csr -CA /etc/zabbix/ssl/ca/zabbix_ca.crt -CAkey /etc/zabbix/ssl/ca/zabbix_ca.key -CAcreateserial -out /etc/zabbix/ssl/agent/web-prod-01/web-prod-01.crt -days 365 -sha256 -extfile /tmp/agent_ext.cnf # 将证书和密钥复制到远程服务器(使用 scp) sudo scp /etc/zabbix/ssl/agent/web-prod-01/web-prod-01.crt root@10.10.20.101:/etc/zabbix/ssl/agent/ sudo scp /etc/zabbix/ssl/agent/web-prod-01/web-prod-01.key root@10.10.20.101:/etc/zabbix/ssl/agent/在远程服务器上,将证书文件的权限收紧到极致:
sudo chown zabbix:zabbix /etc/zabbix/ssl/agent/web-prod-01.crt /etc/zabbix/ssl/agent/web-prod-01.key sudo chmod 600 /etc/zabbix/ssl/agent/web-prod-01.crt /etc/zabbix/ssl/agent/web-prod-01.keychmod 600意味着只有zabbix用户可以读写这两个文件。如果root用户都能随意读取 Agent 的私钥,那么 TLS 加密就形同虚设。
5.3 验证 Agent 连接:用 tcpdump 抓包确认“真加密”
部署完成后,不要只相信 Zabbix Web 界面的“Z”图标是绿色的。我们要用最原始的方法验证:抓包。
在 Zabbix Server 上,执行:
# 启动抓包,过滤 Agent 端口 10050 sudo tcpdump -i any -nn -A port 10050 -w /tmp/agent.pcap & # 等待 30 秒,然后停止 sudo killall tcpdump # 用 strings 查看明文内容 strings /tmp/agent.pcap | head -20如果输出中全是乱码、不可读的二进制字符,或者出现TLS、handshake、ClientHello等字样,说明 TLS 加密已生效。如果能看到system.cpu.util[,idle]、vfs.fs.size[/,pused]这样的明文指标名,说明 TLS 配置失败,通信仍是明文。
这是我每次交付前必做的“终极验证”。它不依赖任何 Zabbix 内部日志,而是直接观察网络层的真实字节流。技术可以骗人,但网络包不会。
6. 运维层:构建一个“自我感知”的监控系统,让 Zabbix 监控自己
一个监控系统最大的讽刺,就是它自己宕机了,却没人知道。Zabbix Server、PostgreSQL、Apache,任何一个组件挂掉,都会导致整个监控失明。我们必须让 Zabbix 具备“自省”能力:它要能监控自己的进程、端口、日志错误,并在第一时间发出告警。
6.1 创建内部监控主机:Zabbix Server 作为自己的第一个被监控对象
在 Zabbix Web 界面中,添加一个新主机:
- 主机名称:
Zabbix-Server-Prod - 可见名称:
Zabbix Server (Self-Monitor) - 群组:
Zabbix servers - Agent 接口:
127.0.0.1:10050(注意,是本地回环,不是 Server 的公网 IP) - TLS 连接:
TLS with certificate
然后,为主机链接Template OS Linux和一个我们自定义的模板Template Zabbix Server Self-Monitor。
6.2 自定义监控项:捕捉那些“无声的崩溃”
Zabbix 自带的 Linux 模板,监控的是通用指标。我们需要添加专门针对 Zabbix 组件的监控项。
在Template Zabbix Server Self-Monitor中,创建以下监控项(类型均为Zabbix agent (active)):
| 名称 | Key | 类型 | 更新间隔 | 说明 |
|---|---|---|---|---|
| Zabbix Server 进程数 | proc.num[zabbix_server] | Numeric (unsigned) | 30s | 应始终为 1,为 0 表示进程崩溃 |
| PostgreSQL 连接数 | net.tcp.service.perf[pgsql,,5432] | Numeric (float) | 60s | 返回连接延迟(ms),>5000ms 表示数据库卡顿 |
| Apache 状态页响应 | web.page.get["localhost","/server-status?auto",,""] | Text | 60s | 解析Scoreboard字段,统计BusyWorkers,>20 表示 Web 压力过大 |
| Zabbix Server 日志错误 | log[/var/log/zabbix/zabbix_server.log,".ERROR. | .failed. | .cannot.",,skip] | Log |
其中,log[]监控项是最强大的。它不是简单地tail -f,而是 Zabbix Agent 内置的日志轮询引擎,能自动处理日志滚动(logrotate),并保证不重复发送同一条日志。
6.3 创建自愈式触发器:当 Server 挂了,让它自己“爬起来”
仅仅告警是不够的。我们可以利用 Zabbix 的“动作(Action)”功能,实现简单的自愈。
创建一个新动作,条件为:
- 触发器:
Zabbix Server 进程数< 1 - 操作:
Remote command(远程命令)
在操作详情中,设置:
- 目标主机:
Zabbix-Server-Prod(即它自己) - 类型:
Custom script - 脚本:
zabbix_server_restart.sh
这个脚本/usr/lib/zabbix/alertscripts/zabbix_server_restart.sh的内容如下:
#!/bin/bash # 检查进程是否真的死了 if ! pgrep -f "zabbix_server" > /dev/null; then echo "$(date): zabbix_server process dead, restarting..." >> /var/log/zabbix/self-heal.log # 尝试优雅重启 sudo -u zabbix /usr/local/sbin/zabbix_server -c /usr/local/etc/zabbix_server.conf & sleep 5 # 检查是否启动成功 if pgrep -f "zabbix_server" > /dev/null; then echo "$(date): zabbix_server restarted successfully." >> /var/log/zabbix/self-heal.log exit 0 else echo "$(date): zabbix_server restart failed, sending urgent alert." >> /var/log/zabbix/self-heal.log # 发送高优先级邮件 echo "CRITICAL: Zabbix Server self-heal failed!" | mail -s "URGENT: Zabbix Down" admin@company.com exit 1 fi else echo "$(date): zabbix_server is alive, no action needed." >> /var/log/zabbix/self-heal.log fi注意:此脚本需要
zabbix用户有sudo权限来启动zabbix_server,但只能执行这一条命令。在/etc/sudoers中添加:zabbix ALL=(ALL) NOPASSWD: /usr/local/sbin/zabbix_server
这个自愈机制不是万能的,但它能在 Server 因内存泄漏等偶发原因崩溃时,争取宝贵的 30-60 秒恢复时间,避免人工介入的延迟。在我的一个客户现场,这套机制在过去一年里自动恢复了 17 次 Server 崩溃,平均恢复时间 42 秒。
7. 最后的收尾:一份可审计、可交接、可复现的部署清单
一个成功的 Zabbix 部署,不在于它能否运行,而在于它能否被另一个工程师在 30 分钟内完全理解、审计和接管。因此,我从不把配置文件散落在各处,而是用一个结构化的 Markdown 文档,将所有关键信息沉淀下来。
在 Zabbix Server 的/root/deployment-audit/目录下,创建audit-report.md:
# Zabbix Production Deployment Audit Report **Generated on:** 2024-05-20 **Environment:** Ubuntu 18.04.6 LTS (Bionic) **Zabbix Version:** 4.0.39 (Compiled from source) ## 1. Security Posture Summary - [x] Database: PostgreSQL 10, dedicated `zabbix_srv`/`zabbix_web` roles, `pg_hba.conf` restricted to `127.0.0.1` - [x] Communication: TLS 1.2 enforced between Server and all Agents, no PSK in production - [x] Web: Apache 2.4, HTTPS mandatory via HSTS, `X-Frame-Options: DENY`, `HttpOnly` cookies - [x] Agent: `EnableRemoteCommands=0`, unique per-host certificates, file permissions `600` ## 2. Critical Paths & Credentials | Component | Path | Credential Type | Last Changed | |-----------|------|-----------------|--------------| | PostgreSQL | `/etc/postgresql/10/main
