Configuration des chiffrements SSL

System Center - Operations Manager gère correctement les ordinateurs UNIX et Linux sans modification de la configuration de chiffrement SSL (Secure Sockets Layer) par défaut. Pour la plupart des organisations, la configuration par défaut est acceptable, mais vous devez vérifier les stratégies de sécurité de votre organisation pour déterminer si des modifications sont requises.

Utilisation de la configuration de chiffrement SSL

Les agents UNIX et Linux d’Operations Manager communiquent avec le serveur d’administration Operations Manager en acceptant les demandes sur le port 1270 et en fournissant des informations en réponse à ces demandes. Les demandes sont effectuées en utilisant le protocole WS-Management qui s'exécute sur une connexion SSL.

Lorsque la connexion SSL est établie pour la première fois pour chaque demande, le protocole SSL standard négocie l'algorithme de chiffrement, connu comme un chiffrement pour la connexion à utiliser. Pour Operations Manager, le serveur d’administration négocie toujours l’utilisation d’un chiffrement haute puissance afin que le chiffrement fort soit utilisé sur la connexion réseau entre le serveur d’administration et l’ordinateur UNIX ou Linux.

La configuration du chiffrement SSL par défaut sur l'ordinateur UNIX ou Linux est régie par le package SSL installé dans le cadre du système d'exploitation. La configuration de chiffrement SSL autorise généralement les connexions avec différents chiffrements, y compris les chiffrements plus anciens de plus faible puissance. Bien que Operations Manager n’utilise pas ces chiffrements de force inférieure, le port 1270 ouvert avec la possibilité d’utiliser un chiffrement de force inférieure contredit la stratégie de sécurité de certaines organisations.

Si la configuration de chiffrement SSL par défaut répond à la stratégie de sécurité de votre organisation, aucune action n’est nécessaire.

Si la configuration de chiffrement SSL par défaut contredit la stratégie de sécurité de votre organisation, l’agent Operations Manager UNIX et Linux fournit une option de configuration pour spécifier les chiffrements que SSL peut accepter sur le port 1270. Cette option permet de contrôler les chiffrements et de rendre la configuration SSL conforme à vos stratégies. Une fois les agents UNIX et Linux d’Operations Manager installés sur chaque ordinateur managé, l’option de configuration doit être définie à l’aide des procédures décrites dans la section suivante. Operations Manager ne fournit aucune façon automatique ou intégrée d’appliquer ces configurations ; chaque organisation doit effectuer la configuration à l’aide d’un mécanisme externe qui fonctionne le mieux pour elle.

Définition de l’option de configuration sslCipherSuite

Le contrôle des chiffrements SSL pour le port 1270 s'effectue en définissant l'option sslciphersuite dans le fichier de configuration OMI, omiserver.conf. Le fichier omiserver.conf se trouve dans le répertoire /etc/opt/omi/conf/.

L'option sslciphersuite contenue dans ce fichier présente le format suivant :

sslciphersuite=<cipher spec>  

Où <les spécifications> de chiffrement spécifient les chiffrements autorisés, interdits et l’ordre dans lequel les chiffrements autorisés sont choisis.

Le format des <spécifications> de chiffrement est identique au format de l’option sslCipherSuite dans apache HTTP Server version 2.0. Pour plus d'informations, consultez Directive SSLCipherSuite dans la documentation d'Apache. Toutes les informations sur ce site sont fournies par le propriétaire ou les utilisateurs du site web. Microsoft n'apporte aucune garantie, expresse, implicite ou légale, quant aux informations contenues sur ce site Web.

Après avoir défini l'option de configuration sslCipherSuite , vous devez redémarrer l'agent UNIX et Linux pour que la modification prenne effet. Pour redémarrer l'agent UNIX et Linux, exécutez la commande suivante, qui se trouve dans le répertoire /etc/opt/microsoft/scx/bin/tools .

. setup.sh  
scxadmin -restart  

Activation ou désactivation des versions du protocole TLS

Pour System Center – Operations Manager, omiserver.conf se trouve à l’adresse suivante : /etc/opt/omi/conf/omiserver.conf

Les indicateurs suivants doivent être définis pour activer/désactiver les versions du protocole TLS. Pour plus d’informations, consultez Configuration du serveur OMI.

Propriété Objectif
NoTLSv1_0 Lorsque la valeur est true, le protocole TLSv1.0 est désactivé.
NoTLSv1_1 Lorsque la valeur est true et si elle est disponible sur la plateforme, le protocole TLSv1.1 est désactivé.
NoTLSv1_2 Quand la valeur est true et si elle est disponible sur la plateforme, le protocole TLSv1.2 est désactivé.

Activation ou désactivation du protocole SSLv3

Operations Manager communique avec les agents UNIX et Linux via HTTPS, à l’aide du chiffrement TLS ou SSL. Le processus de négociation SSL négocie le chiffrement le plus fort qui est mutuellement disponible sur l’agent et le serveur d’administration. Vous pouvez interdire SSLv3 afin qu’un agent qui ne puisse pas négocier le chiffrement TLS ne revient pas à SSLv3.

Pour System Center – Operations Manager, omiserver.conf se trouve à l’adresse suivante : /etc/opt/omi/conf/omiserver.conf

Pour désactiver SSLv3

Modifiez omiserver.conf, définissez la ligne NoSSLv3 sur : NoSSLv3=true

Pour activer SSLv3

Modifiez omiserver.conf, définissez la ligne NoSSLv3 sur : NoSSLv3=false

Remarque

La mise à jour suivante s’applique à Operations Manager 2019 UR3 et ultérieur.

Matrice de prise en charge des suites de chiffrement

Distribution Noyau Version OpenSSL Suite de chiffrement la plus élevée prise en charge/suite de chiffrement préférée Index de chiffrement
Red Hat Enterprise Linux Server 7.5 (Maipo) Linux 3.10.0-862.el7.x86_64 OpenSSL 1.0.2k-fips (26 janvier 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa) Linux 4.18.0-240.el8.x86_64 OpenSSL 1.1.1g FIPS (21 avril 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Oracle Linux Server version 6.10 Linux4.1.12-124.16.4.el6uek.x86_64 OpenSSL 1.0.1e-fips (11 février 2013) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 7.9 Linux 5.4.17-2011.6.2.el7uek.x86_64 OpenSSL 1.0.2k-fips (26 janvier 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 8.3 Linux 5.4.17-2011.7.4.el8uek.x86_64 OpenSSL 1.1.1g FIPS (21 avril 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Linux 8 (Core) Linux 4.18.0-193.el8.x86_64 OpenSSL 1.1.1c FIPS (28 mai 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 16.04.5 LTS Linux 4.4.0-131-generic OpenSSL 1.0.2g (1 mars 2016) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Ubuntu 18.10 Linux 4.18.0-25-generic OpenSSL 1.1.1 (11 septembre 2018) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 20.04 LTS Linux 5.4.0-52-generic OpenSSL 1.1.1f (31 mars 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5 Linux 4.12.14-120-default OpenSSL 1.0.2p-fips (14 août 2018) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Debian GNU/Linux 10 (buster) Linux 4.19.0-13-amd64 OpenSSL 1.1.1d (10 septembre 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }

Chiffrements, algorithmes MAC et algorithmes d’échange de clés

Dans System Center Operations Manager 2016 et versions ultérieures, les chiffrements, les algorithmes MAC et les algorithmes d’échange de clés ci-dessous sont présentés par le module SSH System Center Operations Manager.

Chiffrements proposés par le module SCOM SSH :

  • aes256-ctr
  • aes256-cbc
  • aes192-ctr
  • aes192-cbc
  • aes128-ctr
  • aes128-cbc
  • 3des-ctr
  • 3des-cbc

Algorithmes MAC proposés par le module SCOM SSH :

  • hmac-sha10
  • hmac-sha1-96
  • hmac-sha2-256

Algorithmes d’échange de clés proposés par le module SCOM SSH :

  • diffie-hellman-group-exchange-sha256
  • diffie-hellman-group-exchange-sha1
  • diffie-hellman-group14-sha1
  • diffie-hellman-group14-sha256
  • diffie-hellman-group1-sha1
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

Renégociations SSL désactivées dans l’agent Linux

Pour l’agent Linux, les renégociations SSL sont désactivées.

Les renégociations SSL peuvent entraîner une vulnérabilité dans l’agent SCOM-Linux, ce qui peut faciliter l’exécution d’un déni de service par les attaquants distants en effectuant de nombreuses renégociations au sein d’une seule connexion.

L’agent Linux utilise opensource OpenSSL à des fins SSL.

Les versions suivantes sont prises en charge pour la renégociation uniquement :

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

Pour OpenSSL versions 1.10 - 1.1.0g, vous ne pouvez pas désactiver la renégociation, car OpenSSL ne prend pas en charge la renégociation.

Étapes suivantes