Konfigurowanie szyfrów SSL
Program System Center — Operations Manager prawidłowo zarządza komputerami z systemami UNIX i Linux bez zmian w domyślnej konfiguracji szyfrowania Secure Sockets Layer (SSL). W przypadku większości organizacji domyślna konfiguracja jest akceptowalna, ale należy sprawdzić zasady zabezpieczeń organizacji, aby określić, czy zmiany są wymagane.
Korzystanie z konfiguracji szyfrowania SSL
Agent programu Operations Manager w systemach UNIX i Linux komunikuje się z serwerem zarządzania programu Operations Manager, akceptując żądania na porcie 1270 i dostarczając informacje w odpowiedzi na te żądania. Żądania są wykonywane przy użyciu protokołu WS-Management, który jest uruchomiony w połączeniu SSL.
Po pierwszym ustanowieniu połączenia SSL dla każdego żądania standardowy protokół SSL negocjuje algorytm szyfrowania, znany jako szyfr używany przez połączenie. W przypadku programu Operations Manager serwer zarządzania zawsze negocjuje użycie szyfru o dużej sile, tak aby silne szyfrowanie było używane w połączeniu sieciowym między serwerem zarządzania a komputerem z systemem UNIX lub Linux.
Domyślna konfiguracja szyfrowania SSL na komputerze z systemem UNIX lub Linux podlega pakietowi SSL zainstalowanemu w ramach systemu operacyjnego. Konfiguracja szyfrowania SSL zwykle umożliwia nawiązywanie połączeń z różnymi szyframi, w tym starszymi szyframi o mniejszej sile. Chociaż program Operations Manager nie używa tych szyfrów o mniejszej sile, otwarcie portu 1270 z możliwością użycia szyfru o niższej sile jest sprzeczne z zasadami zabezpieczeń niektórych organizacji.
Jeśli domyślna konfiguracja szyfrowania SSL spełnia zasady zabezpieczeń organizacji, nie jest wymagana żadna akcja.
Jeśli domyślna konfiguracja szyfrowania SSL jest sprzeczna z zasadami zabezpieczeń organizacji, agent programu Operations Manager dla systemów UNIX i Linux udostępnia opcję konfiguracji, aby określić szyfry, które protokół SSL może zaakceptować na porcie 1270. Ta opcja może służyć do kontrolowania szyfrów i zapewniania zgodności konfiguracji SSL z zasadami. Po zainstalowaniu agenta programu Operations Manager dla systemów UNIX i Linux na każdym zarządzanym komputerze należy ustawić opcję konfiguracji przy użyciu procedur opisanych w następnej sekcji. Program Operations Manager nie zapewnia żadnego automatycznego ani wbudowanego sposobu stosowania tych konfiguracji; każda organizacja musi wykonać konfigurację przy użyciu mechanizmu zewnętrznego, który działa najlepiej.
Ustawianie opcji konfiguracji sslCipherSuite
Szyfry SSL dla portu 1270 są kontrolowane przez ustawienie opcji sslciphersuite w pliku konfiguracji OMI omiserver.conf. Plik omiserver.conf znajduje się w katalogu /etc/opt/omi/conf/.
Format opcji sslciphersuite w tym pliku to:
sslciphersuite=<cipher spec>
Gdzie <specyfikacja> szyfrowania określa szyfry, które są dozwolone, niedozwolone i kolejność, w której wybierane są dozwolone szyfry.
Format specyfikacji <> szyfrowania jest taki sam jak format opcji sslCipherSuite w systemie Apache HTTP Server w wersji 2.0. Aby uzyskać szczegółowe informacje, zobacz SslCipherSuite, dyrektywa w dokumentacji platformy Apache. Wszystkie informacje na tej stronie są udostępniane przez właściciela lub użytkowników witryny internetowej. Firma Microsoft nie udziela żadnych gwarancji (w sposób wyraźny, dorozumiany lub ustawowy) odnośnie do informacji dostępnych w tej witrynie sieci Web.
Po ustawieniu opcji konfiguracji sslCipherSuite należy ponownie uruchomić agenta systemów UNIX i Linux, aby zmiany zaczęły obowiązywać. Aby ponownie uruchomić agenta systemów UNIX i Linux, uruchom następujące polecenie, które znajduje się w katalogu /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Włączanie lub wyłączanie wersji protokołu TLS
W przypadku programu System Center — Operations Manager plik omiserver.conf znajduje się w lokalizacji: /etc/opt/omi/conf/omiserver.conf
Aby włączyć/wyłączyć wersje protokołu TLS, należy ustawić następujące flagi. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera OMI.
| Właściwości | Purpose |
|---|---|
| NoTLSv1_0 | W przypadku wartości true protokół TLSv1.0 jest wyłączony. |
| NoTLSv1_1 | Jeśli wartość true i jeśli jest dostępna na platformie, protokół TLSv1.1 jest wyłączony. |
| NoTLSv1_2 | Jeśli wartość true i jeśli jest dostępna na platformie, protokół TLSv1.2 jest wyłączony. |
Włączanie lub wyłączanie protokołu SSLv3
Program Operations Manager komunikuje się z agentami systemów UNIX i Linux za pośrednictwem protokołu HTTPS przy użyciu szyfrowania TLS lub SSL. Proces uzgadniania SSL negocjuje najsilniejsze szyfrowanie, które jest wzajemnie dostępne na agencie i serwerze zarządzania. Możesz zablokować protokół SSLv3, aby agent, który nie może negocjować szyfrowania TLS, nie wracał do protokołu SSLv3.
W przypadku programu System Center — Operations Manager plik omiserver.conf znajduje się w lokalizacji: /etc/opt/omi/conf/omiserver.conf
Aby wyłączyć protokół SSLv3
Zmodyfikuj plik omiserver.conf, ustaw wiersz NoSSLv3 na: NoSSLv3=true
Aby włączyć protokół SSLv3
Zmodyfikuj plik omiserver.conf, ustaw wiersz NoSSLv3 na: NoSSLv3=false
Uwaga
Następująca aktualizacja ma zastosowanie do programu Operations Manager 2019 UR3 lub nowszego.
Macierz obsługi zestawu szyfrowania
| Dystrybucja | Jądro | Wersja protokołu OpenSSL | Najwyższy obsługiwany pakiet szyfrowania/preferowany pakiet szyfrowania | Indeks szyfrowania |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 stycznia 2017 r.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 kwi 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server w wersji 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 lutego 2013 r.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 stycznia 2017 r.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 kwi 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 maja 2019 r.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 wrz 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 sierpnia 2018 r.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 wrz 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Algorytmy szyfrowania, algorytmy MAC i algorytmy wymiany kluczy
W programie System Center Operations Manager 2016 i nowszych poniższe szyfry, algorytmy MAC i algorytmy wymiany kluczy są prezentowane przez moduł SSH programu System Center Operations Manager.
Szyfry oferowane przez moduł SSH programu SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algorytmy MAC oferowane przez moduł SSH programu SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algorytmy wymiany kluczy oferowane przez moduł SSH programu SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Wyłączone renegocjacja protokołu SSL w agencie systemu Linux
W przypadku agenta systemu Linux ponowne negocjowanie protokołu SSL jest wyłączone.
Renegocjacja protokołu SSL może spowodować lukę w zabezpieczeniach agenta SCOM-Linux, co może ułatwić zdalnym osobom atakującym spowodowanie odmowy usługi przez wykonanie wielu renegocjacji w ramach jednego połączenia.
Agent systemu Linux używa protokołu OpenSSL opensource do celów SSL.
Następujące wersje są obsługiwane tylko w przypadku renegocjacji:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
W przypadku programu OpenSSL w wersji 1.10 – 1.1.0g nie można wyłączyć renegocjacji, ponieważ program OpenSSL nie obsługuje renegocjacji.
Następne kroki
Aby dowiedzieć się, jak uwierzytelniać i monitorować komputery z systemami UNIX i Linux, zapoznaj się z tematem Credentials You Must to Access UNIX and Linux Computers (Poświadczenia musisz mieć dostęp do komputerów z systemami UNIX i Linux).
Aby skonfigurować program Operations Manager do uwierzytelniania na komputerach z systemami UNIX i Linux, zobacz How to Set Credentials for Accessing UNIX and Linux Computers (Jak ustawić poświadczenia na potrzeby uzyskiwania dostępu do komputerów z systemami UNIX i Linux).
Aby dowiedzieć się, jak podnieść poziom nieuprzywilejowanego konta na potrzeby efektywnego monitorowania komputerów z systemami UNIX i Linux, zapoznaj się z artykułem Jak skonfigurować podniesienie uprawnień sudo i klucze SSH.