Sdílet prostřednictvím

Konfigurace metod šifrování SSL

  • Článek

Důležité

Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.

System Center – Operations Manager správně spravuje počítače se systémy UNIX a Linux bez změn výchozí konfigurace šifrování SSL (Secure Sockets Layer). Pro většinu organizací je výchozí konfigurace přijatelná, ale měli byste zásady zabezpečení používané ve vaší organizaci zkontrolovat a zjistit, zda nejsou nutné nějaké změny.

Používání konfigurace šifry SSL

Agent nástroje Operations Manager pro unix a Linux komunikuje se serverem pro správu Operations Manageru tak, že přijímá požadavky na portu 1270 a v reakci na tyto požadavky poskytuje informace. Žádosti jsou vytvářeny pomocí protokolu WS-Management, který běží v rámci připojení SSL.

Při prvním vytváření připojení SSL pro každou žádost vyjedná standardní protokol SSL šifrovací algoritmus (tzv. šifru), který se bude používat pro připojení. Pro nástroj Operations Manager server pro správu vždy vyjedná použití velmi silné šifry tak, aby se pro síťové připojení mezi serverem pro správu a počítačem se systémem UNIX nebo Linux používalo silné šifrování.

Výchozí konfigurace šifry SSL v počítači se systémem UNIX nebo Linux se řídí balíčkem SSL, který je nainstalován jako součást operačního systému. Konfigurace šifry SSL obvykle umožňuje připojení s různými šiframi, včetně starších šifer s nižší sílou. I když Operations Manager tyto šifry s nižší sílou nepoužívá, otevřený port 1270 s možností použití šifry s nižší sílou je v rozporu se zásadami zabezpečení některých organizací.

Pokud výchozí konfigurace šifry SSL splňuje zásady zabezpečení vaší organizace, není nutné provádět žádnou akci.

Pokud je výchozí konfigurace šifry SSL v rozporu se zásadami zabezpečení vaší organizace, agent nástroje Operations Manager pro systém UNIX a Linux nabízí parametr konfigurace pro specifikování šifer, které lze prostřednictvím protokolu SSL přijmout na portu 1270. Tento parametr se může použít k řízení šifer a zajištění souladu konfigurace SSL s vašimi zásadami. Po instalaci agenta nástroje Operations Manager pro UNIX a Linux do každého spravovaného počítače musí být možnost konfigurace nastavena pomocí postupů popsaných v další části. Operations Manager neposkytuje žádný automatický ani integrovaný způsob použití těchto konfigurací. každá organizace musí konfiguraci provést pomocí externího mechanismu, který pro ni nejlépe vyhovuje.

Nastavení možnosti konfigurace sslCipherSuite

Šifry SSL pro port 1270 se řídí nastavením parametru sslciphersuite v konfiguračním souboru OMI omiserver.conf. Soubor omiserver.conf se nachází v adresáři /etc/opt/omi/conf/.

Formát parametru sslciphersuite v tomto souboru je:

sslciphersuite=<cipher spec>

Kde <specifikace> šifry určuje šifry, které jsou povolené, zakázané, a pořadí, ve kterém jsou povolené šifry vybrány.

Formát <specifikace> šifry je stejný jako formát pro možnost sslCipherSuite v Apache HTTP Serveru verze 2.0. Podrobné informace najdete v dokumentaci k serveru Apache v části týkající se direktivy SSLCipherSuite. Všechny informace na tomto webu jsou poskytovány vlastníkem nebo uživateli webu. Společnost Microsoft na informace na tomto webu neposkytuje žádné záruky, ať už výslovně uvedené, předpokládané nebo statutární.

Po nastavení parametru konfigurace sslCipherSuite je nutné restartovat agenta systému UNIX a Linux, aby se změny projevily. Pokud chcete restartovat agenta systému UNIX a Linux, spusťte následující příkaz, který najdete v adresáři /etc/opt/microsoft/scx/bin/tools.

. setup.sh  
scxadmin -restart

Povolení nebo zakázání verzí protokolu TLS

Pro System Center – Operations Manager se soubor omiserver.conf nachází tady: /etc/opt/omi/conf/omiserver.conf

Aby bylo možné povolit nebo zakázat verze protokolu TLS, je potřeba nastavit následující příznaky. Další informace najdete v tématu Konfigurace serveru OMI.

Vlastnost Účel
NoTLSv1_0 Pokud je hodnota true, protokol TLSv1.0 je zakázán.
NoTLSv1_1 Pokud je hodnota true a pokud je na platformě k dispozici, protokol TLSv1.1 je zakázaný.
NoTLSv1_2 Pokud je hodnota true a pokud je na platformě k dispozici, protokol TLSv1.2 je zakázaný.

Povolení nebo zakázání protokolu SSLv3

Operations Manager komunikuje s agenty systému UNIX a Linux přes protokol HTTPS pomocí šifrování TLS nebo SSL. Proces SSL typu handshake vyjedná nejsilnější šifrování, které je u agenta i serveru pro správu oboustranně dostupné. Možná budete chtít protokol SSLv3 zakázat, aby se agent, který nemůže vyjednat šifrování TLS, nevrátil zpět na SSLv3.

Pro System Center – Operations Manager se soubor omiserver.conf nachází tady: /etc/opt/omi/conf/omiserver.conf

Zakázání protokolu SSLv3

Upravte soubor omiserver.conf a nastavte řádek NoSSLv3 na: NoSSLv3=true

Povolení protokolu SSLv3

Upravte soubor omiserver.conf a nastavte řádek NoSSLv3 na: NoSSLv3=false

Poznámka

Následující aktualizace platí pro Operations Manager 2019 UR3 a novější.

Matice podpory šifrovacích sad

Distribuce jádro Verze OpenSSL Nejžádnější podporovaná šifrovací sada / upřednostňovaná šifrovací sada Index šifry
Red Hat Enterprise Linux Server 7.5 (Maipo) Linux 3.10.0-862.el7.x86_64 OpenSSL 1.0.2k-fips (26. ledna 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa) Linux 4.18.0-240.el8.x86_64 OpenSSL 1.1.1g FIPS (21. dubna 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Oracle Linux Server verze 6.10 Linux4.1.12-124.16.4.el6uek.x86_64 OpenSSL 1.0.1e-fips (11. února 2013) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 7.9 Linux 5.4.17-2011.6.2.el7uek.x86_64 OpenSSL 1.0.2k-fips (26. ledna 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 8.3 Linux 5.4.17-2011.7.4.el8uek.x86_64 OpenSSL 1.1.1g FIPS (21. dubna 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
CentOS Linux 8 (Core) Linux 4.18.0-193.el8.x86_64 OpenSSL 1.1.1c FIPS (28. května 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 16.04.5 LTS Linux 4.4.0-131-generic OpenSSL 1.0.2g (1. března 2016) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Ubuntu 18.10 Linux 4.18.0-25-generic OpenSSL 1.1.1 (11. září 2018) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 20.04 LTS Linux 5.4.0-52-generic OpenSSL 1.1.1f (31. března 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5 Linux 4.12.14-120-default OpenSSL 1.0.2p-fips (14. září 2018) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Debian GNU/Linux 10 (buster) Linux 4.19.0-13-amd64 OpenSSL 1.1.1d (10. září 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }

Šifry, algoritmy MAC a algoritmy výměny klíčů

V system Center Operations Manageru 2016 a novějších verzích jsou následující šifry, algoritmy MAC a algoritmy výměny klíčů prezentovány modulem System Center Operations Manager SSH.

Šifry nabízené modulem SCOM SSH:

  • aes256-ctr
  • aes256-cbc
  • aes192-ctr
  • aes192-cbc
  • aes128-ctr
  • aes128-cbc
  • 3des-ctr
  • 3des-cbc

Algoritmy MAC nabízené modulem SCOM SSH:

  • hmac-sha10
  • hmac-sha1-96
  • hmac-sha2-256

Algoritmy výměny klíčů nabízené modulem SCOM SSH:

  • diffie-hellman-group-exchange-sha256
  • diffie-hellman-group-exchange-sha1
  • diffie-hellman-group14-sha1
  • diffie-hellman-group14-sha256
  • diffie-hellman-group1-sha1
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

Zakázaná opakované vyjednávání SSL v agentovi pro Linux

U agenta pro Linux jsou zakázaná nová jednání o SSL.

Opakované vyjednávání SSL může způsobit ohrožení zabezpečení v agentovi SCOM-Linux, což může vzdáleným útočníkům usnadnit, aby způsobili odepření služby provedením mnoha opakovaného vyjednávání v rámci jednoho připojení.

Agent pro Linux používá opensource OpenSSL pro účely SSL.

Následující verze jsou podporovány pouze pro opakované vyjednávání:

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

Pro OpenSSL verze 1.10 – 1.1.0g nemůžete opakované vyjednávání zakázat, protože OpenSSL nepodporuje opakované vyjednávání.

Další kroky