Konfigurace metod šifrování SSL
Důležité
Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.
System Center – Operations Manager správně spravuje počítače se systémy UNIX a Linux bez změn výchozí konfigurace šifrování SSL (Secure Sockets Layer). Pro většinu organizací je výchozí konfigurace přijatelná, ale měli byste zásady zabezpečení používané ve vaší organizaci zkontrolovat a zjistit, zda nejsou nutné nějaké změny.
Používání konfigurace šifry SSL
Agent nástroje Operations Manager pro unix a Linux komunikuje se serverem pro správu Operations Manageru tak, že přijímá požadavky na portu 1270 a v reakci na tyto požadavky poskytuje informace. Žádosti jsou vytvářeny pomocí protokolu WS-Management, který běží v rámci připojení SSL.
Při prvním vytváření připojení SSL pro každou žádost vyjedná standardní protokol SSL šifrovací algoritmus (tzv. šifru), který se bude používat pro připojení. Pro nástroj Operations Manager server pro správu vždy vyjedná použití velmi silné šifry tak, aby se pro síťové připojení mezi serverem pro správu a počítačem se systémem UNIX nebo Linux používalo silné šifrování.
Výchozí konfigurace šifry SSL v počítači se systémem UNIX nebo Linux se řídí balíčkem SSL, který je nainstalován jako součást operačního systému. Konfigurace šifry SSL obvykle umožňuje připojení s různými šiframi, včetně starších šifer s nižší sílou. I když Operations Manager tyto šifry s nižší sílou nepoužívá, otevřený port 1270 s možností použití šifry s nižší sílou je v rozporu se zásadami zabezpečení některých organizací.
Pokud výchozí konfigurace šifry SSL splňuje zásady zabezpečení vaší organizace, není nutné provádět žádnou akci.
Pokud je výchozí konfigurace šifry SSL v rozporu se zásadami zabezpečení vaší organizace, agent nástroje Operations Manager pro systém UNIX a Linux nabízí parametr konfigurace pro specifikování šifer, které lze prostřednictvím protokolu SSL přijmout na portu 1270. Tento parametr se může použít k řízení šifer a zajištění souladu konfigurace SSL s vašimi zásadami. Po instalaci agenta nástroje Operations Manager pro UNIX a Linux do každého spravovaného počítače musí být možnost konfigurace nastavena pomocí postupů popsaných v další části. Operations Manager neposkytuje žádný automatický ani integrovaný způsob použití těchto konfigurací. každá organizace musí konfiguraci provést pomocí externího mechanismu, který pro ni nejlépe vyhovuje.
Nastavení možnosti konfigurace sslCipherSuite
Šifry SSL pro port 1270 se řídí nastavením parametru sslciphersuite v konfiguračním souboru OMI omiserver.conf. Soubor omiserver.conf se nachází v adresáři /etc/opt/omi/conf/
.
Formát parametru sslciphersuite v tomto souboru je:
sslciphersuite=<cipher spec>
Kde <specifikace> šifry určuje šifry, které jsou povolené, zakázané, a pořadí, ve kterém jsou povolené šifry vybrány.
Formát <specifikace> šifry je stejný jako formát pro možnost sslCipherSuite v Apache HTTP Serveru verze 2.0. Podrobné informace najdete v dokumentaci k serveru Apache v části týkající se direktivy SSLCipherSuite. Všechny informace na tomto webu jsou poskytovány vlastníkem nebo uživateli webu. Společnost Microsoft na informace na tomto webu neposkytuje žádné záruky, ať už výslovně uvedené, předpokládané nebo statutární.
Po nastavení parametru konfigurace sslCipherSuite je nutné restartovat agenta systému UNIX a Linux, aby se změny projevily. Pokud chcete restartovat agenta systému UNIX a Linux, spusťte následující příkaz, který najdete v adresáři /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Povolení nebo zakázání verzí protokolu TLS
Pro System Center – Operations Manager se soubor omiserver.conf nachází tady: /etc/opt/omi/conf/omiserver.conf
Aby bylo možné povolit nebo zakázat verze protokolu TLS, je potřeba nastavit následující příznaky. Další informace najdete v tématu Konfigurace serveru OMI.
Vlastnost | Účel |
---|---|
NoTLSv1_0 | Pokud je hodnota true, protokol TLSv1.0 je zakázán. |
NoTLSv1_1 | Pokud je hodnota true a pokud je na platformě k dispozici, protokol TLSv1.1 je zakázaný. |
NoTLSv1_2 | Pokud je hodnota true a pokud je na platformě k dispozici, protokol TLSv1.2 je zakázaný. |
Povolení nebo zakázání protokolu SSLv3
Operations Manager komunikuje s agenty systému UNIX a Linux přes protokol HTTPS pomocí šifrování TLS nebo SSL. Proces SSL typu handshake vyjedná nejsilnější šifrování, které je u agenta i serveru pro správu oboustranně dostupné. Možná budete chtít protokol SSLv3 zakázat, aby se agent, který nemůže vyjednat šifrování TLS, nevrátil zpět na SSLv3.
Pro System Center – Operations Manager se soubor omiserver.conf nachází tady: /etc/opt/omi/conf/omiserver.conf
Zakázání protokolu SSLv3
Upravte soubor omiserver.conf a nastavte řádek NoSSLv3 na: NoSSLv3=true
Povolení protokolu SSLv3
Upravte soubor omiserver.conf a nastavte řádek NoSSLv3 na: NoSSLv3=false
Poznámka
Následující aktualizace platí pro Operations Manager 2019 UR3 a novější.
Matice podpory šifrovacích sad
Distribuce | jádro | Verze OpenSSL | Nejžádnější podporovaná šifrovací sada / upřednostňovaná šifrovací sada | Index šifry |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26. ledna 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21. dubna 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Oracle Linux Server verze 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11. února 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26. ledna 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21. dubna 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28. května 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1. března 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11. září 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31. března 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14. září 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10. září 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Šifry, algoritmy MAC a algoritmy výměny klíčů
V system Center Operations Manageru 2016 a novějších verzích jsou následující šifry, algoritmy MAC a algoritmy výměny klíčů prezentovány modulem System Center Operations Manager SSH.
Šifry nabízené modulem SCOM SSH:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmy MAC nabízené modulem SCOM SSH:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmy výměny klíčů nabízené modulem SCOM SSH:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Zakázaná opakované vyjednávání SSL v agentovi pro Linux
U agenta pro Linux jsou zakázaná nová jednání o SSL.
Opakované vyjednávání SSL může způsobit ohrožení zabezpečení v agentovi SCOM-Linux, což může vzdáleným útočníkům usnadnit, aby způsobili odepření služby provedením mnoha opakovaného vyjednávání v rámci jednoho připojení.
Agent pro Linux používá opensource OpenSSL pro účely SSL.
Následující verze jsou podporovány pouze pro opakované vyjednávání:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Pro OpenSSL verze 1.10 – 1.1.0g nemůžete opakované vyjednávání zakázat, protože OpenSSL nepodporuje opakované vyjednávání.
Další kroky
Pokud chcete zjistit, jak ověřovat a monitorovat počítače se systémy UNIX a Linux, přečtěte si téma Přihlašovací údaje, které potřebujete pro přístup k počítačům se systémy UNIX a Linux.
Informace o konfiguraci nástroje Operations Manager pro ověřování na počítačích se systémy UNIX a Linux najdete v tématu Nastavení přihlašovacích údajů pro přístup k počítačům se systémy UNIX a Linux.
Pokud chcete zjistit, jak zvýšit úroveň neprivilegovaného účtu pro efektivní monitorování počítačů se systémy UNIX a Linux, přečtěte si téma Konfigurace zvýšení oprávnění sudo a klíčů SSH.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro