Configuración de cifrado SSL
Importante
Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.
System Center Operations Manager administra correctamente los equipos UNIX y Linux sin realizar cambios en la configuración predeterminada del algoritmo de cifrado SSL (capa de sockets seguros). En la mayoría de las organizaciones, la configuración predeterminada es aceptable, pero debe comprobar las directivas de seguridad de su organización para determinar si se requieren cambios.
Uso de la configuración de cifrado SSL
El agente de UNIX y Linux de Operations Manager se comunica con el servidor de administración de Operations Manager al aceptar solicitudes en el puerto 1270 y suministrar información para responder a esas solicitudes. Las solicitudes se realizan mediante el protocolo WS-Management que se ejecuta en una conexión SSL.
Cuando la conexión SSL se establece para cada solicitud, el protocolo SSL estándar negocia el algoritmo de cifrado, que se conoce como el cifrado para la conexión. Para Operations Manager, el servidor de administración siempre negocia el uso de un cifrado muy seguro para la conexión de red entre el servidor de administración y el equipo UNIX o Linux.
El paquete SSL que se instala como parte del sistema operativo controla la configuración de cifrado SSL predeterminada en un equipo UNIX o Linux. La configuración de cifrado SSL normalmente permite conexiones con varios cifrados, incluidos los cifrados más antiguos de menor intensidad. Aunque Operations Manager no usa estos cifrados de menor intensidad, tener abierto el puerto 1270 con la posibilidad de usar un cifrado de menor intensidad contradiga la directiva de seguridad de algunas organizaciones.
Si la configuración predeterminada del algoritmo de cifrado SSL cumple la directiva de seguridad de su organización, no es necesario realizar ninguna acción.
Si la configuración predeterminada del algoritmo de cifrado SSL no cumple la directiva de seguridad de su organización, el agente de UNIX y Linux de Operations Manager ofrece una opción de configuración para especificar los cifrados que SSL acepta en el puerto 1270. Puede utilizar esta opción para controlar los cifrados y para hacer que la configuración de SSL se ajuste a sus directivas. Después de instalar el agente de UNIX y Linux de Operations Manager en todos los equipos administrados, se debe establecer la opción de configuración mediante los procedimientos que se describen en la sección siguiente. Operations Manager no proporciona ninguna manera automática o integrada de aplicar estas configuraciones; cada organización debe realizar la configuración mediante un mecanismo externo que funcione mejor para ella.
Establecimiento de la opción de configuración sslCipherSuite
Los cifrados SSL para el puerto 1270 se controlan mediante la configuración de la opción sslciphersuite del archivo de configuración OMI, omiserver.conf. El archivo omiserver.conf se encuentra en el directorio .
El formato de la opción sslciphersuite de este archivo es:
sslciphersuite=<cipher spec>
Donde <la especificación> de cifrado especifica los cifrados permitidos, no permitidos y el orden en que se eligen los cifrados permitidos.
El formato de <cipher spec> es el mismo que el formato de la opción < en el servidor Apache HTTP, versión 2.0. Para obtener información detallada, consulte SSLCipherSuite Directive (Directiva de SSLCipherSuite) en la documentación de Apache. Toda la información de este sitio es proporcionada por el propietario o los usuarios del sitio web. Microsoft no otorga garantías expresas, implícitas ni legales con respecto a la información de este sitio web
Después de establecer la opción de configuración sslCipherSuite , debe reiniciar el agente de UNIX y Linux para que el cambio surta efecto. Para reiniciar el agente de UNIX y Linux, ejecute el siguiente comando, que se encuentra en el directorio /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Activación o desactivación de las versiones del protocolo TLS
Para System Center - Operations Manager, omiserver.conf se encuentra en /etc/opt/omi/conf/omiserver.conf.
Es necesario establecer las marcas siguientes para habilitar o deshabilitar las versiones del protocolo TLS. Para obtener más información, consulte Configuración del servidor OMI.
| Propiedad | Propósito |
|---|---|
| NoTLSv1_0 | Cuando es correcto ("true"), el protocolo TLSv1.0 está deshabilitado. |
| NoTLSv1_1 | Cuando es correcto ("true") y está disponible en la plataforma, el protocolo TLSv1.1 está deshabilitado. |
| NoTLSv1_2 | Cuando es correcto ("true") y está disponible en la plataforma, el protocolo TLSv1.2 está deshabilitado. |
Habilitar o deshabilitar el protocolo SSLv3
Operations Manager se comunica con los agentes de UNIX y Linux a través de HTTPS, mediante el cifrado SSL o TLS. El proceso de establecimiento de comunicación SSL negocia el cifrado más potente que esté disponible mutuamente en el agente y en el servidor de administración. Es posible que quiera prohibir SSLv3 para que un agente que no pueda negociar el cifrado TLS no vuelva a SSLv3.
Para System Center - Operations Manager, omiserver.conf se encuentra en /etc/opt/omi/conf/omiserver.conf.
Para deshabilitar SSLv3
Modifique omiserver.conf, establezca la línea NoSSLv3 en:
Para habilitar SSLv3
Modifique omiserver.conf, establezca la línea NoSSLv3 en:
Nota
La actualización siguiente es aplicable a Operations Manager 2019 UR3 y versiones posteriores.
Matriz de compatibilidad del conjunto de cifrado
| Distribuciones | Kernel | Versión de OpenSSL | Conjunto de cifrado más alto admitido/Conjunto de cifrado preferido | Índice de cifrado |
|---|---|---|---|---|
| Servidor Red Hat Enterprise Linux 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 ene 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OPENSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Servidor Oracle Linux versión 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 feb 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Servidor Oracle Linux 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 ene 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Servidor Oracle Linux 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OPENSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OPENSSL 1.1.1c FIPS (28 de mayo de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 ago 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Cifrados, algoritmos MAC y algoritmos de intercambio de claves
En System Center Operations Manager 2016 y versiones posteriores, el módulo SSH de System Center Operations Manager presenta los siguientes cifrados, algoritmos MAC y algoritmos de intercambio de claves.
Cifrados ofrecidos por el módulo SSH de SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmos MAC ofrecidos por el módulo SSH de SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmos de Intercambio de claves ofrecidos por el módulo SSH de SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Deshabilitación de las renegociaciones de SSL en el agente de Linux
Para el agente de Linux, se deshabilitan las renegociaciones de SSL.
Las renegociaciones SSL pueden provocar vulnerabilidades en SCOM-Linux agente, lo que podría facilitar a los atacantes remotos la causa de una denegación de servicio mediante la realización de muchas renegociaciones dentro de una sola conexión.
El agente de Linux usa código abierto OpenSSL para fines de SSL.
Solo se admiten las siguientes versiones para la renegociación:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
En el caso de las versiones 1.10 de OpenSSL a 1.1.0g, no se puede deshabilitar la renegociación porque OpenSSL no admite la renegociación.
Pasos siguientes
Para comprender cómo autenticar y supervisar los equipos UNIX y Linux, consulte Credenciales que debe tener para acceder a equipos UNIX y Linux.
Para configurar Operations Manager para autenticarse con los equipos UNIX y Linux, consulte How to Set Credentials for Accessing UNIX and Linux Computers (Cómo establecer credenciales para acceder a equipos UNIX y Linux).
Para comprender cómo elevar una cuenta sin privilegios para una supervisión eficaz de equipos UNIX y Linux, consulte Configuración de la elevación de sudo y las claves SSH.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de