Az SSL-titkosítások konfigurálása
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
System Center – Az Operations Manager megfelelően kezeli a UNIX és Linux rendszerű számítógépeket az alapértelmezett Secure Sockets Layer (SSL) titkosítási konfiguráció módosítása nélkül. A legtöbb szervezet számára elfogadható az alapértelmezett konfiguráció, de azt javasoljuk, hogy a szervezet biztonsági házirendjében tekintse meg, hogy van-e szükség változtatásokra.
Az SSL-rejtjelkonfiguráció használata
Az Operations Manager UNIX- és Linux-ügynöke úgy kommunikál az Operations Manager felügyeleti kiszolgálóval, hogy fogadja az 1270-es porton lévő kéréseket, és a kérésekre adott válaszként adja meg az információkat. A kérések a WS-felügyeleti protokoll használatával jönnek létre, amely SSL-kapcsolaton fut.
Amikor az egyes kérésekhez első alkalommal létesül SSL-kapcsolat, a szabványos SSL protokoll egyezteti a használandó kapcsolat titkosítási algoritmusát, más nével rejtjelét. Az Operations Manager rendszerhez a felügyeleti kiszolgáló az egyeztetés során mindig erős rejtjelet igényel, hogy a felügyeleti kiszolgáló és a UNIX vagy Linux rendszerű számítógép közötti kapcsolat erős titkosítást használjon.
A UNIX vagy Linux rendszerű számítógépen az alapértelmezett SSL-rejtjelkonfigurációt az az SSL-csomag határozza meg, amelyet az operációs rendszer részeként telepített. Az SSL titkosítási konfigurációja általában lehetővé teszi a különböző titkosításokkal rendelkező kapcsolatokat, beleértve az alacsonyabb erősségű régebbi titkosításokat is. Bár az Operations Manager nem használja ezeket az alacsonyabb szilárdságú titkosításokat, ha az 1270-es port nyitva van, és alacsonyabb erősségű titkosítást használ, ellentmond egyes szervezetek biztonsági szabályzatának.
Ha az alapértelmezett SSL-rejtjelkonfiguráció megfelel a szervezet biztonsági házirendjének, akkor semmit nem kell tennie.
Ha az alapértelmezett SSL-rejtjelkonfiguráció nem felel meg a szervezet biztonsági házirendjének, akkor az Operations Manager UNIX- és Linux-ügynöke olyan konfigurációs beállítást biztosít, amellyel megadhatók azok a rejtjelek, amelyeket az SSL elfogadhat az 1270-es porton keresztül. Ez a beállítás a rejtjelek vezérlésére, illetve az SSL-konfigurációnak a házirendekkel történő egyeztetéséhez használható. Miután az Operations Manager UNIX- és Linux-ügynököt telepítette minden felügyelt számítógépre, a konfigurációs beállítást a következő szakaszban ismertetett eljárásokkal kell beállítani. Az Operations Manager nem biztosít automatikus vagy beépített módot a konfigurációk alkalmazásához; minden szervezetnek végre kell hajtania a konfigurációt egy külső mechanizmussal, amely a legjobban működik.
Az sslCipherSuite konfigurációs beállításának beállítása
Az 1270-es port SSL-rejtjeleit az OMI konfigurációs fájl omiserver.confsslciphersuite beállításával adhatja meg. Az omiserver.conf fájl a következő helyen található: /etc/opt/omi/conf/.
A fájlban az sslciphersuite beállítás formátuma a következő:
sslciphersuite=<cipher spec>
Ahol <a titkosítási specifikáció> megadja az engedélyezett, letiltott és az engedélyezett titkosítások kiválasztásának sorrendjét.
A titkosítási <specifikáció> formátuma megegyezik az Apache HTTP Server 2.0-s verziójában található sslCipherSuite beállítás formátumával. További tudnivalók: SSLCipherSuite Directive, Apache-dokumentáció. A webhelyen található összes információt a webhely tulajdonosa vagy felhasználói adják meg. A Microsoft nem vállal semmilyen kifejezett vagy vélelmezett felelősséget a webhelyen található információkért.
Az sslCipherSuite konfigurációs beállítás megadása után indítsa újra a UNIX- és a Linux-ügynököt, hogy a módosítás életbe lépjen. A UNIX- és a Linux-ügynök újraindításához futtassa a /etc/opt/microsoft/scx/bin/tools könyvtárban található következő parancsot.
. setup.sh
scxadmin -restart
A TLS protokollverziók engedélyezése vagy letiltása
A System Center – Operations Manager esetében az omiserver.conf a következő helyen található: /etc/opt/omi/conf/omiserver.conf
A TLS protokollverziók engedélyezéséhez/letiltásához az alábbi jelzőket kell beállítani. További információ: OMI-kiszolgáló konfigurálása.
| Tulajdonság | Cél |
|---|---|
| NoTLSv1_0 | Ha igaz, a TLSv1.0 protokoll le van tiltva. |
| NoTLSv1_1 | Ha igaz, és a platformon elérhető, a TLSv1.1 protokoll le van tiltva. |
| NoTLSv1_2 | Ha igaz, és a platformon elérhető, a TLSv1.2 protokoll le van tiltva. |
Az SSLv3 protokoll engedélyezése vagy letiltása
Az Operations Manager HTTPS protokollal, TLS- vagy SSL-titkosítással kommunikál a UNIX- vagy Linux-ügynökkel. Az SSL-kézfogási folyamat azt a legerősebb titkosítási módszert használja, amely az ügynökön és a felügyeleti kiszolgálón is elérhető. Előfordulhat, hogy meg szeretné tiltani az SSLv3-at, hogy egy ügynök, aki nem tud megegyezni a TLS-titkosításról, ne térjen vissza az SSLv3-ra.
A System Center – Operations Manager esetében az omiserver.conf a következő helyen található: /etc/opt/omi/conf/omiserver.conf
Az SSLv3 letiltása
Módosítsa az omiserver.conf fájlt, és állítsa a NoSSLv3 sort a következőre: NoSSLv3=true
Az SSLv3 engedélyezése
Módosítsa az omiserver.conf fájlt, és állítsa a NoSSLv3 sort a következőre: NoSSLv3=false
Megjegyzés
Az alábbi frissítés az Operations Manager 2019 UR3 és újabb verziójára vonatkozik.
Titkosítócsomag támogatási mátrixa
| Disztribúció | Kernel | OpenSSL-verzió | Legmagasabb támogatott titkosítási csomag/előnyben részesített titkosítási csomag | Titkosítási index |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (2017. január 26.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (2020. április 21.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server, 6.10-es kiadás | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (2013. február 11.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (2017. január 26.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (2020. április 21.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (2019. május 28.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (2016. márc. 1.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (2018. szeptember 11.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (2020. március 31.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (2018. augusztus 14.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (2019. szeptember 10.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Titkosítások, MAC-algoritmusok és kulcscsere-algoritmusok
A System Center Operations Manager 2016-os és újabb verzióiban az alábbi titkosításokat, MAC-algoritmusokat és kulcscsere-algoritmusokat a System Center Operations Manager SSH-modul mutatja be.
Az SCOM SSH-modul által biztosított titkosítások:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Az SCOM SSH-modul által biztosított MAC-algoritmusok:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Az SCOM SSH-modul által biztosított kulcscsere-algoritmusok:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Letiltott SSL-újratárgyalások Linux-ügynökben
A Linux-ügynök esetében az SSL-újratárgyalások le vannak tiltva.
Az SSL-újratárgyalások biztonsági rést okozhatnak SCOM-Linux ügynökben, ami megkönnyíti a távoli támadók számára a szolgáltatásmegtagadást azáltal, hogy számos újratárgyalást hajtanak végre egyetlen kapcsolaton belül.
A Linux-ügynök opensource OpenSSL-t használ SSL-célokra.
A következő verziók csak újratárgyalás esetén támogatottak:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Az OpenSSL 1.10-1.1.0g-s verziói esetében nem tilthatja le az újratárgyalást, mert az OpenSSL nem támogatja az újratárgyalást.
Következő lépések
A UNIX és Linux rendszerű számítógépek hitelesítésének és monitorozásának megismeréséhez tekintse át a UNIX- és Linux-számítógépek eléréséhez szükséges hitelesítő adatokat ismertető cikket.
Az Operations Manager UNIX és Linux rendszerű számítógépekkel való hitelesítésének konfigurálásához lásd: Hitelesítő adatok beállítása a UNIX és Linux rendszerű számítógépek eléréséhez.
A UNIX- és Linux-számítógépek hatékony monitorozásához szükséges jogosultság nélküli fiókok megemelésének megismeréséhez tekintse meg a sudo jogosultságszint-emelési és SSH-kulcsok konfigurálását ismertető cikket.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: