Configurazione della crittografia SSL
Importante
Questa versione di Operations Manager ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a Operations Manager 2022.
System Center Operations Manager gestisce correttamente i computer UNIX e Linux senza modificare la configurazione di crittografia predefinita di Secure Sockets Layer (SSL). Per la maggior parte delle organizzazioni, la configurazione predefinita è accettabile. Tuttavia è necessario verificare i criteri di sicurezza dell'organizzazione per stabilire se sono necessarie modifiche.
Uso della configurazione di crittografia SSL
L'agente UNIX e Linux di Operations Manager comunica con il server di gestione di Operations Manager accettando le richieste sulla porta 1270 e fornendo informazioni in risposta a tali richieste. Le richieste vengono eseguite utilizzando il protocollo WS-Management in esecuzione in una connessione SSL.
Quando viene stabilita per la prima volta una connessione SSL per ogni richiesta, il protocollo SSL standard negozia l'algoritmo di crittografia, noto come una crittografia per la connessione da utilizzare. Per Operations Manager, il server di gestione negozia sempre di usare una crittografia a sicurezza elevata in modo che venga usata una crittografia avanzata nella connessione di rete tra il server di gestione e il computer UNIX o Linux.
La configurazione predefinita di crittografia SSL nel computer UNIX o Linux è controllata dal pacchetto SSL installato come parte del sistema operativo. La configurazione della crittografia SSL consente in genere le connessioni con varie crittografie, incluse le crittografia meno recenti di resistenza inferiore. Anche se Operations Manager non usa queste crittografia di forza inferiore, con la porta 1270 aperta con la possibilità di usare una crittografia di forza inferiore è in contrasto con i criteri di sicurezza di alcune organizzazioni.
Se la configurazione di crittografia SSL predefinita soddisfa i criteri di sicurezza dell'organizzazione, non è necessaria alcuna azione.
Se la configurazione di crittografia SSL predefinita contraddice i criteri di sicurezza dell'organizzazione, l'agente UNIX e Linux di Operations Manager fornisce un'opzione di configurazione per specificare le crittografie che SSL può accettare nella porta 1270. È possibile utilizzare questa opzione per controllare le crittografie e rendere la configurazione SSL conforme ai criteri. Dopo l'installazione dell'agente UNIX e Linux di Operations Manager in ogni computer gestito, l'opzione di configurazione deve essere impostata usando le procedure descritte nella sezione successiva. Operations Manager non fornisce alcun modo automatico o predefinito per applicare queste configurazioni; ogni organizzazione deve eseguire la configurazione usando un meccanismo esterno che funziona meglio per esso.
Impostazione dell'opzione di configurazione sslCipherSuite
Le crittografie SSL per la porta 1270 sono controllate tramite l'impostazione dell'opzione sslciphersuite nel file di configurazione OMI omiserver.conf. Il file omiserver.conf si trova nella directory /etc/opt/omi/conf/.
Il formato per l'opzione sslciphersuite in questo file è:
sslciphersuite=<cipher spec>
Dove <la specifica> di crittografia specifica le crittografia consentite, non consentite e l'ordine in cui vengono scelte le crittografia consentite.
Il formato per <cipher spec> è uguale al formato per l'opzione sslCipherSuite in Apache HTTP Server versione 2.0. Per ulteriori informazioni, vedere SSLCipherSuite Directive (Direttiva SSLCipherSuite) nella documentazione di Apache. Tutte le informazioni in questo sito vengono fornite dal proprietario o dagli utenti del sito Web. Microsoft non offre alcuna garanzia, espressa, implicita o legale, per le informazioni fornite in questo sito Web.
Dopo aver impostato l'opzione di configurazione sslCipherSuite , riavviare l'agente UNIX e Linux per rendere effettive le modifiche. Per riavviare l'agente UNIX e Linux, eseguire il seguente comando, che si trova nella directory /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Abilitazione o disabilitazione delle versioni del protocollo TLS
Per System Center - Operations Manager, omiserver.conf si trova in: /etc/opt/omi/conf/omiserver.conf
I flag seguenti devono essere impostati per abilitare/disabilitare le versioni del protocollo TLS. Per altre informazioni, vedere Configurazione di OMI Server.
| Proprietà | Scopo |
|---|---|
| NoTLSv1_0 | Se true, il protocollo TLSv1.0 è disabilitato. |
| NoTLSv1_1 | Se true e se disponibile nella piattaforma, il protocollo TLSv1.1 è disabilitato. |
| NoTLSv1_2 | Se true e se disponibile nella piattaforma, il protocollo TLSv1.2 è disabilitato. |
Abilitazione o disabilitazione del protocollo SSLv3
Operations Manager comunica con gli agenti UNIX e Linux tramite HTTPS, usando la crittografia TLS o SSL. Il processo di handshake SSL negozia la crittografia più stabile disponibile nel server di gestione e nell'agente. È possibile impedire SSLv3 in modo che un agente che non possa negoziare la crittografia TLS non fallback in SSLv3.
Per System Center - Operations Manager, omiserver.conf si trova in: /etc/opt/omi/conf/omiserver.conf
Per disabilitare SSLv3
Modificare omiserver.conf, impostare la riga NoSSLv3 su: NoSSLv3=true
Per abilitare SSLv3
Modificare omiserver.conf, impostare la riga NoSSLv3 su: NoSSLv3=false
Nota
L'aggiornamento seguente è applicabile per Operations Manager 2019 UR3 e versioni successive.
Matrice di supporto del pacchetto di crittografia
| Distribuzione | Kernel | Versione di OpenSSL | Suite di crittografia più supportata/Suite di crittografia preferita | Indice di crittografia |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 gennaio 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 aprile 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server versione 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 febbraio 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 gennaio 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 aprile 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 maggio 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 marzo 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 settembre 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 agosto 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 settembre 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Algoritmi di crittografia, algoritmi MAC e algoritmi di scambio delle chiavi
In System Center Operations Manager 2016 e versioni successive vengono presentati i seguenti algoritmi di crittografia, algoritmi MAC e algoritmi di scambio delle chiavi dal modulo SSH di System Center Operations Manager.
Crittografia offerta dal modulo SSH SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmi MAC offerti dal modulo SSH SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmi di scambio di chiavi offerti dal modulo SSH SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Rinegoziazioni SSL disabilitate nell'agente Linux
Per l'agente Linux, le rinegoziazioni SSL sono disabilitate.
Le rinegoziazioni SSL potrebbero causare vulnerabilità nell'agente SCOM-Linux, che potrebbe rendere più facile per gli utenti malintenzionati remoti causare un denial of service eseguendo molte rinegoziazioni all'interno di una singola connessione.
L'agente Linux usa opensource OpenSSL a scopo SSL.
Le versioni seguenti sono supportate solo per la rinegoziazione:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Per OpenSSL versioni 1.10 - 1.1.0g, non è possibile disabilitare la rinegoziazione perché OpenSSL non supporta la rinegoziazione.
Passaggi successivi
Per informazioni su come autenticare e monitorare i computer UNIX e Linux, vedere Credenziali necessarie per accedere ai computer UNIX e Linux.
Per configurare Operations Manager per l'autenticazione con i computer UNIX e Linux, vedere Come impostare le credenziali per l'accesso ai computer UNIX e Linux.
Per informazioni su come elevare un account non privato per il monitoraggio efficace dei computer UNIX e Linux, vedere Come configurare l'elevazione sudo e le chiavi SSH.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per