SSL 暗号の構成
重要
このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。
System Center - Operations Manager は、既定の SSL (Secure Sockets Layer) 暗号構成を変更せずに UNIX および Linux コンピューターを適切に管理します。 通常は既定の構成をそのまま使用できますが、組織のセキュリティ ポリシーを見直して、変更が必要かどうかを確認する必要があります。
SSL 暗号構成の使用
Operations Manager UNIX および Linux エージェントは、ポート 1270 で要求を受信し、この要求に対する応答として情報を提供することで、Operations Manager 管理サーバーと通信します。 要求は、SSL 接続を介して実行される WS-Management プロトコルを使用して生成されます。
最初に各要求に対して SSL 接続が確立されるときに、標準 SSL プロトコルは、接続で使用される「暗号」(暗号化アルゴリズム) をネゴシエートします。 Operations Manager では、管理サーバーと UNIX または Linux コンピューター間のネットワーク接続で強力な暗号化が使用されるように、常に管理サーバーが強度の高い暗号を使用するようにネゴシエートします。
UNIX または Linux コンピューターの既定の SSL 暗号構成は、オペレーティング システムの一部としてインストールされる SSL パッケージにより管理されます。 SSL 暗号構成では、通常、強度の低い古い暗号を含むさまざまな暗号との接続が可能になります。 Operations Manager ではこれらの低強度暗号は使用されませんが、ポート 1270 を開き、強度の低い暗号を使用する可能性は、一部の組織のセキュリティ ポリシーと矛盾しています。
既定の SSL 暗号構成が組織のセキュリティ ポリシーを満たしている場合は、特別な操作は必要ありません。
既定の SSL 暗号構成が組織のセキュリティ ポリシーを満たしていない場合は、Operations Manager の UNIX および Linux エージェントで、ポート 1270 で SSL が受信できる暗号を指定するオプションが提供されます。 このオプションを使用して、暗号を制御し、SSL 構成をポリシーに準拠させることができます。 Operations Manager の UNIX および Linux エージェントを各マネージド コンピューターにインストールした後で、次のセクションで説明する手順を使用して構成オプションを設定する必要があります。 Operations Manager では、これらの構成を適用するための自動または組み込みの方法は提供されません。各organizationは、最適な外部メカニズムを使用して構成を実行する必要があります。
sslCipherSuite 構成オプションの設定
ポート 1270 の SSL 暗号は、OMI 構成ファイル omiserver.conf の sslciphersuiteオプションを設定して管理します。 omiserver.conf ファイルはディレクトリ にあります。
このファイルの sslciphersuite オプションの形式は次のとおりです。
sslciphersuite=<cipher spec>
ここで <、暗号仕様> では、許可、禁止、および許可された暗号が選択される順序を指定します。
<cipher spec> の形式は、Apache HTTP Server バージョン 2.0 の < オプションの形式と同じです。 詳細については、Apache のドキュメントの「 SSLCipherSuite Directive (SSLCipherSuite ディレクティブ) 」を参照してください。 このサイトのすべての情報は、所有者またはウェブサイトのユーザーによって提供されます。 この Web サイトの情報について、Microsoft では明示的、黙示的、または法的保証を一切いたしません。
sslCipherSuite 構成オプションの設定後、変更を有効にするには UNIX および Linux エージェントを再起動する必要があります。 UNIX および Linux エージェントを再起動するには、 /etc/opt/microsoft/scx/bin/tools ディレクトリにある次のコマンドを実行します。
. setup.sh
scxadmin -restart
TLS プロトコル バージョンの有効化または無効化
System Center – Operations Manager の場合、omiserver.conf は次の場所にあります: /etc/opt/omi/conf/omiserver.conf
TLS プロトコルのバージョンを有効または無効にするには、次のフラグを設定する必要があります。 詳細については、「Configuring OMI Server」 (OMI サーバーの構成) を参照してください。
プロパティ | 目的 |
---|---|
NoTLSv1_0 | True の場合、TLSv 1.0 プロトコルは無効になります。 |
NoTLSv1_1 | True でプラットフォームで使用できる場合、TLSv 1.1 プロトコルは無効になります。 |
NoTLSv1_2 | True でプラットフォームで使用できる場合、TLSv 1.2 プロトコルは無効になります。 |
SSLv3 プロトコルの有効化または無効化
Operations Manager は、TLS または SSL のいずれかの暗号化を使用して HTTPS 経由で UNIX および Linux エージェントと通信します。 SSL ハンドシェイク プロセスは、エージェントおよび管理サーバーで相互に利用できる最も強力な暗号化をネゴシエートします。 TLS 暗号化をネゴシエートできないエージェントが SSLv3 にフォールバックしないように、SSLv3 を禁止することができます。
System Center – Operations Manager の場合、omiserver.conf は次の場所にあります: /etc/opt/omi/conf/omiserver.conf
SSLv3 を無効にするには
omiserver.conf を変更し、NoSSLv3 行を に設定します。
SSLv3 を有効にするには
omiserver.conf を変更し、NoSSLv3 行を に設定します。
Note
次の更新プログラムは Operations Manager 2019 UR3 以降に適用されます。
暗号スイートのサポート マトリックス
ディストリビューション | カーネル | OpenSSL のバージョン | サポートされている最上位の暗号スイート/優先される暗号スイート | 暗号インデックス |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0、 0x30 } |
Oracle Linux Server release 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (2013 年 2 月 11 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0、 0x30 } |
CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (2019 年 5 月 28 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0、 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (2016 年 3 月 1 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (2018 年 9 月 11 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0、 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (2020 年 3 月 31 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0、 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (2018 年 8 月 14 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (2019 年 9 月 10 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0、 0x30 } |
暗号、MAC アルゴリズム、キー交換アルゴリズム
System Center Operations Manager 2016 以降では、System Center Operations Manager SSH モジュールによって、以下の暗号、MAC アルゴリズム、キー交換アルゴリズムが提供されます。
SCOM SSH モジュールで提供される暗号:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH モジュールで提供される MAC アルゴリズム:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH モジュールで提供されるキー交換アルゴリズム:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group14-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux エージェントの SSL 再ネゴシエーションの無効化
Linux エージェントの場合は、SSL 再ネゴシエーションは無効になっています。
SSL 再ネゴシエーションは、SCOM-Linux エージェントの脆弱性を引き起こす可能性があります。これにより、リモートの攻撃者が 1 つの接続内で多数の再ネゴシエーションを実行することで、サービス拒否を引き起こしやすくなります。
Linux エージェントは、SSL のためにオープンソース OpenSSL を使用します。
次のバージョンは、再ネゴシエーションでのみサポートされています。
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
OpenSSL バージョン 1.10 - 1.1.0g の場合、OpenSSL では再ネゴシエーションがサポートされていないため、再ネゴシエーションを無効にすることはできません。
次の手順
UNIX および Linux コンピューターを認証および監視する方法を理解するには、「 UNIX および Linux コンピューターにアクセスするために必要な資格情報」を参照してください。
UNIX および Linux コンピューターで認証するように Operations Manager を構成するには、「UNIX および Linux コンピューターにアクセスするための資格情報を設定する方法」を参照してください。
UNIX および Linux コンピューターを効果的に監視するために特権のないアカウントを昇格する方法を理解するには、「 sudo の昇格と SSH キーを構成する方法」を参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示