SSL 暗号の構成

System Center - Operations Manager は、既定の SSL (Secure Sockets Layer) 暗号構成を変更せずに UNIX および Linux コンピューターを適切に管理します。 通常は既定の構成をそのまま使用できますが、組織のセキュリティ ポリシーを見直して、変更が必要かどうかを確認する必要があります。

SSL 暗号構成の使用

Operations Manager UNIX および Linux エージェントは、ポート 1270 で要求を受信し、この要求に対する応答として情報を提供することで、Operations Manager 管理サーバーと通信します。 要求は、SSL 接続を介して実行される WS-Management プロトコルを使用して生成されます。

最初に各要求に対して SSL 接続が確立されるときに、標準 SSL プロトコルは、接続で使用される「暗号」(暗号化アルゴリズム) をネゴシエートします。 Operations Manager では、管理サーバーと UNIX または Linux コンピューター間のネットワーク接続で強力な暗号化が使用されるように、常に管理サーバーが強度の高い暗号を使用するようにネゴシエートします。

UNIX または Linux コンピューターの既定の SSL 暗号構成は、オペレーティング システムの一部としてインストールされる SSL パッケージにより管理されます。 SSL 暗号構成では、通常、強度の低い古い暗号を含むさまざまな暗号との接続が可能になります。 Operations Manager ではこれらの低強度暗号は使用されませんが、ポート 1270 を開き、強度の低い暗号を使用する可能性は、一部の組織のセキュリティ ポリシーと矛盾しています。

既定の SSL 暗号構成が組織のセキュリティ ポリシーを満たしている場合は、特別な操作は必要ありません。

既定の SSL 暗号構成が組織のセキュリティ ポリシーを満たしていない場合は、Operations Manager の UNIX および Linux エージェントで、ポート 1270 で SSL が受信できる暗号を指定するオプションが提供されます。 このオプションを使用して、暗号を制御し、SSL 構成をポリシーに準拠させることができます。 Operations Manager の UNIX および Linux エージェントを各マネージド コンピューターにインストールした後で、次のセクションで説明する手順を使用して構成オプションを設定する必要があります。 Operations Manager では、これらの構成を適用するための自動または組み込みの方法は提供されません。各organizationは、最適な外部メカニズムを使用して構成を実行する必要があります。

sslCipherSuite 構成オプションの設定

ポート 1270 の SSL 暗号は、OMI 構成ファイル omiserver.conf の sslciphersuiteオプションを設定して管理します。 omiserver.conf ファイルはディレクトリ にあります。

このファイルの sslciphersuite オプションの形式は次のとおりです。

sslciphersuite=<cipher spec>  

ここで <、暗号仕様> では、許可、禁止、および許可された暗号が選択される順序を指定します。

<cipher spec> の形式は、Apache HTTP Server バージョン 2.0 の < オプションの形式と同じです。 詳細については、Apache のドキュメントの「 SSLCipherSuite Directive (SSLCipherSuite ディレクティブ) 」を参照してください。 このサイトのすべての情報は、所有者またはウェブサイトのユーザーによって提供されます。 この Web サイトの情報について、Microsoft では明示的、黙示的、または法的保証を一切いたしません。

sslCipherSuite 構成オプションの設定後、変更を有効にするには UNIX および Linux エージェントを再起動する必要があります。 UNIX および Linux エージェントを再起動するには、 /etc/opt/microsoft/scx/bin/tools ディレクトリにある次のコマンドを実行します。

. setup.sh  
scxadmin -restart  

TLS プロトコル バージョンの有効化または無効化

System Center – Operations Manager の場合、omiserver.conf は次の場所にあります: /etc/opt/omi/conf/omiserver.conf

TLS プロトコルのバージョンを有効または無効にするには、次のフラグを設定する必要があります。 詳細については、「Configuring OMI Server」 (OMI サーバーの構成) を参照してください。

プロパティ	目的
NoTLSv1_0	True の場合、TLSv 1.0 プロトコルは無効になります。
NoTLSv1_1	True でプラットフォームで使用できる場合、TLSv 1.1 プロトコルは無効になります。
NoTLSv1_2	True でプラットフォームで使用できる場合、TLSv 1.2 プロトコルは無効になります。

SSLv3 プロトコルの有効化または無効化

Operations Manager は、TLS または SSL のいずれかの暗号化を使用して HTTPS 経由で UNIX および Linux エージェントと通信します。 SSL ハンドシェイク プロセスは、エージェントおよび管理サーバーで相互に利用できる最も強力な暗号化をネゴシエートします。 TLS 暗号化をネゴシエートできないエージェントが SSLv3 にフォールバックしないように、SSLv3 を禁止することができます。

System Center – Operations Manager の場合、omiserver.conf は次の場所にあります: /etc/opt/omi/conf/omiserver.conf

SSLv3 を無効にするには

omiserver.conf を変更し、NoSSLv3 行を に設定します。

SSLv3 を有効にするには

omiserver.conf を変更し、NoSSLv3 行を に設定します。

暗号スイートのサポート マトリックス

ディストリビューション	カーネル	OpenSSL のバージョン	サポートされている最上位の暗号スイート/優先される暗号スイート	暗号インデックス
Red Hat Enterprise Linux Server 7.5 (Maipo)	Linux 3.10.0-862.el7.x86_64	OpenSSL 1.0.2k-fips (2017 年 1 月 26 日)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa)	Linux 4.18.0-240.el8.x86_64	OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0、 0x30 }
Oracle Linux Server release 6.10	Linux4.1.12-124.16.4.el6uek.x86_64	OpenSSL 1.0.1e-fips (2013 年 2 月 11 日)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Oracle Linux Server 7.9	Linux 5.4.17-2011.6.2.el7uek.x86_64	OpenSSL 1.0.2k-fips (2017 年 1 月 26 日)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Oracle Linux Server 8.3	Linux 5.4.17-2011.7.4.el8uek.x86_64	OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0、 0x30 }
CentOS Linux 8 (Core)	Linux 4.18.0-193.el8.x86_64	OpenSSL 1.1.1c FIPS (2019 年 5 月 28 日)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0、 0x30 }
Ubuntu 16.04.5 LTS	Linux 4.4.0-131-generic	OpenSSL 1.0.2g (2016 年 3 月 1 日)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Ubuntu 18.10	Linux 4.18.0-25-generic	OpenSSL 1.1.1 (2018 年 9 月 11 日)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0、 0x30 }
Ubuntu 20.04 LTS	Linux 5.4.0-52-generic	OpenSSL 1.1.1f (2020 年 3 月 31 日)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0、 0x30 }
SUSE Linux Enterprise Server 12 SP5	Linux 4.12.14-120-default	OpenSSL 1.0.2p-fips (2018 年 8 月 14 日)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Debian GNU/Linux 10 (buster)	Linux 4.19.0-13-amd64	OpenSSL 1.1.1d (2019 年 9 月 10 日)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0、 0x30 }

暗号、MAC アルゴリズム、キー交換アルゴリズム

System Center Operations Manager 2016 以降では、System Center Operations Manager SSH モジュールによって、以下の暗号、MAC アルゴリズム、キー交換アルゴリズムが提供されます。

SCOM SSH モジュールで提供される暗号:

• aes256-ctr
• aes256-cbc
• aes192-ctr
• aes192-cbc
• aes128-ctr
• aes128-cbc
• 3des-ctr
• 3des-cbc

SCOM SSH モジュールで提供される MAC アルゴリズム:

• hmac-sha10
• hmac-sha1-96
• hmac-sha2-256

SCOM SSH モジュールで提供されるキー交換アルゴリズム:

• diffie-hellman-group-exchange-sha256
• diffie-hellman-group-exchange-sha1
• diffie-hellman-group14-sha1
• diffie-hellman-group14-sha256
• diffie-hellman-group14-sha1
• ecdh-sha2-nistp256
• ecdh-sha2-nistp384
• ecdh-sha2-nistp521

Linux エージェントの SSL 再ネゴシエーションの無効化

Linux エージェントの場合は、SSL 再ネゴシエーションは無効になっています。

SSL 再ネゴシエーションは、SCOM-Linux エージェントの脆弱性を引き起こす可能性があります。これにより、リモートの攻撃者が 1 つの接続内で多数の再ネゴシエーションを実行することで、サービス拒否を引き起こしやすくなります。

Linux エージェントは、SSL のためにオープンソース OpenSSL を使用します。

次のバージョンは、再ネゴシエーションでのみサポートされています。

• OpenSSL <= 1.0.2
• OpenSSL >= 1.1.0h

OpenSSL バージョン 1.10 - 1.1.0g の場合、OpenSSL では再ネゴシエーションがサポートされていないため、再ネゴシエーションを無効にすることはできません。

次の手順

• UNIX および Linux コンピューターを認証および監視する方法を理解するには、「 UNIX および Linux コンピューターにアクセスするために必要な資格情報」を参照してください。

• UNIX および Linux コンピューターで認証するように Operations Manager を構成するには、「UNIX および Linux コンピューターにアクセスするための資格情報を設定する方法」を参照してください。

• UNIX および Linux コンピューターを効果的に監視するために特権のないアカウントを昇格する方法を理解するには、「 sudo の昇格と SSH キーを構成する方法」を参照してください。