SSL-codering configureren
Belangrijk
Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.
System Center - Operations Manager beheert UNIX- en Linux-computers correct zonder wijzigingen in de standaardconfiguratie voor SSL-codering (Secure Sockets Layer). De meeste organisaties kunnen de standaardconfiguratie gebruiken, maar u kunt het beste het beveiligingsbeleid van uw organisatie raadplegen om te bepalen of er wijzigingen nodig zijn.
De SSL-coderingsconfiguratie gebruiken
De UNIX- en Linux-agent van Operations Manager communiceren met de Operations Manager-beheerserver door aanvragen op poort 1270 te accepteren en informatie op te geven als reactie op deze aanvragen. Het protocol WS-Management wordt gebruikt voor aanvragen bij een SSL-verbinding.
Als de SSL-verbinding voor het eerst tot stand wordt gebracht, onderhandelt het SSL-standaardprotocol over het versleutelingsalgoritme (ook wel codering genoemd) dat de verbinding moet gebruiken. Voor Operations Manager onderhandelt de beheerserver altijd over het gebruik van een sterke coderingsmethode, zodat er sterke versleuteling wordt gebruikt voor de netwerkverbinding tussen de beheerserver en de UNIX- of Linux-computer.
De standaardconfiguratie voor SSL-codering op UNIX- en Linux-computers wordt bepaald door het SSL-pakket dat als onderdeel van het besturingssysteem is geïnstalleerd. De configuratie van SSL-codering staat doorgaans verbindingen toe met verschillende coderingen, waaronder oudere coderingen met een lagere sterkte. Hoewel Operations Manager deze coderingen met een lagere sterkte niet gebruikt, is het openen van poort 1270 met de mogelijkheid om een codering met een lagere sterkte te gebruiken, in strijd met het beveiligingsbeleid van sommige organisaties.
Als de standaardconfiguratie voor SSL-codering voldoet aan het beveiligingsbeleid van uw organisatie, hoeft u geen actie te ondernemen.
Als de standaardconfiguratie voor SSL-codering in strijd is met het beveiligingsbeleid van uw organisatie, biedt de UNIX- en Linux-agent van Operations Manager een configuratieoptie waarbij u kunt aangeven welke coderingen SSL kan accepteren op poort 1270. Met deze optie kunt u de coderingen beheren, zodat de SSL-configuratie overeenstemt met uw beleid. Nadat de UNIX- en Linux-agent van Operations Manager op elke beheerde computer zijn geïnstalleerd, moet de configuratieoptie worden ingesteld met behulp van de procedures die in de volgende sectie worden beschreven. Operations Manager biedt geen automatische of ingebouwde manier om deze configuraties toe te passen; elke organisatie moet de configuratie uitvoeren met behulp van een extern mechanisme dat het beste voor de organisatie werkt.
De configuratieoptie sslCipherSuite instellen
De SSL-coderingen voor poort 1270 worden bepaald door de optie sslciphersuite in het OMI-configuratiebestand omiserver.conf. Het bestand omiserver.conf bevindt zich in de map /etc/opt/omi/conf/.
De notatie voor de optie sslciphersuite in dit bestand is als volgt:
sslciphersuite=<cipher spec>
Waarbij <coderingsspecificatie> de toegestane en niet-toegestane coderingen aangeeft en de volgorde waarin de toegestane coderingen worden gekozen.
De indeling voor <coderingsspecificaties> is hetzelfde als de indeling voor de optie sslCipherSuite in Apache HTTP Server versie 2.0. Zie SSLCipherSuite Directive (SSLCipherSuite-instructie) in de Apache-documentatie voor meer informatie. Alle informatie op deze site wordt verstrekt door de eigenaar of de gebruikers van de website. Microsoft biedt geen enkele expliciete, impliciete of wettelijke garantie voor de informatie op deze website.
Nadat u de configuratieoptie sslCipherSuite hebt ingesteld, moet u de UNIX- en Linux-agent opnieuw starten om de wijziging door te voeren. Als u de UNIX- en Linux-agent opnieuw wilt starten, voert u de volgende opdracht uit, die u in de map /etc/opt/microsoft/scx/bin/tools vindt.
. setup.sh
scxadmin -restart
Tls-protocolversies in- of uitschakelen
Voor System Center – Operations Manager bevindt omiserver.conf zich op: /etc/opt/omi/conf/omiserver.conf
De volgende vlaggen moeten worden ingesteld om de TLS-protocolversies in of uit te schakelen. Zie OMI-server configureren voor meer informatie.
| Eigenschap | Doel |
|---|---|
| NoTLSv1_0 | Indien waar, is het TLSv1.0-protocol uitgeschakeld. |
| NoTLSv1_1 | Indien waar en indien beschikbaar op het platform, is het TLSv1.1-protocol uitgeschakeld. |
| NoTLSv1_2 | Indien waar en indien beschikbaar op het platform, is het TLSv1.2-protocol uitgeschakeld. |
Het protocol SSLv3 in- of uitschakelen
Operations Manager communiceert met UNIX en Linux-agents via HTTPS, met behulp van TLS- of SSL-versleuteling. Het SSL-handshakeproces onderhandelt over de sterkste versleuteling die zowel op de agent als de beheerserver beschikbaar is. U kunt SSLv3 verbieden, zodat een agent die niet kan onderhandelen over TLS-versleuteling niet terugvalt op SSLv3.
Voor System Center – Operations Manager bevindt omiserver.conf zich op: /etc/opt/omi/conf/omiserver.conf
SSLv3 uitschakelen
Wijzig omiserver.conf en stel de regel NoSSLv3 in op: NoSSLv3=true
SSLv3 inschakelen
Wijzig omiserver.conf en stel de regel NoSSLv3 in op: NoSSLv3=false
Notitie
De volgende update is van toepassing op Operations Manager 2019 UR3 en hoger.
Ondersteuningsmatrix voor coderingssuites
| Distro | Kernel | OpenSSL-versie | Hoogste ondersteunde coderingssuite/voorkeurssuite met coderingsmethoden | Coderingsindex |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 januari 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 april 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server release 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 februari 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 januari 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 april 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 mei 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 maart 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 september 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 maart 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 augustus 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 september 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Coderingen, MAC-algoritmen en algoritmen voor sleuteluitwisseling
In System Center Operations Manager 2016 en hoger worden de onderstaande coderingen, MAC-algoritmen en algoritmen voor sleuteluitwisseling weergegeven in de System Center Operations Manager SSH-module.
Coderingen die worden aangeboden door de SCOM SSH-module:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
MAC-algoritmen die worden aangeboden door de SCOM SSH-module:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmen voor sleuteluitwisseling die worden aangeboden door de SCOM SSH-module:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Uitgeschakelde SSL-heronderhandelingen in Linux-agent
Voor de Linux-agent zijn SSL-heronderhandelingen uitgeschakeld.
SSL-heronderhandelingen kunnen een beveiligingsprobleem in SCOM-Linux agent veroorzaken, waardoor externe aanvallers mogelijk gemakkelijker een Denial of Service kunnen veroorzaken door veel heronderhandelingen binnen één verbinding uit te voeren.
De Linux-agent maakt gebruik van opensource OpenSSL voor SSL-doeleinden.
De volgende versies worden alleen ondersteund voor heronderhandeling:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Voor OpenSSL-versies 1.10 - 1.1.0g kunt u heronderhandeling niet uitschakelen omdat OpenSSL geen ondersteuning biedt voor heronderhandeling.
Volgende stappen
Als u wilt weten hoe u uw UNIX- en Linux-computers kunt verifiëren en bewaken, raadpleegt u Referenties die u moet hebben voor toegang tot UNIX- en Linux-computers.
Zie Referenties instellen voor toegang tot UNIX- en Linux-computers om Operations Manager te configureren voor verificatie met uw UNIX- en Linux-computers.
Als u wilt weten hoe u een niet-gemachtigd account kunt uitbreiden voor effectieve bewaking van UNIX- en Linux-computers, raadpleegt u How to Configure sudo Elevation and SSH Keys (Sudo-uitbreiding en SSH-sleutels configureren).
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor