Configurando criptografias SSL
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.
O System Center – Operations Manager gerencia corretamente os computadores UNIX e Linux sem alterações na configuração de criptografia do protocolo SSL padrão. Para a maioria das organizações, a configuração padrão é aceitável, mas você deve verificar as políticas de segurança da organização para determinar se são necessárias alterações.
Usando a configuração de codificação SSL
O agente do UNIX e do Linux do Operations Manager se comunica com o servidor de gerenciamento do Operations Manager aceitando solicitações na porta 1270 e fornecendo informações em resposta a essas solicitações. As solicitações são feitas com o uso do protocolo WS-Management que está sendo executado em uma conexão SSL.
Quando a conexão SSL é estabelecida pela primeira vez para cada solicitação, o protocolo SSL padrão negocia o algoritmo de criptografia, conhecido como uma codificação para a conexão a ser usada. Para o Operations Manager, o servidor de gerenciamento sempre negocia o uso de uma codificação elevada para que a criptografia forte seja utilizada na conexão de rede entre o servidor de gerenciamento e o computador UNIX ou Linux.
A configuração de codificação SSL padrão em um computador UNIX ou Linux é orientada pelo pacote SSL instalado como parte do sistema operacional. A configuração de criptografia SSL normalmente permite conexões com várias criptografias, incluindo criptografias mais antigas de menor intensidade. Embora o Operations Manager não use essas criptografias de menor força, ter a porta 1270 aberta com a possibilidade de usar uma criptografia de menor força contradiz a política de segurança de algumas organizações.
Se a configuração de codificação SSL padrão atender à política de segurança da sua organização, nenhuma ação será necessária.
Se a configuração de codificação SSL padrão contradisser a política de segurança da sua organização, o agente do UNIX e do Linux do Operations Manager fornecerá uma opção de configuração para especificar as codificações que o SSL pode aceitar na porta 1270. Essa opção pode ser usada para controlar as codificações e colocar a configuração de SSL em conformidade com as suas políticas. Após o agente do UNIX e Linux do Operations Manager ser instalado em cada computador gerenciado, a opção de configuração deverá ser definida usando os procedimentos descritos na próxima seção. O Operations Manager não fornece nenhuma maneira automática ou interna de aplicar essas configurações; cada organização deve executar a configuração usando um mecanismo externo que funcione melhor para ela.
Definir a opção de configuração sslCipherSuite
As codificações do SSL da porta 1270 são controladas por meio da configuração da opção sslciphersuite no arquivo de configuração OMI, o omiserver.conf. O arquivo omiserver.conf está localizado no diretório .
O formato para a opção sslciphersuite nesse arquivo é:
sslciphersuite=<cipher spec>
Quando <a especificação> de criptografia especifica as criptografias permitidas, não permitidas e a ordem na qual as criptografias permitidas são escolhidas.
O formato de <cipher spec> é o mesmo da opção < no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive (Diretiva SSLCipherSuite) na documentação do Apache. Todas as informações neste site são fornecidas pelo proprietário ou pelos usuários do site. A Microsoft não oferece nenhuma garantia expressa, implícita ou estatutária quanto às informações neste site.
Depois de definir a opção de configuração sslCipherSuite , você deve reiniciar o agente do UNIX e Linux para que a alteração tenha efeito. Para reiniciar o agente do UNIX e Linux, execute o seguinte comando localizado no diretório /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Como habilitar ou desabilitar versões do protocolo TLS
Para o System Center – Operations Manager, o omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Os sinalizadores a seguir precisarão ser definidos para habilitar/desabilitar versões do protocolo TLS. Para obter mais informações, confira Como configurar o servidor OMI.
| Propriedade | Finalidade |
|---|---|
| NoTLSv1_0 | Quando for true, o protocolo TLSv1.0 será desabilitado. |
| NoTLSv1_1 | Quando for true e caso esteja disponível na plataforma, o protocolo TLSv1.1 será desabilitado. |
| NoTLSv1_2 | Quando for true e caso esteja disponível na plataforma, o protocolo TLSv1.2 será desabilitado. |
Habilitando ou desabilitando o protocolo SSLv3
O Operations Manager se comunica com agentes do UNIX e do Linux via HTTPS usando a criptografia TLS ou SSL. O processo de handshake SSL negocia a criptografia mais forte mutuamente disponível no agente e no servidor de gerenciamento. Você pode querer proibir o SSLv3 para que um agente que não possa negociar a criptografia TLS não retorne ao SSLv3.
Para o System Center – Operations Manager, o omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Para desabilitar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como:
Para habilitar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como:
Observação
A atualização a seguir é aplicável ao Operations Manager 2019 UR3 e versões posteriores.
Matriz de suporte de conjuntos de criptografia
| Distribuição | Kernel | Versão do OpenSSL | Pacote de Criptografia com Suporte mais Alto/Pacote de Criptografia Preferencial | Índice de criptografia |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server versão 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 de abril de 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server versão 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 de fevereiro de 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 de abril de 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 de maio de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-genérico | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-genérico | OpenSSL 1.1.1 (11 set 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-genérico | OpenSSL 1.1.1f (31 de março de 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-padrão | OpenSSL 1.0.2p-fips (14 ago 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 set 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Criptografias, algoritmos MAC e algoritmos de troca de chaves
No System Center Operations Manager 2016 e posterior, as criptografias abaixo, algoritmos MAC e algoritmos de troca de chaves são apresentados pelo módulo SSH do System Center Operations Manager.
Criptografias oferecidas pelo módulo SSH do SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmos MAC oferecidos pelo módulo SSH do SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmos do de troca de chave oferecidos pelo módulo SSH do SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Renegociações SSL desabilitadas no agente Linux
Para o agente do Linux, as negociações de SSL estão desabilitadas.
As renegociações de SSL podem causar vulnerabilidade no agente SCOM-Linux, o que pode facilitar para os invasores remotos causar uma negação de serviço executando muitas renegociações em uma única conexão.
O agente do Linux usa OpenSSL de software livre para fins de SSL.
As seguintes versões têm suporte apenas para renegociação:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Para as versões 1.10 e 1.1.0g do OpenSSL, não é possível desabilitar a renegociação porque o OpenSSL não dá suporte à renegociação.
Próximas etapas
Para entender como autenticar e monitorar seus computadores UNIX e Linux, examine Credenciais necessárias para acessar computadores UNIX e Linux.
Para configurar o Operations Manager para autenticar com seus computadores UNIX e Linux, confira Como definir credenciais para acessar computadores UNIX e Linux.
Para entender como elevar uma conta sem privilégios para o monitoramento efetivo de computadores UNIX e Linux, examine Como configurar a elevação do sudo e as chaves SSH.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de