SSL şifrelemelerini yapılandırma
Önemli
Operations Manager'ın bu sürümü destek sonuna ulaştı. Operations Manager 2022'ye yükseltmenizi öneririz.
System Center - Operations Manager, UNIX ve Linux bilgisayarları varsayılan Güvenli Yuva Katmanı (SSL) şifreleme yapılandırmasında değişiklik yapmadan doğru şekilde yönetir. Çoğu kuruluş için varsayılan yapılandırma kabul edilebilir olmakla birlikte değişikliklerin gerekli olup olmadığını belirlemek için kuruluşunuzun güvenlik ilkelerine bakmalısınız.
SSL şifreleme yapılandırmasını kullanma
Operations Manager UNIX ve Linux aracısı, 1270 numaralı bağlantı noktasındaki istekleri kabul ederek ve bu isteklere yanıt olarak bilgi sağlayarak Operations Manager yönetim sunucusuyla iletişim kurar. İstekler bir SSL bağlantısı üzerinden çalışan WS-Yönetim protokolü kullanılarak yapılır.
Her bir istek için SSL bağlantısı ilk kez kurulurken, standart SSL protokolü kullanılacak bağlantı için şifreleme olarak bilinen şifreleme algoritmasını belirler. Operations Manager'da, yönetim sunucusu ile UNIX veya Linux bilgisayar arasındaki ağ bağlantısında güçlü bir şifreleme kullanılması için yönetim sunucusu daima güçlü bir şifrelemenin kullanılmasını ayarlar.
UNIX veya Linux bilgisayardaki varsayılan SSL şifreleme yapılandırması işletim sisteminin parçası olarak yüklenen SSL paketi tarafından yönetilir. SSL şifreleme yapılandırması genellikle daha düşük mukavemetli eski şifreler de dahil olmak üzere çeşitli şifrelerle bağlantılara izin verir. Operations Manager bu düşük güçlü şifrelemeleri kullanmasa da, 1270 numaralı bağlantı noktasının daha düşük güçlü bir şifreleme kullanma olasılığıyla açık olması bazı kuruluşların güvenlik ilkesiyle çelişmektedir.
Varsayılan SSL şifreleme yapılandırması kuruluşunuzun güvenlik ilkesini karşılıyorsa, hiçbir işlem yapılmasına gerek yoktur.
Varsayılan SSL şifreleme yapılandırması kuruluşunuzun güvenlik ilkesiyle çelişiyorsa, Operations Manager UNIX ve Linux aracısı SSL'nin bağlantı noktası 1270'de kabul edebileceği şifrelemeleri belirlemek için bir yapılandırma seçeneği sunar. Bu seçenek şifrelemeleri denetlemek ve SSL yapılandırmasını ilkelerinizle uyumlu hale getirmek için kullanılabilir. Yönetilen her bilgisayara Operations Manager UNIX ve Linux aracısı yüklendikten sonra, yapılandırma seçeneği sonraki bölümde açıklanan yordamlar kullanılarak ayarlanmalıdır. Operations Manager bu yapılandırmaları uygulamak için herhangi bir otomatik veya yerleşik yol sağlamaz; her kuruluş, yapılandırmayı en uygun dış mekanizmayı kullanarak gerçekleştirmelidir.
sslCipherSuite yapılandırma seçeneğini ayarlama
Bağlantı noktası 1270 için SSL şifrelemeleri omiserver.conf OMI yapılandırma dosyasındaki sslciphersuiteseçeneğinin ayarlanmasıyla denetlenir. omiserver.conf dosyası /etc/opt/omi/conf/ dizininde bulunur.
Bu dosyadaki sslciphersuite seçeneğinin biçimi:
sslciphersuite=<cipher spec>
Burada <şifreleme belirtimi> izin verilen, izin verilmeyen şifreleri ve izin verilen şifrelerin seçilme sırasını belirtir.
Şifreleme belirtiminin> biçimi<, Apache HTTP Server sürüm 2.0'daki sslCipherSuite seçeneğinin biçimiyle aynıdır. Ayrıntılı bilgi için, Apache dokümantasyonunda bkz. SSLCipherSuite Directive (SSLCipherSuite Yönergesi) . Bu sitedeki tüm bilgiler, web sitesinin sahibi veya kullanıcıları tarafından sağlanır. Microsoft söz konusu web sitesindeki bilgilere ilişkin sarih, zımni veya yasal hiçbir garantide bulunmaz.
sslCipherSuite yapılandırma seçeneğinin ayarlanmasından sonra yapılan değişikliğin etkinleşmesi için UNIX ve aracısını yeniden başlatmalısınız. UNIX ve Linux aracısını yeniden başlatmak için, /etc/opt/microsoft/scx/bin/tools dizininde bulunan aşağıdaki komutu çalıştırın.
. setup.sh
scxadmin -restart
TLS Protokolü Sürümlerini Etkinleştirme veya Devre Dışı Bırakma
System Center – Operations Manager için omiserver.conf şu konumda bulunur: /etc/opt/omi/conf/omiserver.conf
TLS protokol sürümlerini etkinleştirmek/devre dışı bırakmak için aşağıdaki bayrakların ayarlanması gerekir. Daha fazla bilgi için bkz. OMI Sunucusunu Yapılandırma.
| Özellik | Amaç |
|---|---|
| NoTLSv1_0 | True olduğunda TLSv1.0 protokolü devre dışı bırakılır. |
| NoTLSv1_1 | True olduğunda ve platformda varsa TLSv1.1 protokolü devre dışı bırakılır. |
| NoTLSv1_2 | True olduğunda ve platformda varsa TLSv1.2 protokolü devre dışı bırakılır. |
SSLv3 Protokolünü Etkinleştirme veya Devre Dışı Bırakma
Operations Manager, UNIX ve Linux aracıları ile, TLS veya SSL şifrelemesi kullanarak HTTPS üzerinden iletişim kurar. SSL el sıkışma işlemi, aracıda ve yönetim sunucusunda karşılıklı olarak bulunan en güçlü şifreleme üzerinde anlaşır. TLS şifreleme anlaşması yapabilen bir aracının SSLv3'e geri dönmemesi için SSLv3'ün yasaklanması isteyebilirsiniz.
System Center – Operations Manager için omiserver.conf şu konumda bulunur: /etc/opt/omi/conf/omiserver.conf
SSLv3'ü devre dışı bırakmak için
omiserver.conf dosyasını değiştirin, NoSSLv3 satırını şu şekilde ayarlayın: NoSSLv3=true
SSLv3'ü etkinleştirmek için
omiserver.conf dosyasını değiştirin, NoSSLv3 satırını şu şekilde ayarlayın: NoSSLv3=false
Not
Aşağıdaki güncelleştirme Operations Manager 2019 UR3 ve üzeri için geçerlidir.
Şifreleme Paketi Destek Matrisi
| Dağıtım | Çekirdek | OpenSSL Sürümü | Desteklenen En Yüksek Şifreleme Paketi/Tercih Edilen Şifreleme Paketi | Şifreleme Dizini |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 Ocak 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 Nisan 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 Şubat 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 Ocak 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 Nisan 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 Mayıs 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-genel | OpenSSL 1.0.2g (1 Mart 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-genel | OpenSSL 1.1.1 (11 Eylül 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-genel | OpenSSL 1.1.1f (31 Mart 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-varsayılan | OpenSSL 1.0.2p-fips (14 Ağustos 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 Eylül 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Şifrelemeler, MAC algoritmaları ve anahtar değişim algoritmaları
System Center Operations Manager 2016 ve sonraki sürümlerinde aşağıdaki şifreler, MAC algoritmaları ve anahtar değişim algoritmaları System Center Operations Manager SSH modülü tarafından sunulur.
SCOM SSH modülü tarafından sunulan şifrelemeler:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH modülü tarafından sunulan MAC algoritmaları:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH modülü tarafından sunulan Anahtar Değişimi algoritmaları:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux aracısında devre dışı bırakılan SSL yeniden anlaşmaları
Linux aracısı için SSL yeniden anlaşmaları devre dışı bırakılır.
SSL yeniden anlaşmaları, SCOM-Linux aracısında güvenlik açığına neden olabilir ve bu da uzak saldırganların tek bir bağlantı içinde birçok yeniden anlaşma yaparak hizmet reddine neden olmasını kolaylaştırabilir.
Linux aracısı, SSL amacıyla opensource OpenSSL kullanır.
Aşağıdaki sürümler yalnızca yeniden anlaşma için desteklenir:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
OpenSSL 1.10 - 1.1.0g sürümlerinde, OpenSSL yeniden anlaşmayı desteklemediğinden yeniden anlaşmayı devre dışı bırakamazsınız.
Sonraki adımlar
UNIX ve Linux bilgisayarlarınızın kimliğini doğrulamayı ve izlemeyi anlamak için UNIX ve Linux Bilgisayarlara Erişmek için Sahip Olmanız Gereken Kimlik Bilgileri'ni gözden geçirin.
Operations Manager'ı UNIX ve Linux bilgisayarlarınızla kimlik doğrulaması yapmak üzere yapılandırmak için bkz. HOW to Set Credentials for Accessing UNIX and Linux Computers.
UNIX ve Linux bilgisayarların etkili bir şekilde izlenmesi için ayrıcalıksız bir hesabı yükseltmeyi anlamak için Sudo Yükseltmesi ve SSH Anahtarlarını Yapılandırma bölümünü gözden geçirin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin