Configuración de cifrados SSL
System Center - Operations Manager administra correctamente equipos UNIX y Linux sin cambios en la configuración de cifrado predeterminada de Capa de sockets seguros (SSL). Para la mayoría de las organizaciones, la configuración predeterminada es aceptable, pero debes comprobar las directivas de seguridad de la organización para determinar si se requieren cambios.
Uso de la configuración del cifrado SSL
El agente de UNIX y Linux de Operations Manager se comunica con el servidor de administración de Operations Manager al aceptar solicitudes en el puerto 1270 y suministrar información para responder a esas solicitudes. Las solicitudes se realizan mediante el protocolo WS-Management que se ejecuta en una conexión SSL.
Cuando la conexión SSL se establece por primera vez para cada solicitud, el protocolo SSL estándar negocia el algoritmo de cifrado, conocido como un cifrado para la conexión que se va a usar. Para Operations Manager, el servidor de administración siempre negocia usar un cifrado de alta intensidad para que se use cifrado seguro en la conexión de red entre el servidor de administración y el equipo UNIX o Linux.
La configuración de cifrado SSL predeterminada en el equipo UNIX o Linux se rige por el paquete SSL instalado como parte del sistema operativo. La configuración de cifrado SSL normalmente permite conexiones con varios cifrados, incluidos los cifrados más antiguos de menor intensidad. Aunque Operations Manager no usa estos cifrados de menor intensidad, tener abierto el puerto 1270 con la posibilidad de usar un cifrado de menor intensidad contradice la directiva de seguridad de algunas organizaciones.
Si la configuración predeterminada del cifrado SSL cumple la directiva de seguridad de la organización, no se necesita ninguna acción.
Si la configuración predeterminada del algoritmo de cifrado SSL no cumple la directiva de seguridad de la organización, el agente de UNIX y Linux de Operations Manager ofrece una opción de configuración para especificar los cifrados que SSL acepta en el puerto 1270. Esta opción se puede usar para controlar los cifrados y hacer que la configuración SSL cumpla las directivas. Después de instalar el agente de UNIX y Linux de Operations Manager en todos los equipos administrados, se debe establecer la opción de configuración mediante los procedimientos que se describen en la sección siguiente. Operations Manager no proporciona ninguna manera automática ni integrada de aplicar estas configuraciones; cada organización debe realizar la configuración mediante un mecanismo externo que se adapte a sus necesidades.
Establecimiento de la opción de configuración sslCipherSuite
Los cifrados SSL para el puerto 1270 se controlan mediante el establecimiento de la opción sslciphersuite en el archivo de configuración de OMI, omiserver.conf. El archivo omiserver.conf se encuentra en el directorio /etc/opt/omi/conf/.
El formato de la opción sslciphersuite en este archivo es:
sslciphersuite=<cipher spec>
Donde <cipher spec> especifica los cifrados permitidos y no permitidos, y el orden en que se eligen los cifrados permitidos.
El formato de <cipher spec> es el mismo que el formato de la opción sslCipherSuite en el servidor HTTP Apache, versión 2.0. Para obtener información detallada, consulta SSLCipherSuite Directive en la documentación de Apache. Toda la información de este sitio lo proporciona el propietario o los usuarios del sitio web. Microsoft no ofrece ninguna garantía, ya sea expresa, implícita o reglamentaria, con respecto a la información de este sitio web.
Después de establecer la opción de configuración sslCipherSuite, debes reiniciar el agente de UNIX y Linux para que el cambio surta efecto. Para reiniciar el agente de UNIX y Linux, ejecuta el siguiente comando, que se encuentra en el directorio /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Habilitación o deshabilitación de las versiones del protocolo TLS
Para System Center – Operations Manager, omiserver.conf se encuentra en: /etc/opt/omi/conf/omiserver.conf
Las marcas siguientes deben establecerse para habilitar o deshabilitar las versiones del protocolo TLS. Para más información, consulta Configuring OMI Server.
| Propiedad | Fin |
|---|---|
| NoTLSv1_0 | Cuando es true, el protocolo TLSv1.0 está deshabilitado. |
| NoTLSv1_1 | Cuando es true y si está disponible en la plataforma, el protocolo TLSv1.1 está deshabilitado. |
| NoTLSv1_2 | Cuando es true y si está disponible en la plataforma, el protocolo TLSv1.2 está deshabilitado. |
Habilitación o deshabilitación del protocolo SSLv3
Operations Manager se comunica con agentes de UNIX y Linux a través de HTTPS mediante el cifrado TLS o SSL. El proceso de enlace SSL negocia el cifrado más seguro que está disponible mutuamente en el agente y el servidor de administración. Es posible que quieras prohibir SSLv3 para que un agente que no puede negociar el cifrado TLS no vuelva a SSLv3.
Para System Center – Operations Manager, omiserver.conf se encuentra en: /etc/opt/omi/conf/omiserver.conf
Para deshabilitar SSLv3
Modifica omiserver.conf y establece la línea NoSSLv3 como: NoSSLv3=true
Para habilitar SSLv3
Modifica omiserver.conf y establece la línea NoSSLv3 como: NoSSLv3=false
Nota:
La actualización siguiente es aplicable a Operations Manager 2019 UR3 y versiones posteriores.
Matriz de compatibilidad del conjunto de cifrado
| Distribuciones | Kernel | Versión de OpenSSL | Conjunto de cifrado más alto admitido/Conjunto de cifrado preferido | Índice de cifrado |
|---|---|---|---|---|
| Servidor Red Hat Enterprise Linux 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 ene 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Servidor Oracle Linux versión 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 feb 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Servidor Oracle Linux 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 ene 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Servidor Oracle Linux 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 may 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 ago 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Cifrados, algoritmos MAC y algoritmos de intercambio de claves
En System Center Operations Manager 2016 y versiones posteriores, el módulo SSH de System Center Operations Manager presenta los siguientes cifrados, algoritmos MAC y algoritmos de intercambio de claves.
Cifrados ofrecidos por el módulo SSH de SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmos MAC ofrecidos por el módulo SSH de SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmos de Intercambio de claves ofrecidos por el módulo SSH de SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Renegociaciones SSL desactivadas en el agente Linux
Para el agente de Linux, se deshabilitan las renegociaciones de SSL.
Las renegociaciones SSL pueden provocar vulnerabilidades en el agente SCOM-Linux, lo que podría facilitar a los atacantes remotos que provoquen una denegación de servicio mediante la realización de muchas renegociaciones dentro de una sola conexión.
El agente de Linux usa OpenSSL de código abierto para fines SSL.
Las versiones siguientes solo se admiten para la renegociación:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
En el caso de las versiones de OpenSSL 1.10 - 1.1.0g, no se puede deshabilitar la renegociación porque OpenSSL no admite la renegociación.
Pasos siguientes
Para comprender cómo autenticar y supervisar los equipos UNIX y Linux, consulta Credenciales que debes tener para acceder a equipos UNIX y Linux.
Para configurar Operations Manager para autenticarse con los equipos UNIX y Linux, consulta Cómo establecer credenciales para acceder a equipos UNIX y Linux.
Para comprender cómo elevar una cuenta sin privilegios para una supervisión eficaz de equipos UNIX y Linux, consulta Configuración de la elevación de sudo y las claves SSH.