Configurazione delle crittografie SSL
System Center Operations Manager gestisce correttamente i computer UNIX e Linux senza apportare modifiche alla configurazione di crittografia SSL (Secure Sockets Layer) predefinita. Per la maggior parte delle organizzazioni, la configurazione predefinita è accettabile, ma è necessario controllare i criteri di sicurezza dell'organizzazione per determinare se sono necessarie modifiche.
Uso della configurazione della crittografia SSL
L'agente UNIX e Linux di Operations Manager comunica con il server di gestione di Operations Manager accettando le richieste sulla porta 1270 e fornendo informazioni in risposta a tali richieste. Le richieste vengono eseguite utilizzando il protocollo WS-Management in esecuzione in una connessione SSL.
Quando viene stabilita per la prima volta una connessione SSL per ogni richiesta, il protocollo SSL standard negozia l'algoritmo di crittografia, noto come una crittografia per la connessione da utilizzare. Per Operations Manager, il server di gestione negozia sempre l'uso di una crittografia ad alta forza in modo che venga usata la crittografia avanzata nella connessione di rete tra il server di gestione e il computer UNIX o Linux.
La configurazione predefinita di crittografia SSL nel computer UNIX o Linux è controllata dal pacchetto SSL installato come parte del sistema operativo. La configurazione della crittografia SSL consente in genere le connessioni con varie crittografie, incluse le crittografie meno recenti di livello inferiore. Anche se Operations Manager non usa queste crittografie di livello inferiore, la porta 1270 è aperta con la possibilità di usare una crittografia di livello inferiore contraddice i criteri di sicurezza di alcune organizzazioni.
Se la configurazione di crittografia SSL predefinita soddisfa i criteri di sicurezza dell'organizzazione, non è necessaria alcuna azione.
Se la configurazione di crittografia SSL predefinita contraddice i criteri di sicurezza dell'organizzazione, l'agente UNIX e Linux di Operations Manager offre un'opzione di configurazione per specificare le crittografie che SSL può accettare sulla porta 1270. È possibile utilizzare questa opzione per controllare le crittografie e rendere la configurazione SSL conforme ai criteri. Dopo l'installazione dell'agente UNIX e Linux di Operations Manager in ogni computer gestito, l'opzione di configurazione deve essere impostata usando le procedure descritte nella sezione successiva. Operations Manager non fornisce alcuna modalità automatica o predefinita per applicare queste configurazioni; ogni organizzazione deve eseguire la configurazione usando un meccanismo esterno che funzioni meglio per esso.
Impostazione dell'opzione di configurazione sslCipherSuite
Le crittografie SSL per la porta 1270 sono controllate tramite l'impostazione dell'opzione sslciphersuite nel file di configurazione OMI omiserver.conf. Il file omiserver.conf si trova nella directory /etc/opt/omi/conf/.
Il formato per l'opzione sslciphersuite in questo file è:
sslciphersuite=<cipher spec>
Dove <specifica> le crittografie consentite, non consentite e l'ordine in cui vengono scelte le crittografie consentite.
Il formato per <la specifica> di crittografia è uguale al formato per l'opzione sslCipherSuite nella versione 2.0 di Apache HTTP Server. Per ulteriori informazioni, vedere SSLCipherSuite Directive (Direttiva SSLCipherSuite) nella documentazione di Apache. Tutte le informazioni su questo sito vengono fornite dal proprietario o dagli utenti del sito Web. Microsoft non offre alcuna garanzia, espressa, implicita o legale, per le informazioni fornite in questo sito Web.
Dopo aver impostato l'opzione di configurazione sslCipherSuite , riavviare l'agente UNIX e Linux per rendere effettive le modifiche. Per riavviare l'agente UNIX e Linux, eseguire il seguente comando, che si trova nella directory /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Abilitazione o disabilitazione delle versioni del protocollo TLS
Per System Center - Operations Manager, omiserver.conf si trova in: /etc/opt/omi/conf/omiserver.conf
Per abilitare/disabilitare le versioni del protocollo TLS, è necessario impostare i flag seguenti. Per altre informazioni, vedere Configurazione del server OMI.
| Proprietà | Scopo |
|---|---|
| NoTLSv1_0 | Se true, il protocollo TLSv1.0 è disabilitato. |
| NoTLSv1_1 | Se true, e se disponibile nella piattaforma, il protocollo TLSv1.1 è disabilitato. |
| NoTLSv1_2 | Se true, e se disponibile nella piattaforma, il protocollo TLSv1.2 è disabilitato. |
Abilitazione o disabilitazione del protocollo SSLv3
Operations Manager comunica con gli agenti UNIX e Linux tramite HTTPS, usando la crittografia TLS o SSL. Il processo di handshaking SSL negozia la crittografia più avanzata disponibile a vicenda nell'agente e nel server di gestione. È possibile impedire SSLv3 in modo che un agente che non possa negoziare la crittografia TLS non fallback a SSLv3.
Per System Center - Operations Manager, omiserver.conf si trova in: /etc/opt/omi/conf/omiserver.conf
Per disabilitare SSLv3
Modificare omiserver.conf, impostare la riga NoSSLv3 su: NoSSLv3=true
Per abilitare SSLv3
Modificare omiserver.conf, impostare la riga NoSSLv3 su: NoSSLv3=false
Nota
L'aggiornamento seguente è applicabile a Operations Manager 2019 UR3 e versioni successive.
Matrice di supporto del pacchetto di crittografia
| Distribuzione | Chicco | Versione di OpenSSL | Suite di crittografia più supportata/suite di crittografia preferita | Indice di crittografia |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 gennaio 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server versione 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 febbraio 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 gennaio 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 maggio 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 settembre 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 agosto 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 settembre 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Crittografie, algoritmi MAC e algoritmi di scambio di chiavi
In System Center Operations Manager 2016 e versioni successive, le crittografie, gli algoritmi MAC e gli algoritmi di scambio delle chiavi seguenti vengono presentati dal modulo SSH di System Center Operations Manager.
Crittografia offerta dal modulo SSH SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmi MAC offerti dal modulo SSH SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmi di scambio di chiavi offerti dal modulo SSH SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Rinegoziazioni SSL disabilitate nell'agente Linux
Per l'agente Linux, le rinegoziazioni SSL sono disabilitate.
Le rinegoziazioni SSL possono causare vulnerabilità nell'agente SCOM-Linux, che potrebbe rendere più semplice per gli utenti malintenzionati remoti causare un denial of service eseguendo molte rinegoziazioni all'interno di una singola connessione.
L'agente Linux usa OpenSSL opensource a scopo SSL.
Le versioni seguenti sono supportate solo per la rinegoziazione:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Per OpenSSL versioni 1.10 - 1.1.0g, non è possibile disabilitare la rinegoziazione perché OpenSSL non supporta la rinegoziazione.
Passaggi successivi
Per informazioni su come autenticare e monitorare i computer UNIX e Linux, vedere Credenziali necessarie per accedere a computer UNIX e Linux.
Per configurare Operations Manager per l'autenticazione con i computer UNIX e Linux, vedere Come impostare le credenziali per l'accesso a computer UNIX e Linux.
Per informazioni su come elevare un account senza privilegi per un monitoraggio efficace dei computer UNIX e Linux, vedere Come configurare l'elevazione sudo e le chiavi SSH.