SSL 暗号の構成
System Center - Operations Manager は、既定の Secure Sockets Layer (SSL) 暗号構成を変更せずに UNIX および Linux コンピューターを正しく管理します。 ほとんどの組織では、既定の構成は許容されますが、組織のセキュリティ ポリシーを確認して、変更が必要かどうかを判断する必要があります。
SSL 暗号構成の使用
Operations Manager UNIX および Linux エージェントは、ポート 1270 で要求を受信し、この要求に対する応答として情報を提供することで、Operations Manager 管理サーバーと通信します。 要求は、SSL 接続を介して実行される WS-Management プロトコルを使用して生成されます。
最初に各要求に対して SSL 接続が確立されるときに、標準 SSL プロトコルは、接続で使用される「暗号」(暗号化アルゴリズム) をネゴシエートします。 Operations Manager の場合、管理サーバーは常に、管理サーバーと UNIX または Linux コンピューター間のネットワーク接続で強力な暗号化が使用されるように、高い強度の暗号を使用するようにネゴシエートします。
UNIX または Linux コンピューターの既定の SSL 暗号構成は、オペレーティング システムの一部としてインストールされる SSL パッケージにより管理されます。 通常、SSL 暗号構成では、より低い強度の古い暗号を含む、さまざまな暗号を使用した接続が許可されます。 Operations Manager ではこれらの強度の低い暗号は使用されませんが、ポート 1270 を開き、強度の低い暗号を使用する可能性は、一部の組織のセキュリティ ポリシーと矛盾しています。
既定の SSL 暗号構成が組織のセキュリティ ポリシーを満たしている場合、アクションは必要ありません。
既定の SSL 暗号構成が組織のセキュリティ ポリシーと矛盾する場合、Operations Manager UNIX および Linux エージェントには、SSL がポート 1270 で受け入れ可能な暗号を指定する構成オプションが用意されています。 このオプションを使用して、暗号を制御し、SSL 構成をポリシーに準拠させることができます。 Operations Manager の UNIX および Linux エージェントを各マネージド コンピューターにインストールした後で、次のセクションで説明する手順を使用して構成オプションを設定する必要があります。 Operations Manager では、これらの構成を適用するための自動または組み込みの方法は提供されません。各組織は、それに最適な外部メカニズムを使用して構成を実行する必要があります。
sslCipherSuite 構成オプションの設定
ポート 1270 の SSL 暗号は、OMI 構成ファイル omiserver.conf の sslciphersuiteオプションを設定して管理します。 omiserver.conf ファイルは、ディレクトリ /etc/opt/omi/conf/
にあります。
このファイルの sslciphersuite オプションの形式は次のとおりです。
sslciphersuite=<cipher spec>
ここで <暗号化仕様> は、許可される暗号、許可されていない暗号、および許可された暗号が選択される順序を指定します。
<cipher 仕様>の形式は、Apache HTTP Server バージョン 2.0 の sslCipherSuite オプションの形式と同じです。 詳細については、Apache のドキュメントの「 SSLCipherSuite Directive (SSLCipherSuite ディレクティブ) 」を参照してください。 このサイトのすべての情報は、ウェブサイトの所有者またはユーザーによって提供されます。 この Web サイトの情報について、Microsoft では明示的、黙示的、または法的保証を一切いたしません。
sslCipherSuite 構成オプションの設定後、変更を有効にするには UNIX および Linux エージェントを再起動する必要があります。 UNIX および Linux エージェントを再起動するには、 /etc/opt/microsoft/scx/bin/tools ディレクトリにある次のコマンドを実行します。
. setup.sh
scxadmin -restart
TLS プロトコル バージョンの有効化または無効化
System Center – Operations Manager の場合、omiserver.conf は次の場所にあります。 /etc/opt/omi/conf/omiserver.conf
TLS プロトコルのバージョンを有効または無効にするには、次のフラグを設定する必要があります。 詳細については、「 OMI Server の構成」を参照してください。
プロパティ | 目的 |
---|---|
NoTLSv1_0 | true の場合、TLSv1.0 プロトコルは無効になります。 |
NoTLSv1_1 | true の場合、プラットフォームで使用可能な場合、TLSv1.1 プロトコルは無効になります。 |
NoTLSv1_2 | true の場合、プラットフォームで使用可能な場合、TLSv1.2 プロトコルは無効になります。 |
SSLv3 プロトコルの有効化または無効化
Operations Manager は、TLS または SSL 暗号化を使用して、HTTPS 経由で UNIX および Linux エージェントと通信します。 SSL ハンドシェイク プロセスは、エージェントと管理サーバーで相互に使用できる最も強力な暗号化をネゴシエートします。 TLS 暗号化をネゴシエートできないエージェントが SSLv3 にフォールバックしないように、SSLv3 を禁止することができます。
System Center – Operations Manager の場合、omiserver.conf は次の場所にあります。 /etc/opt/omi/conf/omiserver.conf
SSLv3 を無効にするには
omiserver.conf を変更し、 NoSSLv3 行を次のように設定します。 NoSSLv3=true
SSLv3 を有効にするには
omiserver.conf を変更し、 NoSSLv3 行を次のように設定します。 NoSSLv3=false
Note
次の更新プログラムは Operations Manager 2019 UR3 以降に適用されます。
暗号スイートのサポート マトリックス
ディストリビューション | カーネル | OpenSSL のバージョン | サポートされている最上位の暗号スイート/優先される暗号スイート | 暗号インデックス |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Oracle Linux Server release 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (2013 年 2 月 11 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Linux 8 (コア) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (2019 年 5 月 28 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (2016 年 3 月 1 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (2018 年 9 月 11 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (2020 年 3 月 31 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (2018 年 8 月 14 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (2019 年 9 月 10 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
暗号、MAC アルゴリズム、キー交換アルゴリズム
System Center Operations Manager 2016 以降では、System Center Operations Manager SSH モジュールによって、以下の暗号、MAC アルゴリズム、キー交換アルゴリズムが提供されます。
SCOM SSH モジュールで提供される暗号:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH モジュールで提供される MAC アルゴリズム:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH モジュールで提供されるキー交換アルゴリズム:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group14-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux エージェントで無効にされた SSL 再ネゴシエーション
Linux エージェントの場合は、SSL 再ネゴシエーションは無効になっています。
SSL 再ネゴシエーションにより、SCOM-Linux エージェントの脆弱性が発生する可能性があります。これにより、リモートの攻撃者が 1 つの接続内で多数の再ネゴシエーションを実行してサービス拒否を引き起こすのが容易になる可能性があります。
Linux エージェントは、SSL 目的でオープンソースの OpenSSL を使用します。
次のバージョンは、再ネゴシエーションでのみサポートされています。
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
OpenSSL バージョン 1.10 から 1.1.0g の場合、OpenSSL では再ネゴシエーションがサポートされていないため、再ネゴシエーションを無効にすることはできません。
次のステップ
UNIX および Linux コンピューターの認証と監視方法を理解するには、「 UNIX および Linux コンピューターにアクセスする必要があるCredentials」を参照してください。
UNIX および Linux コンピューターで認証するように Operations Manager を構成するには、「 UNIX および Linux コンピューターにアクセスするための資格情報を設定する方法を参照してください。
UNIX および Linux コンピューターを効果的に監視するために特権のないアカウントを昇格する方法については、「sudo の昇格キーと SSH キーを構成する方法 確認してください。