SSL-coderingen configureren
System Center - Operations Manager beheert UNIX- en Linux-computers correct zonder wijzigingen in de standaard-SSL-coderingsconfiguratie (Secure Sockets Layer). Voor de meeste organisaties is de standaardconfiguratie acceptabel, maar u moet het beveiligingsbeleid van uw organisatie controleren om te bepalen of wijzigingen vereist zijn.
De SSL-coderingsconfiguratie gebruiken
De UNIX- en Linux-agent van Operations Manager communiceren met de Operations Manager-beheerserver door aanvragen op poort 1270 te accepteren en informatie op te geven als reactie op deze aanvragen. Aanvragen worden gedaan met behulp van het WS-Management-protocol dat wordt uitgevoerd op een SSL-verbinding.
Wanneer de SSL-verbinding voor het eerst tot stand is gebracht voor elke aanvraag, onderhandelt het standaard SSL-protocol over het versleutelingsalgoritmen, ook wel een coderingssleutel genoemd voor de verbinding die moet worden gebruikt. Voor Operations Manager onderhandelt de beheerserver altijd over het gebruik van een codering met hoge sterkte, zodat sterke versleuteling wordt gebruikt op de netwerkverbinding tussen de beheerserver en de UNIX- of Linux-computer.
De standaardconfiguratie voor SSL-codering op UNIX- of Linux-computers wordt beheerd door het SSL-pakket dat is geïnstalleerd als onderdeel van het besturingssysteem. De CONFIGURATIE van SSL-codering staat doorgaans verbindingen met verschillende coderingen toe, waaronder oudere coderingen van lagere sterkte. Hoewel Operations Manager deze coderingen met lagere sterkte niet gebruikt, is het mogelijk dat poort 1270 is geopend met de mogelijkheid om een lagere sterkte-codering te gebruiken, in strijd met het beveiligingsbeleid van sommige organisaties.
Als de standaardconfiguratie voor SSL-codering voldoet aan het beveiligingsbeleid van uw organisatie, is er geen actie nodig.
Als de standaardconfiguratie voor SSL-codering in strijd is met het beveiligingsbeleid van uw organisatie, biedt de UNIX- en Linux-agent van Operations Manager een configuratieoptie om de coderingen op te geven die SSL kan accepteren op poort 1270. Deze optie kan worden gebruikt om de coderingen te beheren en de SSL-configuratie in overeenstemming te brengen met uw beleid. Nadat de UNIX- en Linux-agent van Operations Manager op elke beheerde computer is geïnstalleerd, moet de configuratieoptie worden ingesteld met behulp van de procedures die in de volgende sectie worden beschreven. Operations Manager biedt geen automatische of ingebouwde manier om deze configuraties toe te passen; elke organisatie moet de configuratie uitvoeren met behulp van een extern mechanisme dat het beste werkt.
De configuratieoptie sslCipherSuite instellen
De SSL-coderingen voor poort 1270 worden beheerd door de optie sslciphersuite in het OMI-configuratiebestand in te stellen, omiserver.conf. Het bestand omiserver.conf bevindt zich in de map /etc/opt/omi/conf/.
De indeling voor de optie sslciphersuite in dit bestand is:
sslciphersuite=<cipher spec>
Wanneer <coderingsspecificatie> de toegestane, niet-toegestane coderingen en de volgorde specificeert waarin de toegestane coderingen worden gekozen.
De indeling voor <coderingsspecificatie> is hetzelfde als de indeling voor de optie sslCipherSuite in de Apache HTTP Server-versie 2.0. Zie SSLCipherSuite Directive in de Apache-documentatie voor gedetailleerde informatie. Alle informatie op deze site wordt verstrekt door de eigenaar of de gebruikers van de website. Microsoft geeft geen garanties, uitdrukkelijk, impliciet of statutair, met betrekking tot de informatie op deze website.
Nadat u de sslCipherSuite configuratieoptie hebt ingesteld, moet u de UNIX- en Linux-agent opnieuw starten om de wijziging van kracht te laten worden. Voer de volgende opdracht uit in de map /etc/opt/microsoft/scx/bin/tools om de UNIX- en Linux-agent opnieuw op te starten.
. setup.sh
scxadmin -restart
De TLS-protocolversies in- of uitschakelen
Voor System Center – Operations Manager bevindt omiserver.conf zich op: /etc/opt/omi/conf/omiserver.conf
De volgende vlaggen moeten worden ingesteld om de TLS-protocolversies in of uit te schakelen. Zie OMI-server configurerenvoor meer informatie.
| Eigenschap | Doel |
|---|---|
| NoTLSv1_0 | Wanneer waar, wordt het TLSv1.0-protocol uitgeschakeld. |
| NoTLSv1_1 | Indien waar en indien beschikbaar op het platform, wordt het TLSv1.1-protocol uitgeschakeld. |
| NoTLSv1_2 | Indien waar en indien beschikbaar op het platform, wordt het TLSv1.2-protocol uitgeschakeld. |
Het SSLv3-protocol in- of uitschakelen
Operations Manager communiceert met UNIX- en Linux-agents via HTTPS, met behulp van TLS- of SSL-versleuteling. Het SSL-handshakingproces onderhandelt over de sterkste versleuteling die wederzijds beschikbaar is op de agent en de beheerserver. U kunt SSLv3 verbieden, zodat een agent die niet kan onderhandelen over TLS-versleuteling niet terugvalt op SSLv3.
Voor System Center – Operations Manager bevindt omiserver.conf zich op: /etc/opt/omi/conf/omiserver.conf
SSLv3 uitschakelen
Wijzig omiserver.conf, stel de regel NoSSLv3 in op: NoSSLv3=true
SSLv3 inschakelen
Wijzig omiserver.conf, stel de regel NoSSLv3 in op: NoSSLv3=false
Notitie
De volgende update is van toepassing op Operations Manager 2019 UR3 en hoger.
Ondersteuningsmatrix voor Cipher Suite
| Distro | Kern | OpenSSL-versie | Hoogst ondersteunde coderingssuite/voorkeurs-coderingssuite | Coderingsindex |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 januari 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server release 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 februari 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 januari 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 mei 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 maart 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 maart 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-standaard | OpenSSL 1.0.2p-fips (14 aug 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Coderingen, MAC-algoritmen en sleuteluitwisselingsalgoritmen
In System Center Operations Manager 2016 en hoger worden de onderstaande coderingen, MAC-algoritmen en sleuteluitwisselingsalgoritmen gepresenteerd door de System Center Operations Manager SSH-module.
Ciphers aangeboden door de SCOM SSH-module:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
MAC-algoritmen die worden aangeboden door de SCOM SSH-module:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Key Exchange-algoritmen die worden aangeboden door de SCOM SSH-module:
- Diffie-Hellman groepsuitwisseling met SHA256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Uitgeschakelde SSL-heronderhandelingen in Linux-agent
Voor de Linux-agent zijn SSL-heronderhandelingen uitgeschakeld.
SSL-heronderhandelingen kunnen beveiligingsproblemen veroorzaken in SCOM-Linux agent, waardoor het voor de externe aanvallers gemakkelijker wordt om een denial of service te veroorzaken door veel heronderhandelingen binnen één verbinding uit te voeren.
Linux-agent maakt gebruik van opensource OpenSSL voor SSL-doeleinden.
De volgende versies worden alleen ondersteund voor heronderhandeling:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Voor OpenSSL-versies 1.10 - 1.1.0g kunt u heronderhandeling niet uitschakelen omdat OpenSSL geen ondersteuning biedt voor heronderhandeling.
Volgende stappen
Als u wilt weten hoe u uw UNIX- en Linux-computers verifieert en bewaakt, raadpleegt u referenties die u nodig hebt voor toegang tot UNIX- en Linux-computers.
Zie Hoe u referenties instelt voor toegang tot UNIX- en Linux-computersom Operations Manager te configureren voor authenticatie met uw UNIX- en Linux-computers.
Raadpleeg Hoe sudo-elevatie en SSH-sleutels te configurerenom te begrijpen hoe u een niet-geprivilegieerd account kunt uitbreiden voor het effectief bewaken van UNIX- en Linux-computers.