Configurando cifras SSL
System Center - Operations Manager gerencia corretamente computadores UNIX e Linux sem alterações na configuração de cifra SSL (Secure Sockets Layer) padrão. Para a maioria das organizações, a configuração padrão é aceitável, mas você deve verificar as políticas de segurança da sua organização para determinar se as alterações são necessárias.
Usando a configuração de codificação SSL
O agente UNIX e Linux do Operations Manager se comunica com o servidor de gerenciamento do Operations Manager aceitando solicitações na porta 1270 e fornecendo informações em resposta a essas solicitações. As solicitações são feitas usando o protocolo WS-Management que está sendo executado em uma conexão SSL.
Quando a conexão SSL é estabelecida pela primeira vez para cada solicitação, o protocolo SSL padrão negocia o algoritmo de criptografia, conhecido como uma cifra para a conexão a ser usada. Para o Operations Manager, o servidor de gerenciamento sempre negocia o uso de uma cifra de alta resistência para que a criptografia forte seja usada na conexão de rede entre o servidor de gerenciamento e o computador UNIX ou Linux.
A configuração de cifra SSL padrão no computador UNIX ou Linux é regida pelo pacote SSL instalado como parte do sistema operacional. A configuração de cifra SSL normalmente permite conexões com várias cifras, incluindo cifras mais antigas de menor força. Embora o Operations Manager não use essas cifras de menor força, ter a porta 1270 aberta com a possibilidade de usar uma cifra de força mais baixa contradiz a política de segurança de algumas organizações.
Se a configuração de codificação SSL padrão atender à diretiva de segurança da sua organização, nenhuma ação será necessária.
Se a configuração de cifra SSL padrão contradiz a política de segurança da sua organização, o agente UNIX e Linux do Operations Manager fornece uma opção de configuração para especificar as cifras que o SSL pode aceitar na porta 1270. Esta opção pode ser usada para controlar as cifras e colocar a configuração SSL em conformidade com suas políticas. Depois que o agente UNIX e Linux do Operations Manager for instalado em cada computador gerenciado, a opção de configuração deverá ser definida usando os procedimentos descritos na próxima seção. O Operations Manager não fornece nenhuma maneira automática ou interna de aplicar essas configurações; Cada organização deve executar a configuração usando um mecanismo externo que funcione melhor para ela.
Definindo a opção de configuração sslCipherSuite
As cifras SSL para a porta 1270 são controladas definindo a opção sslciphersuite no arquivo de configuração do OMI, omiserver.conf. O arquivo de omiserver.conf está localizado no diretório /etc/opt/omi/conf/.
O formato para a opção sslciphersuite neste arquivo é:
sslciphersuite=<cipher spec>
Onde <especificação de cifra> especifica as cifras que são permitidas, não permitidas e a ordem em que as cifras permitidas são escolhidas.
O formato para a especificação de cifra <> é o mesmo que o formato para a opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte Diretiva SSLCipherSuite na documentação do Apache. Todas as informações contidas neste site são fornecidas pelo proprietário ou pelos usuários do site. A Microsoft não oferece garantias, expressas, implícitas ou estatutárias, em relação às informações contidas neste site.
Depois de definir a opção de configuração sslCipherSuite, você deve reiniciar o agente UNIX e Linux para que a alteração entre em vigor. Para reiniciar o agente UNIX e Linux, execute o seguinte comando, que está localizado no diretório /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Ativando ou desativando as versões do protocolo TLS
Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Os sinalizadores a seguir precisam ser definidos para habilitar/desabilitar as versões do protocolo TLS. Para obter mais informações, consulte Configurando o OMI Server.
| Propriedade | Finalidade |
|---|---|
| NoTLSv1_0 | Quando true, o protocolo TLSv1.0 é desativado. |
| NoTLSv1_1 | Quando verdadeiro, e se disponível na plataforma, o protocolo TLSv1.1 é desativado. |
| NoTLSv1_2 | Quando verdadeiro, e se disponível na plataforma, o protocolo TLSv1.2 é desativado. |
Ativando ou desativando o protocolo SSLv3
O Operations Manager se comunica com agentes UNIX e Linux por HTTPS, usando criptografia TLS ou SSL. O processo de negociação SSL estabelece a criptografia mais forte que está disponível mutuamente entre o agente e o servidor de gestão. Você pode querer proibir SSLv3 para que um agente que não pode negociar criptografia TLS não caia de volta para SSLv3.
Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Para desativar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como sendo: NoSSLv3=true
Para habilitar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como sendo: NoSSLv3=false
Observação
A atualização a seguir é aplicável ao Operations Manager 2019 UR3 e posterior.
Matriz de suporte do Cipher Suite
| Distro | Núcleo | Versão OpenSSL | Suíte de codificação mais alta suportada/suíte de codificação preferida | Índice de Cifras Criptográficas |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server versão 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 fev 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Servidor Oracle Linux 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Servidor Oracle Linux 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 de maio de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 de março de 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 de setembro de 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-genérico | OpenSSL 1.1.1f (31 de março de 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-padrão | OpenSSL 1.0.2p-fips (14 de ago de 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 de setembro de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Cifras, algoritmos MAC e algoritmos de troca de chaves
No System Center Operations Manager 2016 e posterior, as cifras abaixo, os algoritmos MAC e os algoritmos de troca de chaves são apresentados pelo módulo SSH do System Center Operations Manager.
Cifras oferecidas pelo módulo SSH SCOM:
- aes256-ctr
- AES256-CBC
- AES192-CTR
- AES192-CBC
- AES128-CTR
- AES128-CBC
- 3DES-CTR
- 3DES-CBC
algoritmos MAC oferecidos pelo módulo SCOM SSH:
- HMAC-SHA10
- HMAC-SHA1-96
- HMAC-SHA2-256
Algoritmos de troca de chaves oferecidos pelo módulo SSH SCOM:
- diffie-hellman-troca-de-grupo-sha256
- diffie-hellman-grupo-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-grupo1-sha1
- ECDH-SHA2-NISTP256
- ECDH-SHA2-NISTP384
- ECDH-SHA2-NISTP521
Renegociações SSL desativadas no agente Linux
Para o agente Linux, as renegociações SSL são desativadas.
As renegociações de SSL podem causar vulnerabilidade no agente SCOM-Linux, o que pode tornar mais fácil para os invasores remotos provocar uma negação de serviço, realizando muitas renegociações numa única ligação.
O agente Linux utiliza o OpenSSL de código aberto para finalidades SSL.
As seguintes versões são suportadas apenas para renegociação:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Para as versões 1.10 - 1.1.0g do OpenSSL, não é possível desativar a renegociação porque o OpenSSL não suporta renegociação.
Próximos passos
Para entender como autenticar e monitorar seus computadores UNIX e Linux, revise credenciais que você deve ter para acessar computadores UNIX e Linux.
Para configurar o Operations Manager para autenticação com seus computadores UNIX e Linux, consulte Como definir credenciais para acessar computadores UNIX e Linux.
Para entender como elevar uma conta não privilegiada para monitorizar eficazmente computadores UNIX e Linux, veja Como configurar a elevação sudo e chaves SSH.