Настройка шифров SSL
System Center — Operations Manager правильно управляет компьютерами UNIX и Linux без изменений в конфигурации шифра ssl по умолчанию. Для большинства организаций конфигурация по умолчанию допустима, но необходимо проверить политики безопасности вашей организации, чтобы определить, требуются ли изменения.
Использование конфигурации шифра SSL
Агент UNIX и Linux в Operations Manager взаимодействует с сервером управления Operations Manager, принимая запросы по порту 1270 и отправляя данные в ответ на эти запросы. Запросы выполняются с помощью протокола WS-Management, работающего в SSL-подключении.
При установке SSL-подключения в первый раз для каждого запроса стандартный протокол SSL согласовывает алгоритм шифрования, шифр, для применения при подключении. Для Operations Manager сервер управления всегда согласовывает использование шифра с высокой степенью надежности, чтобы надежное шифрование использовалось в сетевом подключении между сервером управления и компьютером UNIX или Linux.
Конфигурацией шифра SSL на компьютерах с UNIX и Linux по умолчанию управляет пакет SSL, установленный как часть операционной системы. Конфигурация шифров SSL обычно позволяет подключениям с различными шифрами, включая старые шифры меньшей силы. Хотя Operations Manager не использует эти шифры с более низкой силой, открыв порт 1270 с возможностью использования шифра более низкой силы противоречит политике безопасности некоторых организаций.
Если конфигурация шифра SSL по умолчанию соответствует политике безопасности вашей организации, никаких действий не требуется.
Если конфигурация шифра SSL по умолчанию противоречит политике безопасности вашей организации, агент Operations Manager UNIX и Linux предоставляет параметр конфигурации для указания шифров, которые SSL может принимать через порт 1270. Этот параметр можно использовать для управления шифрами и приведения конфигурации SSL в соответствии с вашими политиками. После установки агента Operations Manager для UNIX и Linux на каждом управляемом компьютере данный параметр конфигурации нужно установить с помощью процедур, описанных в следующем разделе. Operations Manager не предоставляет никаких автоматических или встроенных способов применения этих конфигураций; каждая организация должна выполнять конфигурацию с помощью внешнего механизма, который лучше всего подходит для него.
Настройка параметра конфигурации sslCipherSuite
Шифры SSL для порта 1270 управляются с помощью параметра sslciphersuite в файле конфигурации OMI с именем omiserver.conf. Файл omiserver.conf находится в каталоге /etc/opt/omi/conf/.
Формат параметра sslciphersuite в этом файле имеет следующий вид.
sslciphersuite=<cipher spec>
Где <спецификация> шифров указывает допустимые, запрещенные шифры и порядок выбора разрешенных шифров.
Формат спецификации> шифров совпадает с форматом <параметра sslCipherSuite в Apache HTTP Server версии 2.0. Дополнительные сведения см. в разделе Директива SSLCipherSuite документации Apache. Все сведения на этом сайте предоставляются владельцем или пользователями веб-сайта. Корпорация Майкрософт не предоставляет никаких гарантий, явных, подразумеваемых или предусмотренных законом, относительно информации, которая содержится на этом веб-сайте.
После установки параметра конфигурации sslCipherSuite необходимо перезапустить агент UNIX и Linux, чтобы изменения вступили в силу. Чтобы перезапустить агент UNIX и Linux, выполните следующую команду, расположенную в каталоге /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Включение или отключение версий протокола TLS
Для System Center — Operations Manager, omiserver.conf находится в: /etc/opt/omi/conf/omiserver.conf
Для включения и отключения версий протокола TLS необходимо задать следующие флаги. Дополнительные сведения см. в разделе "Настройка сервера OMI".
| Свойство | Характер использования |
|---|---|
| NoTLSv1_0 | Если значение true, протокол TLSv1.0 отключен. |
| NoTLSv1_1 | Если значение true и доступно на платформе, протокол TLSv1.1 отключен. |
| NoTLSv1_2 | Если значение true и доступно на платформе, протокол TLSv1.2 отключен. |
Включение или отключение протокола SSLv3
Operations Manager взаимодействует с агентами UNIX и Linux по протоколу HTTPS с помощью шифрования TLS или SSL. Процесс подтверждения SSL согласовывает самое надежное шифрование, которое является взаимодоступным на агенте и сервере управления. Возможно, вы хотите запретить SSLv3, чтобы агент, который не мог согласовывать шифрование TLS, не возвращается к SSLv3.
Для System Center — Operations Manager, omiserver.conf находится в: /etc/opt/omi/conf/omiserver.conf
Отключение SSLv3
Измените omiserver.conf, задайте строку NoSSLv3 следующим образом: NoSSLv3=true
Включение SSLv3
Измените omiserver.conf, задайте строку NoSSLv3 следующим образом: NoSSLv3=false
Примечание.
Это обновление применимо для Operations Manager 2019 UR3 и более поздних версий.
Матрица поддержки комплекта шифров
| Дистрибутив | Ядро | Версия OpenSSL | Набор шифров с наивысшей поддержкой или предпочтительный набор шифров | Индекс шифра |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server версии 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 января 2017 г.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 апреля 2020 г.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server, выпуск 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 февраля 2013 г.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 января 2017 г.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 апреля 2020 г.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 мая 2019 г.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 мар 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 сентября 2018 г.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 мар 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 августа 2018 г.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 сентября 2019 г.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Шифры, алгоритмы MAC и алгоритмы обмена ключами
В System Center Operations Manager 2016 и более поздних версиях приведенные ниже шифры, алгоритмы MAC и алгоритмы обмена ключами представлены модулем SSH System Center Operations Manager.
Шифры, предлагаемые модулем SSH SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Алгоритмы MAC, предлагаемые модулем SSH SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Алгоритмы обмена ключами, предлагаемые модулем SSH SCOM:
- diffie-hellman-group-exchange-sha256;
- diffie-hellman-group-exchange-sha1;
- diffie-hellman-group14-sha1;
- diffie-hellman-group14-sha256;
- diffie-hellman-group1-sha1.
- ecdh-sha2-nistp256.
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Отключенные повторного согласования SSL в агенте Linux
Для агентов Linux повторные согласования SSL отключены.
Повторное согласование SSL может привести к уязвимости в агенте SCOM-Linux, что может облегчить удаленным злоумышленникам причинить отказ в обслуживании путем выполнения множества повторных переговоров в одном соединении.
Агент Linux использует opensource OpenSSL в целях SSL.
Следующие версии поддерживаются только для повторной подготовки:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Для OpenSSL версии 1.10 – 1.1.0g нельзя отключить повторное согласование, так как OpenSSL не поддерживает повторное согласование.
Следующие шаги
Чтобы понять, как выполнять проверку подлинности и отслеживать компьютеры UNIX и Linux, просмотрите учетные данные, необходимые для доступа к компьютерам UNIX и Linux.
Чтобы настроить Operations Manager для проверки подлинности с компьютерами UNIX и Linux, см. инструкции по настройке учетных данных для доступа к компьютерам UNIX и Linux.
Чтобы понять, как повысить уровень непривилегированных учетных записей для эффективного мониторинга компьютеров UNIX и Linux, ознакомьтесь с инструкцией по настройке ключей sudo и SSH.