Konfigurera SSL-chiffer
Viktigt
Den här versionen av Operations Manager har nått slutet av supporten. Vi rekommenderar att du uppgraderar till Operations Manager 2022.
System Center – Operations Manager hanterar UNIX- och Linux-datorer utan ändringar i standardkonfigurationen för Secure Sockets Layer (SSL). För de flesta organisationer räcker det med standardkonfigurationen, men du bör ändå kontrollera organisationens säkerhetsprinciper för att ta reda på om några ändringar behövs.
Använda SSL-chifferkonfigurationen
Operations Manager UNIX- och Linux-agenten kommunicerar med Operations Manager-hanteringsservern genom att acceptera begäranden på port 1270 och tillhandahålla information som svar på dessa begäranden. Förfrågningar sker via det WS-Management-protokoll som körs på en SSL-anslutning.
Första gången en SSL-anslutning upprättas för en förfrågan, förhandlar SSL-standardprotokollet med krypteringsalgoritmen, som även kallas chiffer, om vilken anslutning som ska användas. För Operations Manager förhandlar alltid hanteringsservern om att använda ett starkt chiffer så att stark kryptering används för nätverksanslutningen mellan hanteringsservern och UNIX- eller Linux-datorn.
Standardkonfigurationen för SSL-chiffer på UNIX- eller Linux-datorn styrs av det SSL-paket som installerades tillsammans med operativsystemet. SSL-chifferkonfigurationen tillåter vanligtvis anslutningar med olika chiffer, inklusive äldre chiffer med lägre styrka. Operations Manager använder inte dessa chiffer med lägre styrka, men att ha port 1270 öppen med möjlighet att använda ett chiffer med lägre styrka strider mot säkerhetspolicyn för vissa organisationer.
Om standardkonfigurationen för SSL-chiffer uppfyller säkerhetskraven för din organisation behöver du inte göra något.
Om standardkonfigurationen för SSL-chiffer strider mot organisationens säkerhetsprinciper, tillhandahåller UNIX- och Linux-agenten i Operations Manager ett konfigurationsalternativ för att ange chiffer som SSL kan godkänna på port 1270. Det här alternativet kan användas för att styra chiffren och för att SSL-konfigurationen ska överensstämma med företagets säkerhetsprinciper. När Operations Manager UNIX- och Linux-agenten har installerats på varje hanterad dator måste konfigurationsalternativet anges med hjälp av de procedurer som beskrivs i nästa avsnitt. Operations Manager tillhandahåller inget automatiskt eller inbyggt sätt att tillämpa dessa konfigurationer. varje organisation måste utföra konfigurationen med hjälp av en extern mekanism som fungerar bäst för den.
Ange konfigurationsalternativet sslCipherSuite
SSL-chiffren för port 1270 styrs via alternativet sslciphersuite i OMI-konfigurationsfilen omiserver.conf. Filen omiserver.conf finns i katalogen /etc/opt/omi/conf/
.
Formatet för alternativet sslciphersuite i filen är:
sslciphersuite=<cipher spec>
Där <chifferspecifikationen> anger de chiffer som tillåts, tillåts inte och i vilken ordning de tillåtna chiffer väljs.
Formatet för <chifferspecifikationen> är samma som formatet för alternativet sslCipherSuite i Apache HTTP Server version 2.0. Mer information finns i SSLCipherSuite Directive (SSLCipherSuite-direktiv) i Apache-dokumentationen. All information på den här webbplatsen tillhandahålls av webbplatsens ägare eller användare. Microsoft ger inga garantier, vare sig uttryckliga eller underförstådda, avseende informationen på den här webbplatsen.
När du har angett konfigurationsalternativet sslCipherSuite måste du starta om UNIX- och Linux-agenten för att ändringen ska börja gälla. Du startar om UNIX- och Linux-agenten genom att köra följande kommando som finns i katalogen /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Aktivera eller inaktivera TLS-protokollversionerna
För System Center – Operations Manager finns omiserver.conf på: /etc/opt/omi/conf/omiserver.conf
Följande flaggor måste anges för att aktivera/inaktivera TLS-protokollversionerna. Mer information finns i Konfigurera OMI Server.
Egenskap | Syfte |
---|---|
NoTLSv1_0 | När det är sant är TLSv1.0-protokollet inaktiverat. |
NoTLSv1_1 | När det är sant och om det är tillgängligt på plattformen är TLSv1.1-protokollet inaktiverat. |
NoTLSv1_2 | När det är sant och om det är tillgängligt på plattformen är TLSv1.2-protokollet inaktiverat. |
Aktivera eller inaktivera protokollet SSLv3
Operations Manager kommunicerar med UNIX och Linux-agenter via HTTPS med antingen TLS- eller SSL-kryptering. SSL-handskakningsprocessen förhandlar fram den högsta kryptering som är tillgänglig på både agenten och hanteringsservern. Du kanske vill förbjuda SSLv3 så att en agent som inte kan förhandla om TLS-kryptering inte återgår till SSLv3.
För System Center – Operations Manager finns omiserver.conf på: /etc/opt/omi/conf/omiserver.conf
Inaktivera SSLv3
Ändra omiserver.conf och ange noSSLv3-raden till: NoSSLv3=true
Aktivera SSLv3
Ändra omiserver.conf och ange noSSLv3-raden till: NoSSLv3=false
Anteckning
Följande uppdatering gäller för Operations Manager 2019 UR3 och senare.
Stödmatris för chiffersvit
Distribution | Kernel | OpenSSL-version | Högsta chiffersvit/föredragen chiffersvit som stöds | Chifferindex |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Oracle Linux Server-version 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 feb 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 maj 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 aug 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Chiffer, MAC-algoritmer och algoritmer för nyckelutbyte
I System Center Operations Manager 2016 och senare presenteras nedanstående chiffer, MAC-algoritmer och nyckelutbytesalgoritmer av System Center Operations Manager SSH-modulen.
Chiffreringar som erbjuds av SCOM SSH-modulen:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
MAC-algoritmer som erbjuds av SCOM SSH-modulen:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Nyckelutbytesalgoritmer som erbjuds av SCOM SSH-modulen:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Inaktiverade SSL-omförhandlingar i Linux-agenten
För Linux-agenten inaktiveras SSL-omförhandling.
SSL-omförhandling kan orsaka sårbarheter i SCOM-Linux agent, vilket kan göra det enklare för fjärranslutna angripare att orsaka en överbelastningsattack genom att utföra många omförhandlingar inom en enda anslutning.
Linux-agenten använder opensource OpenSSL i SSL-syfte.
Följande versioner stöds endast för omförhandling:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
För OpenSSL-versionerna 1.10– 1.1.0g kan du inte inaktivera omförhandling eftersom OpenSSL inte stöder omförhandling.
Nästa steg
Information om hur du autentiserar och övervakar dina UNIX- och Linux-datorer finns i Autentiseringsuppgifter som du måste ha för att få åtkomst till UNIX- och Linux-datorer.
Information om hur du konfigurerar Operations Manager för autentisering med UNIX- och Linux-datorer finns i Ange autentiseringsuppgifter för åtkomst till UNIX- och Linux-datorer.
Information om hur du höjer ett konto utan privilegier för effektiv övervakning av UNIX- och Linux-datorer finns i Konfigurera sudo Elevation och SSH-nycklar.