Konfigurera SSL-chiffer
System Center – Operations Manager hanterar UNIX- och Linux-datorer korrekt utan ändringar i SSL-chifferkonfigurationen (Secure Sockets Layer). För de flesta organisationer är standardkonfigurationen acceptabel, men du bör kontrollera organisationens säkerhetsprinciper för att avgöra om ändringar krävs.
Använda SSL-chifferkonfigurationen
Operations Manager UNIX- och Linux-agenten kommunicerar med Operations Manager-hanteringsservern genom att acceptera begäranden på port 1270 och tillhandahålla information som svar på dessa begäranden. Begäranden görs med hjälp av det WS-Management protokoll som körs på en SSL-anslutning.
När SSL-anslutningen först upprättas för varje begäran förhandlar standard-SSL-protokollet om krypteringsalgoritmen, som kallas chiffer för anslutningen. För Operations Manager förhandlar hanteringsservern alltid om att använda ett höghållfast chiffer så att stark kryptering används på nätverksanslutningen mellan hanteringsservern och UNIX- eller Linux-datorn.
Standardkonfigurationen för SSL-chiffer på UNIX- eller Linux-datorn styrs av SSL-paketet som installeras som en del av operativsystemet. SSL-chifferkonfigurationen tillåter vanligtvis anslutningar med olika chiffer, inklusive äldre chiffer med lägre styrka. Operations Manager använder inte dessa chiffer med lägre styrka, men att ha port 1270 öppen med möjlighet att använda ett chiffer med lägre styrka strider mot säkerhetspolicyn för vissa organisationer.
Om standardkonfigurationen för SSL-chiffer uppfyller organisationens säkerhetsprincip krävs ingen åtgärd.
Om standardkonfigurationen för SSL-chiffer strider mot organisationens säkerhetsprincip tillhandahåller Operations Manager UNIX- och Linux-agenten ett konfigurationsalternativ för att ange de chiffer som SSL kan acceptera på port 1270. Det här alternativet kan användas för att styra chiffer och anpassa SSL-konfigurationen till dina principer. När Operations Manager UNIX- och Linux-agenten har installerats på varje hanterad dator måste konfigurationsalternativet anges med hjälp av de procedurer som beskrivs i nästa avsnitt. Operations Manager tillhandahåller inget automatiskt eller inbyggt sätt att tillämpa dessa konfigurationer. varje organisation måste utföra konfigurationen med hjälp av en extern mekanism som fungerar bäst för den.
Ange konfigurationsalternativet sslCipherSuite
SSL-chiffer för port 1270 styrs genom att ange alternativet sslciphersuite i OMI-konfigurationsfilen omiserver.conf. Filen omiserver.conf finns i katalogen /etc/opt/omi/conf/.
Formatet för alternativet sslciphersuite i den här filen är:
sslciphersuite=<cipher spec>
Om <chifferspecifikationen> anger de chiffer som tillåts, inte tillåts och i vilken ordning de tillåtna chiffer väljs.
Formatet för <chifferspecifikation> är detsamma som formatet för alternativet sslCipherSuite i Apache HTTP Server version 2.0. Detaljerad information finns i SSLCipherSuite Directive i Apache-dokumentationen. All information på den här webbplatsen tillhandahålls av ägaren eller användarna av webbplatsen. Microsoft lämnar inga garantier, uttryckliga, underförstådda eller lagstadgade uppgifter om informationen på denna webbplats.
När du har angett konfigurationsalternativet sslCipherSuite måste du starta om UNIX- och Linux-agenten för att ändringen ska börja gälla. Om du vill starta om UNIX- och Linux-agenten kör du följande kommando som finns i katalogen /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Aktivera eller inaktivera TLS-protokollversionerna
För System Center – Operations Manager finns omiserver.conf på: /etc/opt/omi/conf/omiserver.conf
Följande flaggor måste anges för att aktivera/inaktivera TLS-protokollversionerna. Mer information finns i Konfigurera OMI Server.
| Egenskap | Avsikt |
|---|---|
| NoTLSv1_0 | När det är sant inaktiveras TLSv1.0-protokollet. |
| NoTLSv1_1 | När det är sant och om det är tillgängligt på plattformen inaktiveras TLSv1.1-protokollet. |
| NoTLSv1_2 | När det är sant och om det är tillgängligt på plattformen inaktiveras TLSv1.2-protokollet. |
Aktivera eller inaktivera SSLv3-protokollet
Operations Manager kommunicerar med UNIX- och Linux-agenter via HTTPS med TLS- eller SSL-kryptering. SSL-handshake-processen förhandlar fram den starkaste kryptering som är ömsesidigt tillgänglig på ombudet och hanteringsservern. Du kanske vill förbjuda SSLv3 så att en agent som inte kan förhandla om TLS-kryptering inte återgår till SSLv3.
För System Center – Operations Manager finns omiserver.conf på: /etc/opt/omi/conf/omiserver.conf
Inaktivera SSLv3
Ändra omiserver.conf, ange raden NoSSLv3 till: NoSSLv3=true
Så här aktiverar du SSLv3
Ändra omiserver.conf, ange raden NoSSLv3 till: NoSSLv3=false
Not
Följande uppdatering gäller för Operations Manager 2019 UR3 och senare.
Stödmatris för chifferuppsättning
| Distro | Kärna | OpenSSL-version | Högsta chiffersvit/föredragen chiffersvit som stöds | Chifferindex |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server utgåva 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 feb 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 maj 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 aug 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Chiffer, MAC-algoritmer och nyckelutbytesalgoritmer
I System Center Operations Manager 2016 och senare visas nedanstående chiffer, MAC-algoritmer och nyckelutbytesalgoritmer av System Center Operations Manager SSH-modulen.
Chiffer som erbjuds av SCOM SSH-modulen:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
MAC-algoritmer som erbjuds av SCOM SSH-modulen:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Key Exchange-algoritmer som erbjuds av SCOM SSH-modulen:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Inaktiverade SSL-omförhandlingar i Linux-agenten
För Linux-agenten är SSL-omförhandlingar inaktiverade.
SSL-omförhandlingar kan medföra sårbarheter i SCOM-Linux-agenten, vilket kan underlätta för angripare på distans att orsaka tjänsteförnekelse genom att utföra många omförhandlingar inom en enda anslutning.
Linux-agenten använder opensource OpenSSL för SSL-ändamål.
Följande versioner stöds endast för omförhandling:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
För OpenSSL-versionerna 1.10– 1.1.0g kan du inte inaktivera omförhandling eftersom OpenSSL inte stöder omförhandling.
Nästa steg
Om du vill förstå hur du autentiserar och övervakar dina UNIX- och Linux-datorer kan du läsa autentiseringsuppgifter som du måste ha åtkomst till UNIX- och Linux-datorer.
Information om hur du konfigurerar Operations Manager för att autentisera med dina UNIX- och Linux-datorer finns i Så här anger du autentiseringsuppgifter för åtkomst till UNIX- och Linux-datorer.
Information om hur du höjer ett konto utan privilegier för effektiv övervakning av UNIX- och Linux-datorer finns i Konfigurera sudo Elevation och SSH-nycklar.