配置 SSL 密码
System Center - Operations Manager 正确管理 UNIX 和 Linux 计算机,而无需更改默认的安全套接字层 (SSL) 密码配置。 对于大多数组织,默认配置是可接受的,但你应该检查组织的安全策略,以确定是否需要更改。
使用 SSL 密码配置
Operations Manager UNIX 和 Linux 代理通过在端口 1270 上接受请求并提供信息以响应那些请求,来与 Operations Manager 管理服务器通信。 请求是使用在 SSL 连接上运行的 WS-Management 协议提出来的。
当首次为每个请求建立 SSL 连接时,标准 SSL 协议会与加密算法(称为连接要使用的密码)进行协商。 对于 Operations Manager,管理服务器始终协商使用高强度密码,以便在管理服务器与 UNIX 或 Linux 计算机之间的网络连接上使用强加密。
UNIX 或 Linux 计算机上的默认 SSL 密码配置由作为操作系统的一部分安装的 SSL 包进行管理。 SSL 密码配置通常允许与各种密码的连接,包括强度较低的旧密码。 虽然 Operations Manager 不使用这些较低的强度密码,但端口 1270 开放,有可能使用较低的强度密码与某些组织的安全策略相矛盾。
如果默认 SSL 密码配置满足组织的安全策略,则无需执行任何操作。
如果默认 SSL 密码配置与组织的安全策略相矛盾,Operations Manager UNIX 和 Linux 代理提供了一个配置选项,用于指定 SSL 可以在端口 1270 上接受的密码。 此选项可用于控制密码以及使 SSL 配置符合你的策略。 将 Operations Manager UNIX 和 Linux 代理安装在每台托管计算机上之后,必须使用下一节中所述的过程设置配置选项。 Operations Manager 不提供任何自动或内置方法来应用这些配置;每个组织必须使用最适合它的外部机制来执行配置。
设置 sslCipherSuite 配置选项
若要控制用于端口 1270 的 SSL 密码,请在 OMI 配置文件 omiserver.conf 中设置 sslciphersuite选项。 omiserver.conf 文件位于目录中/etc/opt/omi/conf/。
此文件中的 sslciphersuite 选项的格式为:
sslciphersuite=<cipher spec>
其中 <,密码规范> 指定允许、不允许使用的密码以及选择允许的密码的顺序。
密码规范>的格式<与 Apache HTTP Server 版本 2.0 中的 sslCipherSuite 选项的格式相同。 有关详细信息,请参阅 Apache 文档中的 SSLCipherSuite Directive(SSLCipherSuite 指令) 。 此网站上的所有信息由网站的所有者或用户提供。 Microsoft 对本网站中的信息并不作出任何明示、默示或法定的保证。
设置 sslCipherSuite 配置选项之后,必须重启 UNIX 和 Linux 代理以使所做的更改生效。 若要重启 UNIX 和 Linux 代理,请运行以下命令,它位于 /etc/opt/microsoft/scx/bin/tools 目录中。
. setup.sh
scxadmin -restart
启用或禁用 TLS 协议版本
对于 System Center – Operations Manager,omiserver.conf 位于: /etc/opt/omi/conf/omiserver.conf
需要设置以下标志才能启用/禁用 TLS 协议版本。 有关详细信息,请参阅 配置 OMI 服务器。
| properties | 用途 |
|---|---|
| NoTLSv1_0 | 如果为 true,则禁用 TLSv1.0 协议。 |
| NoTLSv1_1 | 如果为 true,且在平台上可用,则禁用 TLSv1.1 协议。 |
| NoTLSv1_2 | 如果为 true,且在平台上可用,则禁用 TLSv1.2 协议。 |
启用或禁用 SSLv3 协议
Operations Manager 使用 TLS 或 SSL 加密通过 HTTPS 与 UNIX 和 Linux 代理通信。 SSL 握手过程协商代理和管理服务器上相互可用的最强加密。 你可能希望禁止 SSLv3,以便无法协商 TLS 加密的代理不会回退到 SSLv3。
对于 System Center – Operations Manager,omiserver.conf 位于: /etc/opt/omi/conf/omiserver.conf
禁用 SSLv3
修改 omiserver.conf,将 NoSSLv3 行设置为: NoSSLv3=true
启用 SSLv3
修改 omiserver.conf,将 NoSSLv3 行设置为: NoSSLv3=false
注意
以下更新适用于 Operations Manager 2019 UR3 以及更高版本。
密码套件支持矩阵
| 分发版 | 内核 | OpenSSL 版本 | 支持的最高密码套件/首选密码套件 | 密码索引 |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server 6.10 版本 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (2013 年 2 月 11 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (核心版) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (2019 年 5 月 28 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (2016 年 3 月 1 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (2018 年 9 月 11 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (2020 年 3 月 31 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (2018 年 8 月 14 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (2019 年 9 月 10 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
密码、MAC 算法和密钥交换算法
在 System Center Operations Manager 2016 及更高版本中,System Center Operations Manager SSH 模块提供了以下密码、MAC 算法和密钥交换算法。
SCOM SSH 模块提供的密码:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH 模块提供的 MAC 算法:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH 模块提供的密钥交换算法:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux 代理中禁用的 SSL 重新协商
对于 Linux 代理,禁用 SSL 重新协商。
SSL 重新协商可能会导致 SCOM-Linux 代理中的漏洞,这样远程攻击者可以通过在单个连接内执行许多重新协商来更轻松地导致拒绝服务。
Linux 代理将开源 OpenSSL 用于 SSL 目的。
仅重新协商支持以下版本:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
对于 OpenSSL 版本 1.10 - 1.1.0g,无法禁用重新协商,因为 OpenSSL 不支持重新协商。
后续步骤
若要了解如何对 UNIX 和 Linux 计算机进行身份验证和监视,请查看 必须拥有的凭据才能访问 UNIX 和 Linux 计算机。
若要将 Operations Manager 配置为使用 UNIX 和 Linux 计算机进行身份验证,请参阅 如何设置用于访问 UNIX 和 Linux 计算机的凭据。
若要了解如何提升非特权帐户以有效监视 UNIX 和 Linux 计算机,请查看 如何配置 sudo 提升和 SSH 密钥。