Sdílet prostřednictvím

Konfigurace šifer SSL

  • Článek

System Center – Operations Manager správně spravuje počítače se systémy UNIX a Linux beze změn výchozí konfigurace šifrování SSL (Secure Sockets Layer). U většiny organizací je výchozí konfigurace přijatelná, ale měli byste zkontrolovat zásady zabezpečení vaší organizace a zjistit, jestli se vyžadují změny.

Použití konfigurace šifrování SSL

Agent Operations Manageru pro UNIX a Linux komunikuje se serverem pro správu Operations Manageru tím, že přijímá požadavky na portu 1270 a poskytuje informace v reakci na tyto požadavky. Požadavky se provádějí pomocí protokolu WS-Management, který běží na připojení SSL.

Při prvním navázání připojení SSL pro každý požadavek standardní protokol SSL vyjedná šifrovací algoritmus, označovaný jako šifra pro připojení, které se má použít. Pro Operations Manager server pro správu vždy vyjednává použití vysoce silné šifry, aby se silné šifrování používalo v síťovém připojení mezi serverem pro správu a počítačem se systémem UNIX nebo Linux.

Výchozí konfigurace šifrování SSL v počítači se systémem UNIX nebo Linux se řídí balíčkem SSL, který je nainstalován jako součást operačního systému. Konfigurace šifry SSL obvykle umožňuje připojení s různými šiframi, včetně starších šifer nižší síly. I když Operations Manager tyto šifry s nižší pevností nepoužívá, otevřený port 1270 s možností použití šifry nižší síly je v rozporu se zásadami zabezpečení některých organizací.

Pokud výchozí konfigurace šifry SSL splňuje zásady zabezpečení vaší organizace, není potřeba žádná akce.

Pokud výchozí konfigurace šifry SSL je v rozporu se zásadami zabezpečení vaší organizace, poskytuje agent operations manageru UNIX a Linux možnost konfigurace pro určení šifer, které může protokol SSL přijmout na portu 1270. Tuto možnost můžete použít k řízení šifer a k zajištění souladu s vašimi zásadami konfigurace SSL. Po instalaci agenta operations manageru se systémem UNIX a Linux na každém spravovaném počítači musí být možnost konfigurace nastavena pomocí postupů popsaných v další části. Operations Manager neposkytuje žádný automatický ani integrovaný způsob použití těchto konfigurací; každá organizace musí konfiguraci provést pomocí externího mechanismu, který pro ni nejlépe funguje.

Nastavení možnosti konfigurace sslCipherSuite

Šifry SSL pro port 1270 se řídí nastavením možnosti sslciphersuite v konfiguračním souboru OMI omiserver.conf. Soubor omiserver.conf se nachází v adresáři /etc/opt/omi/conf/.

Formát možnosti sslciphersuite v tomto souboru je:

sslciphersuite=<cipher spec>

Kde <specifikace> šifry určuje šifry, které jsou povoleny, zakázány a pořadí, ve kterém jsou zvoleny povolené šifry.

Formát specifikace <> šifry je stejný jako formát pro možnost sslCipherSuite v Apache HTTP Serveru verze 2.0. Podrobné informace naleznete v tématu SSLCipherSuite Direktiva v dokumentaci Apache. Všechny informace na tomto webu poskytuje vlastník nebo uživatelé webu. Společnost Microsoft neposkytuje žádné záruky, výslovné, předpokládané nebo zákonné, pokud jde o informace na těchto webových stránkách.

Po nastavení možnosti konfigurace sslCipherSuite je nutné restartovat agenta systému UNIX a Linux, aby se změna projevila. Pokud chcete restartovat agenta systému UNIX a Linux, spusťte následující příkaz, který se nachází v adresáři /etc/opt/microsoft/scx/bin/tools .

. setup.sh  
scxadmin -restart

Povolení nebo zakázání verzí protokolu TLS

V nástroji System Center – Operations Manager se soubor omiserver.conf nachází na adrese: /etc/opt/omi/conf/omiserver.conf

Aby bylo možné povolit nebo zakázat verze protokolu TLS, je potřeba nastavit následující příznaky. Další informace naleznete v tématu Konfigurace serveru OMI.

Vlastnost Účel
NoTLSv1_0 Pokud je hodnota true, protokol TLSv1.0 je zakázán.
NoTLSv1_1 Pokud je hodnota true a pokud je k dispozici na platformě, protokol TLSv1.1 je zakázaný.
NoTLSv1_2 Pokud je hodnota true a pokud je k dispozici na platformě, protokol TLSv1.2 je zakázaný.

Povolení nebo zakázání protokolu SSLv3

Operations Manager komunikuje s agenty systému UNIX a Linux přes PROTOKOL HTTPS pomocí šifrování TLS nebo SSL. Proces handshakingu SSL vyjedná nejsilnější šifrování, které je vzájemně dostupné na agentu a serveru pro správu. Možná budete chtít zakázat SSLv3, aby se agent, který nemůže vyjednat šifrování TLS, nevrátil zpět na SSLv3.

V nástroji System Center – Operations Manager se soubor omiserver.conf nachází na adrese: /etc/opt/omi/conf/omiserver.conf

Zakázání SSLv3

Upravte soubor omiserver.conf, nastavte řádek NoSSLv3 na hodnotu: NoSSLv3=true

Povolení SSLv3

Upravte soubor omiserver.conf, nastavte řádek NoSSLv3 na hodnotu: NoSSLv3=false

Poznámka:

Následující aktualizace platí pro Operations Manager 2019 UR3 a novější.

Matice podpory šifrovacích sad

Distribuce Jádro Verze OpenSSL Nejvyšší podporovaná šifrovací sada nebo upřednostňovaná sada šifer Index šifry
Red Hat Enterprise Linux Server 7.5 (Maipo) Linux 3.10.0-862.el7.x86_64 OpenSSL 1.0.2k-fips (26. ledna 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa) Linux 4.18.0-240.el8.x86_64 OpenSSL 1.1.1g FIPS (21. dubna 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Oracle Linux Server verze 6.10 Linux4.1.12-124.16.4.el6uek.x86_64 OpenSSL 1.0.1e-fips (11. února 2013) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 7.9 Linux 5.4.17-2011.6.2.el7uek.x86_64 OpenSSL 1.0.2k-fips (26. ledna 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 8.3 Linux 5.4.17-2011.7.4.el8uek.x86_64 OpenSSL 1.1.1g FIPS (21. dubna 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Linux 8 (Core) Linux 4.18.0-193.el8.x86_64 OpenSSL 1.1.1c FIPS (28. května 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 16.04.5 LTS Linux 4.4.0-131-generic OpenSSL 1.0.2g (1. března 2016) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Ubuntu 18.10 Linux 4.18.0-25-generic OpenSSL 1.1.1 (11. zář 2018) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 20.04 LTS Linux 5.4.0-52-generic OpenSSL 1.1.1f (31. března 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5 Linux 4.12.14-120-default OpenSSL 1.0.2p-fips (14. 14. 2018) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Debian GNU/Linux 10 (buster) Linux 4.19.0-13-amd64 OpenSSL 1.1.1d (10. zář 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }

Šifry, algoritmy MAC a algoritmy výměny klíčů

V system Center Operations Manageru 2016 a novějších jsou následující šifry, algoritmy MAC a algoritmy výměny klíčů prezentovány modulem System Center Operations Manager SSH.

Šifry nabízené modulem SCOM SSH:

  • aes256-ctr
  • aes256-cbc
  • aes192-ctr
  • aes192-cbc
  • aes128-ctr
  • aes128-cbc
  • 3des-ctr
  • 3des-cbc

Algoritmy MAC nabízené modulem SCOM SSH:

  • hmac-sha10
  • hmac-sha1-96
  • hmac-sha2-256

Algoritmy výměny klíčů nabízené modulem SCOM SSH:

  • diffie-hellman-group-exchange-sha256
  • diffie-hellman-group-exchange-sha1
  • diffie-hellman-group14-sha1
  • diffie-hellman-group14-sha256
  • diffie-hellman-group1-sha1
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

Zakázání opětovného vyjednávání SSL v agentovi Linuxu

U linuxového agenta jsou zakázaná nová vyjednávání SSL.

Opakované vyjednávání SSL může způsobit ohrožení zabezpečení v agentovi SCOM-Linux, což může vzdáleným útočníkům usnadnit odepření služby provedením mnoha opětovných vyjednávání v rámci jednoho připojení.

Linuxový agent používá opensource OpenSSL pro účely SSL.

Pro nové vyjednávání jsou podporovány pouze následující verze:

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

Pro OpenSSL verze 1.10 – 1.1.0g nemůžete zakázat opakované vyjednávání, protože OpenSSL nepodporuje opakované vyjednávání.

Další kroky