Konfigurieren von SSL-Verschlüsselungen
System Center - Operations Manager verwaltet UNIX- und Linux-Computer ohne Änderungen an der Standard-SSL-Verschlüsselungskonfiguration (Secure Sockets Layer) korrekt. Für die meisten Organisationen ist die Standardkonfiguration akzeptabel, aber Sie sollten die Sicherheitsrichtlinien Ihrer Organisation überprüfen, um festzustellen, ob Änderungen erforderlich sind.
Verwenden der SSL-Verschlüsselungskonfiguration
Der UNIX- und Linux-Agent von Operations Manager kommuniziert mit dem Operations Manager-Verwaltungsserver, indem Anforderungen an Port 1270 akzeptiert und Informationen als Antwort auf diese Anforderungen bereitgestellt werden. Anforderungen werden mithilfe des WS-Management-Protokolls vorgenommen, das in einer SSL-Verbindung ausgeführt wird.
Wenn die SSL-Verbindung zum ersten Mal für jede Anfrage aufgebaut wird, handelt das Standard-SSL-Protokoll den Verschlüsselungsalgorithmus aus, der als Chiffre für die zu verwendende Verbindung bekannt ist. Der Verwaltungsserver für Operations Manager handelt immer eine hochgradige Verschlüsselung aus, so dass die Netzwerkverbindung zwischen dem Verwaltungsserver und dem UNIX- oder Linux-Computer stark verschlüsselt ist.
Die standardmäßige SSL-Verschlüsselungskonfiguration auf UNIX- oder Linux-Computern unterliegt dem SSL-Paket, das als Teil des Betriebssystems installiert ist. Die SSL-Verschlüsselungskonfiguration erlaubt normalerweise Verbindungen mit verschiedenen Verschlüsselungen, einschließlich älterer Verschlüsselungen mit niedrigerer Verschlüsselung. Auch wenn Operations Manager diese niedrigeren Verschlüsselungen nicht verwendet, widerspricht die Öffnung von Port 1270 mit der Möglichkeit, eine niedrigere Verschlüsselung zu verwenden, den Sicherheitsrichtlinien einiger Unternehmen.
Wenn die standardmäßige SSL-Verschlüsselungskonfiguration die Sicherheitsrichtlinie Ihrer Organisation erfüllt, ist keine Aktion erforderlich.
Wenn die standardmäßige SSL-Verschlüsselungskonfiguration der Sicherheitsrichtlinie Ihrer Organisation widerspricht, bietet der UNIX- und Linux-Agent von Operations Manager eine Konfigurationsoption zur Angabe der Verschlüsselungsverfahren, die SSL an Port 1270 akzeptieren kann. Diese Option kann verwendet werden, um die Verschlüsselungen zu steuern und die SSL-Konfiguration in Übereinstimmung mit Ihren Richtlinien zu bringen. Nachdem der UNIX- und der Linux-Agent von Operations Manager auf jedem verwalteten Computer installiert wurde, muss die Konfigurationsoption anhand der im nächsten Abschnitt beschriebenen Verfahren festgelegt werden. Operations Manager bietet keine automatische oder integrierte Möglichkeit, diese Konfigurationen anzuwenden. Jede Organisation muss die Konfiguration mithilfe eines externen Mechanismus ausführen, der am besten geeignet ist.
Festlegen der SSLCipherSuite-Konfigurationsoption
Die SSL-Chiffren für Port 1270 werden durch Setzen der Option sslciphersuite in der OMI-Konfigurationsdatei omiserver.conf gesteuert. Die Datei omiserver.conf befindet sich im Verzeichnis /etc/opt/omi/conf/.
Das Format für die Option „sslciphersuite" in dieser Datei lautet:
sslciphersuite=<cipher spec>
Dabei werden durch <cipher spec> die zulässigen und die nicht zulässigen Chiffren sowie die Reihenfolge, in der zulässige Chiffren ausgewählt werden, angegeben.
Das Format für <cipher spec> ist das gleiche wie das Format für die Option sslCipherSuite im Apache HTTP Server Version 2.0. Ausführliche Informationen finden Sie in der Apache-Dokumentation unter SSLCipherSuite-Direktive . Alle Informationen und Inhalte auf Microsoft-fremden Websites werden von Eigentümern oder Benutzern der Website bereitgestellt. Microsoft übernimmt zu den Informationen auf dieser Webseite keinerlei ausdrückliche, implizierte oder gesetzliche Garantien.
Nachdem Sie die Konfigurationsoption sslCipherSuite gesetzt haben, müssen Sie den UNIX- und Linux-Agenten neu starten, damit die Änderung wirksam wird. Um den UNIX- und Linux-Agent neu zu starten, führen Sie den folgenden Befehl aus, der sich im Verzeichnis /etc/opt/microsoft/scx/bin/tools befindet.
. setup.sh
scxadmin -restart
Aktivieren oder Deaktivieren der TLS-Protokollversionen
Für System Center – Operations Manager befindet sich omiserver.conf hier /etc/opt/omi/conf/omiserver.conf
Die folgenden Kennzeichen müssen gesetzt werden, um die TLS-Protokollversionen zu aktivieren/deaktivieren. Weitere Informationen finden Sie unter Konfiguration von OMI Server.
| Eigenschaft | Zweck |
|---|---|
| NoTLSv1_0 | Bei „true" ist das TLSv1.0-Protokoll deaktiviert. |
| NoTLSv1_1 | Bei „true“ wird, sofern auf der Plattform verfügbar, das TLSv1.1-Protokoll deaktiviert. |
| NoTLSv1_2 | Bei „true“ wird, sofern auf der Plattform verfügbar, das TLSv1.2-Protokoll deaktiviert. |
Aktivieren oder Deaktivieren des SSLv3-Protokolls
Operations Manager kommuniziert mit UNIX- und Linux-Agenten über HTTPS, entweder mit TLS- oder SSL-Verschlüsselung. Der SSL-Handshaking-Prozess handelt die stärkste Verschlüsselung aus, die auf dem Agenten und dem Management-Server verfügbar ist. Möglicherweise möchten Sie SSLv3 verbieten, damit ein Agent, der keine TLS-Verschlüsselung aushandeln kann, nicht auf SSLv3 zurückfällt.
Für System Center – Operations Manager befindet sich omiserver.conf hier /etc/opt/omi/conf/omiserver.conf
So deaktivieren Sie SSLv3
Ändern Sie omiserver.conf, setzen Sie die NoSSLv3 Zeile auf: NoSSLv3=true
So aktivieren Sie SSLv3
Ändern Sie omiserver.conf, setzen Sie die NoSSLv3-Zeile wie folgt: NoSSLv3=false
Hinweis
Das folgende Update gilt ab Operations Manager 2019 UR3.
Unterstützungsmatrix für Verschlüsselungssammlungen
| Distribution | Kernel | OpenSSL-Version | Höchste unterstützte/bevorzugte Sammlung von Verschlüsselungsverfahren | Index für das Verschlüsselungsverfahren |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26. Januar 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21. April 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server Release 6.10 | Linux 4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11. Februar 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26. Januar 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21. April 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28. Mai 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1. März 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11. September 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31. März 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14. August 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (Buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10. September 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Verschlüsselungsverfahren, MAC-Algorithmen und Schlüsselaustauschalgorithmen
In System Center Operations Manager 2016 und höher werden die folgenden Verschlüsselungsverfahren, MAC-Algorithmen und Schlüsselaustauschalgorithmen vom System Center Operations Manager-SSH-Modul angeboten.
Vom SCOM SSH-Modul bereitgestellte Verschlüsselungsverfahren:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Vom SCOM SSH-Modul bereitgestellte MAC-Algorithmen:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Vom SCOM SSH-Modul bereitgestellte Schlüsselaustauschalgorithmen:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
SSL-Neuverhandlungen für den Linux-Agent deaktiviert
Für den Linux-Agent sind SSL-Neuverhandlungen deaktiviert.
SSL-Neuverhandlungen können zu Sicherheitsrisiken im SCOM-Linux-Agent führen, was es den Remote-Angreifenden erleichtern könnte, einen Denial-of-Service-Angriff zu verursachen, indem viele Neuverhandlungen innerhalb einer einzigen Verbindung ausgeführt werden.
Der Linux-Agent verwendet OpenSource OpenSSL für SSL-Zwecke.
Die folgenden Versionen werden nur für Neuverhandlung unterstützt:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Für OpenSSL-Versionen 1.10–1.1.0g können Sie die Neuverhandlung nicht deaktivieren, da OpenSSL keine Neuverhandlung unterstützt.
Nächste Schritte
Um zu verstehen, wie Sie Ihre UNIX- und Linux-Computer authentifizieren und überwachen können, lesen Sie den Artikel Für den Zugriff auf UNIX- und Linux-Computer benötigte Anmeldeinformationen.
Informationen zum Konfigurieren von Operations Manager für die Authentifizierung bei Ihren UNIX- und Linux-Computern finden Sie unter Festlegen von Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer.
Eine Anleitung dazu, wie Sie ein unprivilegiertes Konto zur effektiven Überwachung von UNIX- und Linux-Computern hochstufen, finden Sie unter Konfigurieren von Sudo-Rechteerweiterung und SSH-Schlüsseln.