Konfigurieren von SSL-Verschlüsselungen

System Center – Operations Manager ermöglicht eine korrekte Verwaltung von UNIX- und Linux-Computern, ohne dass Änderungen an der standardmäßigen SSL-Verschlüsselungskonfiguration (Secure Sockets Layer) vorgenommen werden müssen. Für die meisten Organisationen ist die Standardkonfiguration akzeptabel, Sie sollten aber die Sicherheitsrichtlinien Ihrer Organisation überprüfen, um festzustellen, ob Änderungen erforderlich sind.

Verwenden der SSL-Verschlüsselungskonfiguration

Der UNIX- und Linux-Agent von Operations Manager kommuniziert mit dem Operations Manager-Verwaltungsserver, indem Anforderungen an Port 1270 akzeptiert und Informationen als Antwort auf diese Anforderungen bereitgestellt werden. Anforderungen werden mit dem WS-Management-Protokoll erstellt, das auf einer SSL-Verbindung ausgeführt wird.

Wenn die SSL-Verbindung zum ersten Mal für jede Anforderung hergestellt wird, handelt das standardmäßige SSL-Protokoll den Verschlüsselungsalgorithmus (der als Chiffre bezeichnet wird) für die zu verwendende Verbindung aus. Für Operations Manager handelt der Verwaltungsserver immer die Verwendung einer hohen Chiffrierstärke aus, damit eine starke Verschlüsselung für die Netzwerkverbindung zwischen dem Verwaltungsserver und dem UNIX- oder Linux-Computer verwendet wird.

Die standardmäßige SSL-Chiffrekonfiguration auf UNIX- oder Linux-Computern wird durch das SSL-Paket gesteuert, das als Teil des Betriebssystems installiert ist. Die SSL-Verschlüsselungskonfiguration lässt in der Regel Verbindungen mit verschiedenen Verschlüsselungen zu, einschließlich älteren Verschlüsselungen mit geringerer Stärke. Während Operations Manager diese Verschlüsselungen mit niedrigerer Stärke nicht verwendet, widerspricht es der Sicherheitsrichtlinie einiger Organisationen, wenn Port 1270 geöffnet ist und die Möglichkeit besteht, eine Verschlüsselung mit niedrigerer Stärke zu verwenden.

Wenn die standardmäßige SSL-Verschlüsselungskonfiguration die Sicherheitsrichtlinie Ihrer Organisation erfüllt, müssen Sie keine Maßnahmen ergreifen.

Wenn die standardmäßige SSL-Verschlüsselungskonfiguration der Sicherheitsrichtlinie Ihrer Organisation widerspricht, bietet der UNIX- und Linux-Agent von Operations Manager eine Konfigurationsoption zur Angabe der Verschlüsselungsverfahren, die SSL an Port 1270 akzeptieren kann. Mithilfe dieser Option können Sie die Chiffren steuern und die Übereinstimmung der SSL-Konfiguration mit Ihren Richtlinien herstellen. Nachdem der UNIX- und der Linux-Agent von Operations Manager auf jedem verwalteten Computer installiert wurde, muss die Konfigurationsoption anhand der im nächsten Abschnitt beschriebenen Verfahren festgelegt werden. Operations Manager bietet keine automatische oder integrierte Möglichkeit, diese Konfigurationen anzuwenden. Jede organization muss die Konfiguration mithilfe eines externen Mechanismus ausführen, der für sie am besten geeignet ist.

Festlegen der Konfigurationsoption „sslCipherSuite“

Die SSL-Chiffren für Port 1270 werden durch Festlegen der Option sslciphersuite in der OMI-Konfigurationsdatei omiserver.confgesteuert. Die Datei omiserver.conf befindet sich im Verzeichnis .

Das Format für die Option „sslciphersuite“ in dieser Datei lautet folgendermaßen:

sslciphersuite=<cipher spec>  

Wobei <die Verschlüsselungsspezifikation> die zulässigen, nicht zulässigen Verschlüsselungen und die Reihenfolge angibt, in der die zulässigen Verschlüsselungen ausgewählt werden.

Das Format für <cipher spec> ist mit dem Format für die Option < in Apache HTTP Server, Version 2.0, identisch. Detaillierte Informationen finden Sie unter SSLCipherSuite Directive (SSLCipherSuite-Direktive) in der Apache-Dokumentation. Alle Informationen auf dieser Website werden vom Besitzer oder den Benutzern der Website bereitgestellt. Microsoft übernimmt bezüglich der Informationen auf dieser Website keine Gewährleistungen, weder ausdrücklich noch konkludent oder gesetzlich geregelt.

Nachdem Sie die Konfigurationsoption sslCipherSuite festgelegt haben, müssen Sie den UNIX- und Linux-Agent neu starten, damit die Änderung wirksam wird. Führen Sie für den Neustart des UNIX- und Linux-Agents den nachfolgenden Befehl aus, der sich im Verzeichnis /etc/opt/microsoft/scx/bin/tools befindet.

. setup.sh  
scxadmin -restart  

Aktivieren oder Deaktivieren der TLS-Protokollversionen

Für System Center – Operations Manager befindet sich „omiserver.conf“ hier: /etc/opt/omi/conf/omiserver.conf

Die folgenden Flags müssen festgelegt werden, um die TLS-Protokollversionen zu aktivieren/deaktivieren. Weitere Informationen finden Sie unter Configuring OMI Server (Konfigurieren des OMI Servers).

Eigenschaft	Zweck
NoTLSv1_0	TRUE gibt an, dass das TLSv1.0-Protokoll deaktiviert ist.
NoTLSv1_1	Wenn der Wert TRUE ist und auf der Plattform das TLSv1.1-Protokoll verfügbar ist, wird es deaktiviert.
NoTLSv1_2	Wenn der Wert TRUE ist und auf der Plattform das TLSv1.2-Protokoll verfügbar ist, wird es deaktiviert.

Aktivieren oder Deaktivieren des SSLv3-Protokolls

Operations Manager kommuniziert mit UNIX- und Linux-Agents über HTTPS und verwendet hierbei entweder die TLS- oder die SSL-Verschlüsselung. Der SSL-Handshake-Prozess handelt die stärkste Verschlüsselung aus, die jeweils auf dem Agent und dem Verwaltungsserver verfügbar ist. Möglicherweise möchten Sie SSLv3 verbieten, damit ein Agent, der die TLS-Verschlüsselung nicht aushandeln kann, nicht auf SSLv3 zurückfällt.

Für System Center – Operations Manager befindet sich „omiserver.conf“ hier: /etc/opt/omi/conf/omiserver.conf

So deaktivieren Sie SSLv3

Ändern Sie „omiserver.conf“, indem Sie die Zeile NoSSLv3 folgendermaßen festlegen:

So aktivieren Sie SSLv3

Ändern Sie „omiserver.conf“, indem Sie die Zeile NoSSLv3 folgendermaßen festlegen:

Unterstützungsmatrix für Verschlüsselungssammlungen

Distribution	Kernel	OpenSSL-Version	Höchste unterstützte/bevorzugte Sammlung von Verschlüsselungsverfahren	Index für das Verschlüsselungsverfahren
Red Hat Enterprise Linux Server 7.5 (Maipo)	Linux 3.10.0-862.el7.x86_64	OpenSSL 1.0.2k-fips (26. Januar 2017)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa)	Linux 4.18.0-240.el8.x86_64	OpenSSL 1.1.1g FIPS (21 Apr 2020)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0, 0x30 }
Oracle Linux Server Release 6.10	Linux4.1.12-124.16.4.el6uek.x86_64	OpenSSL 1.0.1e-fips (11. Februar 2013)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Oracle Linux Server 7.9	Linux 5.4.17-2011.6.2.el7uek.x86_64	OpenSSL 1.0.2k-fips (26. Januar 2017)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Oracle Linux Server 8.3	Linux 5.4.17-2011.7.4.el8uek.x86_64	OpenSSL 1.1.1g FIPS (21 Apr 2020)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0, 0x30 }
CentOS Linux 8 (Core)	Linux 4.18.0-193.el8.x86_64	OpenSSL 1.1.1c FIPS (28. Mai 2019)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0, 0x30 }
Ubuntu 16.04.5 LTS	Linux 4.4.0-131-generic	OpenSSL 1.0.2g (1. März 2016)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Ubuntu 18.10	Linux 4.18.0-25-generic	OpenSSL 1.1.1 (11 Sep 2018)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0, 0x30 }
Ubuntu 20.04 LTS	Linux 5.4.0-52-generic	OpenSSL 1.1.1f (31. März 2020)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5	Linux 4.12.14-120-default	OpenSSL 1.0.2p-fips (14 Aug 2018)	TLS_RSA_WITH_AES_256_GCM_SHA384	{ 0x00, 0x9D }
Debian GNU/Linux 10 (Buster)	Linux 4.19.0-13-amd64	OpenSSL 1.1.1d (10 Sep 2019)	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	{ 0xC0, 0x30 }

Verschlüsselungsverfahren, MAC-Algorithmen und Schlüsselaustauschalgorithmen

In System Center Operations Manager 2016 und höher werden die folgenden Verschlüsselungsverfahren, MAC-Algorithmen und Schlüsselaustauschalgorithmen vom System Center Operations Manager-SSH-Modul angeboten.

Vom SCOM SSH-Modul bereitgestellte Verschlüsselungsverfahren:

• aes256-ctr
• aes256-cbc
• aes192-ctr
• aes192-cbc
• aes128-ctr
• aes128-cbc
• 3des-ctr
• 3des-cbc

Vom SCOM SSH-Modul bereitgestellte MAC-Algorithmen:

• hmac-sha10
• hmac-sha1-96
• hmac-sha2-256

Vom SCOM SSH-Modul bereitgestellte Schlüsselaustauschalgorithmen:

• diffie-hellman-group-exchange-sha256
• diffie-hellman-group-exchange-sha1
• diffie-hellman-group14-sha1
• diffie-hellman-group14-sha256
• diffie-hellman-group1-sha1
• ecdh-sha2-nistp256
• ecdh-sha2-nistp384
• ecdh-sha2-nistp521

Deaktivierte SSL-Neuverhandlung in Linux-Agent

Für den Linux-Agent sind SSL-Neuverhandlungen deaktiviert.

SSL-Neuverhandlungen können zu einer Sicherheitslücke in SCOM-Linux Agent führen, die es remote Angreifern erleichtern kann, einen Denial-of-Service zu verursachen, indem sie viele Neuverhandlungen innerhalb einer einzigen Verbindung ausführen.

Der Linux-Agent verwendet Open Source OpenSSL für SSL-Zwecke.

Die folgenden Versionen werden nur für die Neuverhandlung unterstützt:

• OpenSSL <= 1.0.2
• OpenSSL >= 1.1.0h

Für Die OpenSSL-Versionen 1.10 bis 1.1.0g können Sie die Neuverhandlung nicht deaktivieren, da OpenSSL keine Neuverhandlung unterstützt.

Nächste Schritte

• Informationen zum Authentifizieren und Überwachen Ihrer UNIX- und Linux-Computer finden Sie unter Anmeldeinformationen, die Sie für den Zugriff auf UNIX- und Linux-Computer benötigen.

• Informationen zum Konfigurieren von Operations Manager für die Authentifizierung bei Ihren UNIX- und Linux-Computern finden Sie unter Festlegen von Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer.

• Informationen zum Erhöhen eines nicht privilegierten Kontos für die effektive Überwachung von UNIX- und Linux-Computern finden Sie unter Konfigurieren von sudo Elevation- und SSH-Schlüsseln.