Konfigurieren von SSL-Verschlüsselungen
Wichtig
Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.
System Center – Operations Manager ermöglicht eine korrekte Verwaltung von UNIX- und Linux-Computern, ohne dass Änderungen an der standardmäßigen SSL-Verschlüsselungskonfiguration (Secure Sockets Layer) vorgenommen werden müssen. Für die meisten Organisationen ist die Standardkonfiguration akzeptabel, Sie sollten aber die Sicherheitsrichtlinien Ihrer Organisation überprüfen, um festzustellen, ob Änderungen erforderlich sind.
Verwenden der SSL-Verschlüsselungskonfiguration
Der UNIX- und Linux-Agent von Operations Manager kommuniziert mit dem Operations Manager-Verwaltungsserver, indem Anforderungen an Port 1270 akzeptiert und Informationen als Antwort auf diese Anforderungen bereitgestellt werden. Anforderungen werden mit dem WS-Management-Protokoll erstellt, das auf einer SSL-Verbindung ausgeführt wird.
Wenn die SSL-Verbindung zum ersten Mal für jede Anforderung hergestellt wird, handelt das standardmäßige SSL-Protokoll den Verschlüsselungsalgorithmus (der als Chiffre bezeichnet wird) für die zu verwendende Verbindung aus. Für Operations Manager handelt der Verwaltungsserver immer die Verwendung einer hohen Chiffrierstärke aus, damit eine starke Verschlüsselung für die Netzwerkverbindung zwischen dem Verwaltungsserver und dem UNIX- oder Linux-Computer verwendet wird.
Die standardmäßige SSL-Chiffrekonfiguration auf UNIX- oder Linux-Computern wird durch das SSL-Paket gesteuert, das als Teil des Betriebssystems installiert ist. Die SSL-Verschlüsselungskonfiguration lässt in der Regel Verbindungen mit verschiedenen Verschlüsselungen zu, einschließlich älteren Verschlüsselungen mit geringerer Stärke. Während Operations Manager diese Verschlüsselungen mit niedrigerer Stärke nicht verwendet, widerspricht es der Sicherheitsrichtlinie einiger Organisationen, wenn Port 1270 geöffnet ist und die Möglichkeit besteht, eine Verschlüsselung mit niedrigerer Stärke zu verwenden.
Wenn die standardmäßige SSL-Verschlüsselungskonfiguration die Sicherheitsrichtlinie Ihrer Organisation erfüllt, müssen Sie keine Maßnahmen ergreifen.
Wenn die standardmäßige SSL-Verschlüsselungskonfiguration der Sicherheitsrichtlinie Ihrer Organisation widerspricht, bietet der UNIX- und Linux-Agent von Operations Manager eine Konfigurationsoption zur Angabe der Verschlüsselungsverfahren, die SSL an Port 1270 akzeptieren kann. Mithilfe dieser Option können Sie die Chiffren steuern und die Übereinstimmung der SSL-Konfiguration mit Ihren Richtlinien herstellen. Nachdem der UNIX- und der Linux-Agent von Operations Manager auf jedem verwalteten Computer installiert wurde, muss die Konfigurationsoption anhand der im nächsten Abschnitt beschriebenen Verfahren festgelegt werden. Operations Manager bietet keine automatische oder integrierte Möglichkeit, diese Konfigurationen anzuwenden. Jede organization muss die Konfiguration mithilfe eines externen Mechanismus ausführen, der für sie am besten geeignet ist.
Festlegen der Konfigurationsoption „sslCipherSuite“
Die SSL-Chiffren für Port 1270 werden durch Festlegen der Option sslciphersuite in der OMI-Konfigurationsdatei omiserver.confgesteuert. Die Datei omiserver.conf befindet sich im Verzeichnis .
Das Format für die Option „sslciphersuite“ in dieser Datei lautet folgendermaßen:
sslciphersuite=<cipher spec>
Wobei <die Verschlüsselungsspezifikation> die zulässigen, nicht zulässigen Verschlüsselungen und die Reihenfolge angibt, in der die zulässigen Verschlüsselungen ausgewählt werden.
Das Format für <cipher spec> ist mit dem Format für die Option < in Apache HTTP Server, Version 2.0, identisch. Detaillierte Informationen finden Sie unter SSLCipherSuite Directive (SSLCipherSuite-Direktive) in der Apache-Dokumentation. Alle Informationen auf dieser Website werden vom Besitzer oder den Benutzern der Website bereitgestellt. Microsoft übernimmt bezüglich der Informationen auf dieser Website keine Gewährleistungen, weder ausdrücklich noch konkludent oder gesetzlich geregelt.
Nachdem Sie die Konfigurationsoption sslCipherSuite festgelegt haben, müssen Sie den UNIX- und Linux-Agent neu starten, damit die Änderung wirksam wird. Führen Sie für den Neustart des UNIX- und Linux-Agents den nachfolgenden Befehl aus, der sich im Verzeichnis /etc/opt/microsoft/scx/bin/tools befindet.
. setup.sh
scxadmin -restart
Aktivieren oder Deaktivieren der TLS-Protokollversionen
Für System Center – Operations Manager befindet sich „omiserver.conf“ hier: /etc/opt/omi/conf/omiserver.conf
Die folgenden Flags müssen festgelegt werden, um die TLS-Protokollversionen zu aktivieren/deaktivieren. Weitere Informationen finden Sie unter Configuring OMI Server (Konfigurieren des OMI Servers).
Eigenschaft | Zweck |
---|---|
NoTLSv1_0 | TRUE gibt an, dass das TLSv1.0-Protokoll deaktiviert ist. |
NoTLSv1_1 | Wenn der Wert TRUE ist und auf der Plattform das TLSv1.1-Protokoll verfügbar ist, wird es deaktiviert. |
NoTLSv1_2 | Wenn der Wert TRUE ist und auf der Plattform das TLSv1.2-Protokoll verfügbar ist, wird es deaktiviert. |
Aktivieren oder Deaktivieren des SSLv3-Protokolls
Operations Manager kommuniziert mit UNIX- und Linux-Agents über HTTPS und verwendet hierbei entweder die TLS- oder die SSL-Verschlüsselung. Der SSL-Handshake-Prozess handelt die stärkste Verschlüsselung aus, die jeweils auf dem Agent und dem Verwaltungsserver verfügbar ist. Möglicherweise möchten Sie SSLv3 verbieten, damit ein Agent, der die TLS-Verschlüsselung nicht aushandeln kann, nicht auf SSLv3 zurückfällt.
Für System Center – Operations Manager befindet sich „omiserver.conf“ hier: /etc/opt/omi/conf/omiserver.conf
So deaktivieren Sie SSLv3
Ändern Sie „omiserver.conf“, indem Sie die Zeile NoSSLv3 folgendermaßen festlegen:
So aktivieren Sie SSLv3
Ändern Sie „omiserver.conf“, indem Sie die Zeile NoSSLv3 folgendermaßen festlegen:
Hinweis
Das folgende Update gilt ab Operations Manager 2019 UR3.
Unterstützungsmatrix für Verschlüsselungssammlungen
Distribution | Kernel | OpenSSL-Version | Höchste unterstützte/bevorzugte Sammlung von Verschlüsselungsverfahren | Index für das Verschlüsselungsverfahren |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26. Januar 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 Apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Oracle Linux Server Release 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11. Februar 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26. Januar 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 Apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28. Mai 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1. März 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 Sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31. März 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 Aug 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10 (Buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 Sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Verschlüsselungsverfahren, MAC-Algorithmen und Schlüsselaustauschalgorithmen
In System Center Operations Manager 2016 und höher werden die folgenden Verschlüsselungsverfahren, MAC-Algorithmen und Schlüsselaustauschalgorithmen vom System Center Operations Manager-SSH-Modul angeboten.
Vom SCOM SSH-Modul bereitgestellte Verschlüsselungsverfahren:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Vom SCOM SSH-Modul bereitgestellte MAC-Algorithmen:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Vom SCOM SSH-Modul bereitgestellte Schlüsselaustauschalgorithmen:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Deaktivierte SSL-Neuverhandlung in Linux-Agent
Für den Linux-Agent sind SSL-Neuverhandlungen deaktiviert.
SSL-Neuverhandlungen können zu einer Sicherheitslücke in SCOM-Linux Agent führen, die es remote Angreifern erleichtern kann, einen Denial-of-Service zu verursachen, indem sie viele Neuverhandlungen innerhalb einer einzigen Verbindung ausführen.
Der Linux-Agent verwendet Open Source OpenSSL für SSL-Zwecke.
Die folgenden Versionen werden nur für die Neuverhandlung unterstützt:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Für Die OpenSSL-Versionen 1.10 bis 1.1.0g können Sie die Neuverhandlung nicht deaktivieren, da OpenSSL keine Neuverhandlung unterstützt.
Nächste Schritte
Informationen zum Authentifizieren und Überwachen Ihrer UNIX- und Linux-Computer finden Sie unter Anmeldeinformationen, die Sie für den Zugriff auf UNIX- und Linux-Computer benötigen.
Informationen zum Konfigurieren von Operations Manager für die Authentifizierung bei Ihren UNIX- und Linux-Computern finden Sie unter Festlegen von Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer.
Informationen zum Erhöhen eines nicht privilegierten Kontos für die effektive Überwachung von UNIX- und Linux-Computern finden Sie unter Konfigurieren von sudo Elevation- und SSH-Schlüsseln.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für