Configuration du chiffrement SSL
Important
Cette version d’Operations Manager a atteint la fin du support. Nous vous recommandons de mettre à niveau vers Operations Manager 2022.
System Center - Operations Manager gère correctement les ordinateurs UNIX et Linux sans apporter de modifications à la configuration de chiffrement SSL (Secure Sockets Layer) par défaut. Pour la plupart des organisations, la configuration par défaut est acceptable, mais vous devez vérifier les stratégies de sécurité de votre organisation pour déterminer si des modifications sont nécessaires.
Utilisation de la configuration de chiffrement SSL
Les agents UNIX et Linux d’Operations Manager communiquent avec le serveur d’administration Operations Manager en acceptant les demandes sur le port 1270 et en fournissant des informations en réponse à ces demandes. Les demandes sont effectuées en utilisant le protocole WS-Management qui s'exécute sur une connexion SSL.
Lorsque la connexion SSL est établie pour la première fois pour chaque demande, le protocole SSL standard négocie l'algorithme de chiffrement, connu comme un chiffrement pour la connexion à utiliser. Pour Operations Manager, le serveur d'administration négocie toujours l’utilisation d’un chiffrement de niveau supérieur pour qu’un chiffrement renforcé soit utilisé sur la connexion réseau entre le serveur d'administration et l'ordinateur UNIX ou Linux.
La configuration du chiffrement SSL par défaut sur l'ordinateur UNIX ou Linux est régie par le package SSL installé dans le cadre du système d'exploitation. La configuration de chiffrement SSL autorise généralement les connexions avec différents chiffrements, y compris des chiffrements plus anciens de plus faible puissance. Bien qu’Operations Manager n’utilise pas ces chiffrements de puissance inférieure, le fait d’ouvrir le port 1270 avec la possibilité d’utiliser un chiffrement à force inférieure contredit la stratégie de sécurité de certaines organisations.
Si la configuration du chiffrement SSL par défaut est conforme à la stratégie de sécurité de votre organisation, aucune action n'est nécessaire.
Si la configuration du chiffrement SSL par défaut est en conflit avec la stratégie de sécurité de votre organisation, l'agent UNIX et Linux d’Operations Manager propose une option de configuration permettant de spécifier les chiffrements que SSL peut accepter sur le port 1270. Cette option permet de contrôler les chiffrements et de rendre la configuration SSL conforme à vos stratégies. Une fois les agents UNIX et Linux d’Operations Manager installés sur chaque ordinateur managé, l’option de configuration doit être définie à l’aide des procédures décrites dans la section suivante. Operations Manager ne fournit pas de manière automatique ou intégrée pour appliquer ces configurations ; chaque organization doit effectuer la configuration à l’aide d’un mécanisme externe qui lui convient le mieux.
Définition de l’option de configuration sslCipherSuite
Le contrôle des chiffrements SSL pour le port 1270 s'effectue en définissant l'option sslciphersuite dans le fichier de configuration OMI, omiserver.conf. Le fichier omiserver.conf est situé dans le répertoire .
L'option sslciphersuite contenue dans ce fichier présente le format suivant :
sslciphersuite=<cipher spec>
Où <la spécification> de chiffrement spécifie les chiffrements autorisés, interdits et l’ordre dans lequel les chiffrements autorisés sont choisis.
Le format de <cipher spec> est le même que celui de l’option < dans Apache HTTP Server version 2.0. Pour plus d'informations, consultez Directive SSLCipherSuite dans la documentation d'Apache. Toutes les informations sur ce site sont fournies par le propriétaire ou les utilisateurs du site. Microsoft n'apporte aucune garantie, expresse, implicite ou légale, quant aux informations contenues sur ce site web.
Après avoir défini l'option de configuration sslCipherSuite , vous devez redémarrer l'agent UNIX et Linux pour que la modification prenne effet. Pour redémarrer l'agent UNIX et Linux, exécutez la commande suivante, qui se trouve dans le répertoire /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Activation ou désactivation des versions du protocole TLS
Pour System Center - Operations Manager, omiserver.conf se trouve dans : /etc/opt/omi/conf/omiserver.conf
Les indicateurs suivants doivent être définis pour activer/désactiver les versions du protocole TLS. Pour plus d’informations, consultez Configuration du serveur OMI.
| Propriété | Objectif |
|---|---|
| NoTLSv1_0 | Si la valeur est true, le protocole TLSv1.0 est désactivé. |
| NoTLSv1_1 | Si la valeur est true et s’il est disponible sur la plateforme, le protocole TLSv 1.1 est désactivé. |
| NoTLSv1_2 | Si la valeur est true et s’il est disponible sur la plateforme, le protocole TLSv 1.2 est désactivé. |
Activation ou désactivation du protocole SSLv3
Operations Manager communique avec les agents UNIX et Linux sur HTTPS, à l’aide du chiffrement SSL ou TLS. Le processus de négociation SSL négocie le chiffrement le plus fort mutuellement disponible sur l’agent et le serveur d’administration. Vous souhaiterez peut-être interdire SSLv3 afin qu’un agent qui ne peut pas négocier le chiffrement TLS ne retombe pas sur SSLv3.
Pour System Center - Operations Manager, omiserver.conf se trouve dans : /etc/opt/omi/conf/omiserver.conf
Pour désactiver SSLv3
Modifiez omiserver.conf, définissez la ligne NoSSLv3 comme suit :
Pour activer SSLv3
Modifiez omiserver.conf, définissez la ligne NoSSLv3 comme suit :
Notes
La mise à jour suivante s’applique à Operations Manager 2019 UR3 et ultérieur.
Matrice de prise en charge des suites de chiffrement
| Distribution | Noyau | Version OpenSSL | Suite de chiffrement la plus élevée prise en charge/suite de chiffrement préférée | Index de chiffrement |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 janvier 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 avr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server version 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 février 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 janvier 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 avr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 mai 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mars 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mars 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 août 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Chiffrements, algorithmes MAC et algorithmes d’échange de clés
Dans System Center Operations Manager 2016 et versions ultérieures, les chiffrements, les algorithmes MAC et les algorithmes d’échange de clés ci-dessous sont présentés par le module SSH System Center Operations Manager.
Chiffrements proposés par le module SCOM SSH :
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algorithmes MAC proposés par le module SCOM SSH :
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algorithmes d’échange de clés proposés par le module SCOM SSH :
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Renégociations SSL désactivées dans l'agent Linux
Pour l’agent Linux, les renégociations SSL sont désactivées.
Les renégociations SSL peuvent entraîner une vulnérabilité dans SCOM-Linux agent, ce qui peut faciliter la tâche des attaquants distants pour provoquer un déni de service en effectuant de nombreuses renégociations au sein d’une même connexion.
L’agent Linux utilise OpenSSL open source pour SSL.
Les versions suivantes sont prises en charge pour la renégociation uniquement :
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Pour OpenSSL versions 1.10 - 1.1.0g, vous ne pouvez pas désactiver la renégociation, car OpenSSL ne prend pas en charge la renégociation.
Étapes suivantes
Pour comprendre comment authentifier et surveiller vos ordinateurs UNIX et Linux, consultez Informations d’identification que vous devez avoir pour accéder aux ordinateurs UNIX et Linux.
Pour configurer Operations Manager afin qu’il s’authentifie auprès de vos ordinateurs UNIX et Linux, consultez Définition des informations d’identification pour l’accès aux ordinateurs UNIX et Linux.
Pour comprendre comment élever un compte non privilégié pour une surveillance efficace des ordinateurs UNIX et Linux, consultez Guide pratique pour configurer l’élévation sudo et les clés SSH.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour