Configuration des chiffrements SSL
System Center - Operations Manager gère correctement les ordinateurs UNIX et Linux sans modification de la configuration de chiffrement SSL (Secure Sockets Layer) par défaut. Pour la plupart des organisations, la configuration par défaut est acceptable, mais vous devez vérifier les stratégies de sécurité de votre organisation pour déterminer si des modifications sont requises.
Utilisation de la configuration de chiffrement SSL
Les agents UNIX et Linux d’Operations Manager communiquent avec le serveur d’administration Operations Manager en acceptant les demandes sur le port 1270 et en fournissant des informations en réponse à ces demandes. Les demandes sont effectuées en utilisant le protocole WS-Management qui s'exécute sur une connexion SSL.
Lorsque la connexion SSL est établie pour la première fois pour chaque demande, le protocole SSL standard négocie l'algorithme de chiffrement, connu comme un chiffrement pour la connexion à utiliser. Pour Operations Manager, le serveur d’administration négocie toujours l’utilisation d’un chiffrement haute puissance afin que le chiffrement fort soit utilisé sur la connexion réseau entre le serveur d’administration et l’ordinateur UNIX ou Linux.
La configuration du chiffrement SSL par défaut sur l'ordinateur UNIX ou Linux est régie par le package SSL installé dans le cadre du système d'exploitation. La configuration de chiffrement SSL autorise généralement les connexions avec différents chiffrements, y compris les chiffrements plus anciens de plus faible puissance. Bien que Operations Manager n’utilise pas ces chiffrements de force inférieure, le port 1270 ouvert avec la possibilité d’utiliser un chiffrement de force inférieure contredit la stratégie de sécurité de certaines organisations.
Si la configuration de chiffrement SSL par défaut répond à la stratégie de sécurité de votre organisation, aucune action n’est nécessaire.
Si la configuration de chiffrement SSL par défaut contredit la stratégie de sécurité de votre organisation, l’agent Operations Manager UNIX et Linux fournit une option de configuration pour spécifier les chiffrements que SSL peut accepter sur le port 1270. Cette option permet de contrôler les chiffrements et de rendre la configuration SSL conforme à vos stratégies. Une fois les agents UNIX et Linux d’Operations Manager installés sur chaque ordinateur managé, l’option de configuration doit être définie à l’aide des procédures décrites dans la section suivante. Operations Manager ne fournit aucune façon automatique ou intégrée d’appliquer ces configurations ; chaque organisation doit effectuer la configuration à l’aide d’un mécanisme externe qui fonctionne le mieux pour elle.
Définition de l’option de configuration sslCipherSuite
Le contrôle des chiffrements SSL pour le port 1270 s'effectue en définissant l'option sslciphersuite dans le fichier de configuration OMI, omiserver.conf. Le fichier omiserver.conf se trouve dans le répertoire /etc/opt/omi/conf/.
L'option sslciphersuite contenue dans ce fichier présente le format suivant :
sslciphersuite=<cipher spec>
Où <les spécifications> de chiffrement spécifient les chiffrements autorisés, interdits et l’ordre dans lequel les chiffrements autorisés sont choisis.
Le format des <spécifications> de chiffrement est identique au format de l’option sslCipherSuite dans apache HTTP Server version 2.0. Pour plus d'informations, consultez Directive SSLCipherSuite dans la documentation d'Apache. Toutes les informations sur ce site sont fournies par le propriétaire ou les utilisateurs du site web. Microsoft n'apporte aucune garantie, expresse, implicite ou légale, quant aux informations contenues sur ce site Web.
Après avoir défini l'option de configuration sslCipherSuite , vous devez redémarrer l'agent UNIX et Linux pour que la modification prenne effet. Pour redémarrer l'agent UNIX et Linux, exécutez la commande suivante, qui se trouve dans le répertoire /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Activation ou désactivation des versions du protocole TLS
Pour System Center – Operations Manager, omiserver.conf se trouve à l’adresse suivante : /etc/opt/omi/conf/omiserver.conf
Les indicateurs suivants doivent être définis pour activer/désactiver les versions du protocole TLS. Pour plus d’informations, consultez Configuration du serveur OMI.
| Propriété | Objectif |
|---|---|
| NoTLSv1_0 | Lorsque la valeur est true, le protocole TLSv1.0 est désactivé. |
| NoTLSv1_1 | Lorsque la valeur est true et si elle est disponible sur la plateforme, le protocole TLSv1.1 est désactivé. |
| NoTLSv1_2 | Quand la valeur est true et si elle est disponible sur la plateforme, le protocole TLSv1.2 est désactivé. |
Activation ou désactivation du protocole SSLv3
Operations Manager communique avec les agents UNIX et Linux via HTTPS, à l’aide du chiffrement TLS ou SSL. Le processus de négociation SSL négocie le chiffrement le plus fort qui est mutuellement disponible sur l’agent et le serveur d’administration. Vous pouvez interdire SSLv3 afin qu’un agent qui ne puisse pas négocier le chiffrement TLS ne revient pas à SSLv3.
Pour System Center – Operations Manager, omiserver.conf se trouve à l’adresse suivante : /etc/opt/omi/conf/omiserver.conf
Pour désactiver SSLv3
Modifiez omiserver.conf, définissez la ligne NoSSLv3 sur : NoSSLv3=true
Pour activer SSLv3
Modifiez omiserver.conf, définissez la ligne NoSSLv3 sur : NoSSLv3=false
Remarque
La mise à jour suivante s’applique à Operations Manager 2019 UR3 et ultérieur.
Matrice de prise en charge des suites de chiffrement
| Distribution | Noyau | Version OpenSSL | Suite de chiffrement la plus élevée prise en charge/suite de chiffrement préférée | Index de chiffrement |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 janvier 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 avril 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server version 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 février 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 janvier 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 avril 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 mai 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mars 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 septembre 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mars 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 août 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 septembre 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Chiffrements, algorithmes MAC et algorithmes d’échange de clés
Dans System Center Operations Manager 2016 et versions ultérieures, les chiffrements, les algorithmes MAC et les algorithmes d’échange de clés ci-dessous sont présentés par le module SSH System Center Operations Manager.
Chiffrements proposés par le module SCOM SSH :
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algorithmes MAC proposés par le module SCOM SSH :
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algorithmes d’échange de clés proposés par le module SCOM SSH :
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Renégociations SSL désactivées dans l’agent Linux
Pour l’agent Linux, les renégociations SSL sont désactivées.
Les renégociations SSL peuvent entraîner une vulnérabilité dans l’agent SCOM-Linux, ce qui peut faciliter l’exécution d’un déni de service par les attaquants distants en effectuant de nombreuses renégociations au sein d’une seule connexion.
L’agent Linux utilise opensource OpenSSL à des fins SSL.
Les versions suivantes sont prises en charge pour la renégociation uniquement :
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Pour OpenSSL versions 1.10 - 1.1.0g, vous ne pouvez pas désactiver la renégociation, car OpenSSL ne prend pas en charge la renégociation.
Étapes suivantes
Pour comprendre comment authentifier et surveiller vos ordinateurs UNIX et Linux, passez en revue les informations d’identification dont vous avez besoin pour accéder aux ordinateurs UNIX et Linux.
Pour configurer Operations Manager pour s’authentifier auprès de vos ordinateurs UNIX et Linux, consultez Comment définir des informations d’identification pour accéder aux ordinateurs UNIX et Linux.
Pour comprendre comment élever un compte non privilégié pour une surveillance efficace des ordinateurs UNIX et Linux, consultez Comment configurer l’élévation sudo et les clés SSH.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour