Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
System Center – Az Operations Manager megfelelően kezeli a UNIX és Linux rendszerű számítógépeket az alapértelmezett SSL-titkosítási konfiguráció módosítása nélkül. A legtöbb szervezet esetében az alapértelmezett konfiguráció elfogadható, de ellenőrizze a szervezet biztonsági szabályzatait, hogy szükség van-e módosításokra.
Az SSL titkosítási konfigurációjának használata
Az Operations Manager UNIX és Linux-ügynök az Operations Manager felügyeleti kiszolgálóval az 1270-s porton érkező kérések elfogadásával és a kérésekre adott információk megadásával kommunikál. A kérések az SSL-kapcsolaton futó WS-Management protokoll használatával jönnek létre.
Amikor az SSL-kapcsolat először létrejön minden egyes kéréshez, a standard SSL-protokoll egyezteti a titkosítási algoritmust, amelyet a használni kívánt kapcsolat titkosításának neveznek. Az Operations Manager esetében a felügyeleti kiszolgáló mindig nagy szilárdságú titkosítást használ, hogy erős titkosítást használjon a felügyeleti kiszolgáló és a UNIX vagy Linux rendszerű számítógép közötti hálózati kapcsolaton.
A UNIX vagy Linux rendszerű számítógépek alapértelmezett SSL-titkosítási konfigurációját az operációs rendszer részeként telepített SSL-csomag szabályozza. Az SSL-titkosítás konfigurációja általában lehetővé teszi a különböző titkosításokkal való kapcsolatokat, beleértve az alacsonyabb erősségű régebbi titkosításokat is. Bár az Operations Manager nem használja ezeket az alacsonyabb erősségű titkosításokat, az 1270-es port nyitva tartása és az alacsonyabb erősségű titkosítás használatának lehetősége ellentmond egyes szervezetek biztonsági szabályzatának.
Ha az alapértelmezett SSL-titkosítási konfiguráció megfelel a szervezet biztonsági szabályzatának, nincs szükség műveletre.
Ha az alapértelmezett SSL-titkosítási konfiguráció ellentmond a szervezet biztonsági szabályzatának, az Operations Manager UNIX és Linux-ügynöke konfigurációs lehetőséget biztosít az SSL által az 1270-s porton elfogadható titkosítások megadására. Ezzel a beállítással szabályozhatja a titkosításokat, és konfigurálhatja az SSL-konfigurációt a szabályzatainak megfelelően. Miután az Operations Manager UNIX- és Linux-ügynököt telepítette minden felügyelt számítógépre, a konfigurációs beállítást a következő szakaszban ismertetett eljárásokkal kell beállítani. Az Operations Manager nem biztosít automatikus vagy beépített módot ezeknek a konfigurációknak az alkalmazására; minden szervezetnek egy olyan külső mechanizmussal kell elvégeznie a konfigurációt, amely a legjobban működik.
Az sslCipherSuite konfigurációs beállításának beállítása
Az 1270-s port SSL-titkosításait az sslciphersuite beállításával lehet szabályozni az OMI konfigurációs fájlban, omiserver.conf. Az omiserver.conf fájl az /etc/opt/omi/conf/könyvtárban található.
Az sslciphersuite beállítás formátuma ebben a fájlban a következő:
sslciphersuite=<cipher spec>
Ahol <titkosítási specifikációs> megadja az engedélyezett, letiltott és az engedélyezett titkosítások kiválasztásának sorrendjét.
A titkosítási<>formátuma megegyezik az Apache HTTP Server 2.0-s verziójában található sslCipherSuite beállítás formátumával. Részletes információkért lásd SSLCipherSuite irányelv az Apache dokumentációjában. A webhelyen található összes információt a webhely tulajdonosa vagy felhasználói adják meg. A Microsoft nem vállal szavatosságot, sem kifejezett, sem hallgatólagos, sem törvényben előírt szavatosságot a webhely információira vonatkozóan.
Az sslCipherSuite konfigurációs beállítás beállítása után újra kell indítania a UNIX- és Linux-ügynököt a módosítás érvénybe lépéséhez. A UNIX- és Linux-ügynök újraindításához futtassa a következő parancsot, amely a /etc/opt/microsoft/scx/bin/tools könyvtárban található.
. setup.sh
scxadmin -restart
A TLS protokollverziók engedélyezése vagy letiltása
A System Center – Operations Manager esetében az omiserver.conf a következő helyen található: /etc/opt/omi/conf/omiserver.conf
A TLS protokollverziók engedélyezéséhez/letiltásához az alábbi jelzőket kell beállítani. További információ: OMI-kiszolgálókonfigurálása.
| Ingatlan | Cél |
|---|---|
| NoTLSv1_0 | Ha igaz, a TLSv1.0 protokoll le van tiltva. |
| NoTLSv1_1 | Ha igaz, és a platformon elérhető, a TLSv1.1 protokoll le van tiltva. |
| NoTLSv1_2 | Ha igaz, és a platformon elérhető, a TLSv1.2 protokoll le van tiltva. |
Az SSLv3 protokoll engedélyezése vagy letiltása
Az Operations Manager HTTPS-en keresztül kommunikál UNIX- és Linux-ügynökökkel TLS vagy SSL-titkosítás használatával. Az SSL-kézfogás folyamán a legjobb közösen elérhető titkosítást egyeztetik az ügynökön és a felügyeleti kiszolgálón. Érdemes lehet letiltani az SSLv3-at, hogy a TLS-titkosítást nem tárgyaló ügynök ne térjen vissza az SSLv3-ra.
A System Center – Operations Manager esetében az omiserver.conf a következő helyen található: /etc/opt/omi/conf/omiserver.conf
Az SSLv3 letiltása
Módosítsa az omiserver.conf fájlt, állítsa a NoSSLv3 sort a következőre: NoSSLv3=true
Az SSLv3 engedélyezése
Módosítsa az omiserver.conf fájlt, állítsa a NoSSLv3 sort a következőre: NoSSLv3=false
Jegyzet
Az alábbi frissítés az Operations Manager 2019 UR3 és újabb verziójára vonatkozik.
A Cipher Suite támogatási mátrixa
| Linux disztribúció | Kernel | OpenSSL-verzió | Legmagasabb támogatott titkosítási csomag/Előnyben részesített titkosítási csomag | Titkosítási index |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (2017. január 26.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (2020.04.21.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server 6.10-es kiadás | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (2013. február 11.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (2017. január 26.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (2020.04.21.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (2019. május 28.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (2016. március 1.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (2018. szeptember 11.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (2020. március 31.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (2018. augusztus 14.) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (2019. szeptember 10.) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Titkosítások, MAC-algoritmusok és kulcscsere-algoritmusok
A System Center Operations Manager 2016-os és újabb verzióiban az alábbi titkosításokat, MAC-algoritmusokat és kulcscsere-algoritmusokat a System Center Operations Manager SSH modulja mutatja be.
SCOM SSH-modul által kínált titkosítások:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH-modul által kínált MAC-algoritmusok:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH-modul által kínált kulcscsere-algoritmusok:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256 (Diffie-Hellman-csoport14-sha256)
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Letiltott SSL-újratárgyalás a Linux-kliensen
A Linux-ügynök esetében az SSL-újratárgyalások le vannak tiltva.
Az SSL-újratárgyalások biztonsági rést okozhatnak SCOM-Linux ügynökben, ami megkönnyíti a távoli támadók számára a szolgáltatásmegtagadást azáltal, hogy számos újratárgyalást hajtanak végre egyetlen kapcsolaton belül.
A Linux-ügynök nyílt forráskódú OpenSSL-t használ SSL-célokra.
A következő verziók csak újratárgyalás esetén támogatottak:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Az OpenSSL 1.10- 1.1.0g-s verziói esetében nem tilthatja le az újratárgyalást, mert az OpenSSL nem támogatja az újratárgyalást.
Következő lépések
A UNIX- és Linux-számítógépek hitelesítésének és monitorozásának megismeréséhez tekintse át UNIX és Linux rendszerű számítógépekeléréséhez szükséges hitelesítő adatokat.
Az Operations Manager UNIX- és Linux-számítógépekkel való hitelesítésének konfigurálásához tekintse meg A UNIX- és Linux-számítógépek eléréséhez szükséges hitelesítő adatok beállításacímű témakört.
A UNIX- és Linux-számítógépek hatékony monitorozásához szükséges, nemprivilegált fiókok emelésének megismeréséhez tekintse át A sudo emelési és SSH-kulcsok konfigurálása.