Mengonfigurasi cipher SSL
Penting
Versi Operations Manager ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke Operations Manager 2022.
Pusat Sistem - Manajer Operasi mengelola komputer UNIX dan Linux dengan benar tanpa perubahan pada konfigurasi cipher Secure Sockets Layer (SSL) default. Untuk sebagian besar organisasi, konfigurasi default dapat diterima, tetapi Anda harus memeriksa kebijakan keamanan organisasi Anda untuk menentukan apakah perubahan diperlukan.
Menggunakan konfigurasi cipher SSL
Agen Operations Manager UNIX dan Linux berkomunikasi dengan server manajemen Manajer Operasi dengan menerima permintaan pada port 1270 dan menyediakan informasi sebagai respons terhadap permintaan tersebut. Permintaan dibuat dengan menggunakan protokol WS-Management yang berjalan pada koneksi SSL.
Ketika koneksi SSL pertama kali dibuat untuk setiap permintaan, protokol SSL standar menegosiasikan algoritma enkripsi, yang dikenal sebagai sandi untuk koneksi yang akan digunakan. Untuk Operations Manager, server manajemen selalu bernegosiasi untuk menggunakan cipher kekuatan tinggi sehingga enkripsi yang kuat digunakan pada koneksi jaringan antara server manajemen dan komputer UNIX atau Linux.
Konfigurasi cipher SSL default pada komputer UNIX atau Linux diatur oleh paket SSL yang diinstal sebagai bagian dari sistem operasi. Konfigurasi sandi SSL biasanya memungkinkan koneksi dengan berbagai sandi, termasuk sandi yang lebih lama dengan kekuatan yang lebih rendah. Meskipun Manajer Operasi tidak menggunakan sandi kekuatan yang lebih rendah ini, memiliki port 1270 terbuka dengan kemungkinan menggunakan sandi kekuatan yang lebih rendah bertentangan dengan kebijakan keamanan beberapa organisasi.
Jika konfigurasi cipher SSL default memenuhi kebijakan keamanan organisasi Anda, tidak ada tindakan yang diperlukan.
Jika konfigurasi sandi SSL default bertentangan dengan kebijakan keamanan organisasi Anda, agen Operations Manager UNIX dan Linux menyediakan opsi konfigurasi untuk menentukan cipher yang dapat diterima SSL pada port 1270. Opsi ini dapat digunakan untuk mengontrol cipher dan membuat konfigurasi SSL sesuai dengan kebijakan Anda. Setelah agen Operations Manager UNIX dan Linux diinstal di setiap komputer terkelola, opsi konfigurasi harus diatur dengan menggunakan prosedur yang dijelaskan di bagian berikutnya. Manajer Operasi tidak menyediakan cara otomatis atau bawaan untuk menerapkan konfigurasi ini; setiap organisasi harus melakukan konfigurasi dengan menggunakan mekanisme eksternal yang paling sesuai untuknya.
Mengatur opsi konfigurasi sslCipherSuite
Cipher SSL untuk port 1270 dikontrol dengan mengatur opsi sslciphersuite dalam file konfigurasi OMI, omiserver.conf. File omiserver.conf terletak di direktori /etc/opt/omi/conf/.
Format untuk opsi sslciphersuite dalam file ini adalah:
sslciphersuite=<cipher spec>
Di mana <spesifikasi> cipher menentukan cipher yang diizinkan, tidak diizinkan, dan urutan di mana cipher yang diizinkan dipilih.
Format untuk <spesifikasi> cipher sama dengan format untuk opsi sslCipherSuite di Apache HTTP Server versi 2.0. Untuk informasi selengkapnya, lihat Arahan SSLCipherSuite dalam dokumentasi Apache. Semua informasi di situs ini disediakan oleh pemilik atau pengguna situs web. Microsoft tidak memberikan jaminan, tersurat, tersirat, atau menurut undang-undang, tentang informasi di situs web ini.
Setelah mengatur opsi konfigurasi sslCipherSuite , Anda harus memulai ulang agen UNIX dan Linux agar perubahan diterapkan. Untuk memulai ulang agen UNIX dan Linux, jalankan perintah berikut, yang terletak di direktori /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Mengaktifkan atau Menonaktifkan Versi Protokol TLS
Untuk System Center – Operations Manager, omiserver.conf terletak di: /etc/opt/omi/conf/omiserver.conf
Bendera berikut perlu diatur untuk mengaktifkan/menonaktifkan versi protokol TLS. Untuk informasi selengkapnya, lihat Mengonfigurasi Server OMI.
| Properti | Tujuan |
|---|---|
| NoTLSv1_0 | Jika true, protokol TLSv1.0 dinonaktifkan. |
| NoTLSv1_1 | Jika true, dan jika tersedia di platform, protokol TLSv1.1 dinonaktifkan. |
| NoTLSv1_2 | Jika true, dan jika tersedia pada platform, protokol TLSv1.2 dinonaktifkan. |
Mengaktifkan atau Menonaktifkan Protokol SSLv3
Manajer Operasi berkomunikasi dengan agen UNIX dan Linux melalui HTTPS, menggunakan enkripsi TLS atau SSL. Proses jabat tangan SSL menegosiasikan enkripsi terkuat yang saling tersedia di agen dan server manajemen. Anda mungkin ingin melarang SSLv3 sehingga agen yang tidak dapat menegosiasikan enkripsi TLS tidak kembali ke SSLv3.
Untuk System Center – Operations Manager, omiserver.conf terletak di: /etc/opt/omi/conf/omiserver.conf
Untuk menonaktifkan SSLv3
Ubah omiserver.conf, atur baris NoSSLv3 menjadi: NoSSLv3=true
Untuk mengaktifkan SSLv3
Ubah omiserver.conf, atur baris NoSSLv3 menjadi: NoSSLv3=false
Catatan
Pembaruan berikut berlaku untuk Operations Manager 2019 UR3 dan yang lebih baru.
Matriks Dukungan Suite Sandi
| Distro | Kernel | Versi OpenSSL | Cipher Suite/Cipher Suite Pilihan Tertinggi | Indeks Sandi |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 Jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 Apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server rilis 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 Feb 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 Jan 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 Apr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 Mei 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 Mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 Sep 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 Mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 Agu 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 Sep 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Cipher, algoritma MAC, dan algoritma pertukaran kunci
Di System Center Operations Manager 2016 dan yang lebih baru, cipher di bawah ini, algoritma MAC, dan algoritma pertukaran kunci disajikan oleh modul System Center Operations Manager SSH.
Sandi yang ditawarkan oleh modul SCOM SSH:
- aes256-ctr
- aes256-cbc
- aes192-cbc
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritma MAC yang ditawarkan oleh modul SCOM SSH:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritma Pertukaran Kunci yang ditawarkan oleh modul SCOM SSH:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Negosiasi ulang SSL yang dinonaktifkan di agen Linux
Untuk agen Linux, negosiasi ulang SSL dinonaktifkan.
Negosiasi ulang SSL dapat menyebabkan kerentanan di agen SCOM-Linux, yang mungkin memudahkan penyerang jarak jauh untuk menyebabkan penolakan layanan dengan melakukan banyak negosiasi ulang dalam satu koneksi.
Agen Linux menggunakan OpenSSL opensource untuk tujuan SSL.
Versi berikut ini hanya didukung untuk negosiasi ulang:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Untuk OpenSSL versi 1.10 - 1.1.0g, Anda tidak dapat menonaktifkan negosiasi ulang karena OpenSSL tidak mendukung negosiasi ulang.
Langkah berikutnya
Untuk memahami cara mengautentikasi dan memantau komputer UNIX dan Linux Anda, tinjau Kredensial yang Harus Anda Miliki untuk Mengakses Komputer UNIX dan Linux.
Untuk mengonfigurasi Manajer Operasi untuk mengautentikasi dengan komputer UNIX dan Linux Anda, lihat Cara Mengatur Kredensial untuk Mengakses Komputer UNIX dan Linux.
Untuk memahami cara meningkatkan akun yang tidak istimewa untuk pemantauan komputer UNIX dan Linux yang efektif, tinjau Cara Mengonfigurasi Sudo Elevation dan Kunci SSH.