SSL 암호화 구성
System Center - Operations Manager는 기본 SSL(Secure Sockets Layer) 암호화 구성을 변경하지 않고 UNIX 및 Linux 컴퓨터를 올바르게 관리합니다. 대부분의 조직에서는 기본 구성이 허용되지만 조직의 보안 정책을 확인하여 변경이 필요한지 여부를 확인해야 합니다.
SSL 암호 구성 사용
Operations Manager UNIX 및 Linux 에이전트는 포트 1270의 요청을 승인하고 해당 요청에 대한 응답으로 정보를 제공하여 Operations Manager 관리 서버와 통신합니다. 요청은 SSL 연결에서 실행 중인 WS-Management 프로토콜을 사용하여 실행됩니다.
각 요청에 대해 SSL 연결이 먼저 설정되는 경우 표준 SSL 프로토콜은 사용할 연결의 암호로 알려진 암호화 알고리즘을 협상합니다. Operations Manager의 경우 관리 서버는 항상 고강도 암호화를 사용하여 관리 서버와 UNIX 또는 Linux 컴퓨터 간의 네트워크 연결에서 강력한 암호화를 사용하도록 협상합니다.
UNIX 또는 Linux 컴퓨터의 기본 SSL 암호 구성은 운영 체제의 일부로 설치된 SSL 패키지로 관리됩니다. SSL 암호화 구성은 일반적으로 낮은 강도의 이전 암호화를 포함하여 다양한 암호화와의 연결을 허용합니다. Operations Manager는 이러한 저강도 암호화를 사용하지 않지만, 포트 1270을 열어 두면 더 낮은 강도의 암호화를 사용할 가능성이 일부 조직의 보안 정책과 모순됩니다.
기본 SSL 암호 구성이 조직의 보안 정책을 충족하는 경우 아무 작업도 필요하지 않습니다.
기본 SSL 암호 구성이 조직의 보안 정책과 모순되는 경우 Operations Manager UNIX 및 Linux 에이전트는 SSL이 포트 1270에서 허용할 수 있는 암호화를 지정하는 구성 옵션을 제공합니다. 이 옵션을 사용하여 암호를 제어하고 SSL 구성이 정책을 준수하도록 설정할 수 있습니다. Operations Manager UNIX 및 Linux 에이전트를 각 관리 컴퓨터에 설치한 후 다음 섹션에서 설명하는 절차에 따라 구성 옵션을 설정해야 합니다. Operations Manager는 이러한 구성을 적용하는 자동 또는 기본 제공 방법을 제공하지 않습니다. 각 조직은 가장 적합한 외부 메커니즘을 사용하여 구성을 수행해야 합니다.
sslCipherSuite 구성 옵션 설정
포트 1270에 대한 SSL 암호화는 OMI 구성 파일 omiserver.conf 에서 sslciphersuite옵션을 설정하여 제어합니다. omiserver.conf 파일은 디렉터리에 /etc/opt/omi/conf/
있습니다.
이 파일에서 sslciphersuite 옵션의 형식은 다음과 같습니다.
sslciphersuite=<cipher spec>
<여기서 암호 사양>은 허용, 허용되지 않는 암호 및 허용되는 암호화를 선택하는 순서를 지정합니다.
암호 사양>의 <형식은 Apache HTTP Server 버전 2.0의 sslCipherSuite 옵션에 대한 형식과 동일합니다. 자세한 내용은 Apache 설명서의 SSLCipherSuite Directive(SSLCipherSuite 지시문) 를 참조하십시오. 이 사이트의 모든 정보는 웹 사이트의 소유자 또는 사용자가 제공합니다. Microsoft는 이 웹 사이트의 정보와 관련하여 어떠한 명시적, 묵시적 또는 법적 보증도 하지 않습니다.
sslCipherSuite 구성 옵션을 설정한 후 변경 내용을 적용하려면 UNIX 및 Linux 에이전트를 다시 시작해야 합니다. UNIX 및 Linux 에이전트를 다시 시작하려면 /etc/opt/microsoft/scx/bin/tools 디렉터리에 있는 다음과 같은 명령을 실행합니다.
. setup.sh
scxadmin -restart
TLS 프로토콜 버전 사용 또는 사용 안 함
System Center – Operations Manager의 경우 omiserver.conf는 다음 위치에 있습니다. /etc/opt/omi/conf/omiserver.conf
TLS 프로토콜 버전을 사용하거나 사용하지 않도록 설정하려면 다음 플래그를 설정해야 합니다. 자세한 내용은 OMI 서버 구성을 참조 하세요.
속성 | 목적 |
---|---|
NoTLSv1_0 | true이면 TLSv1.0 프로토콜을 사용할 수 없습니다. |
NoTLSv1_1 | true이면 플랫폼에서 사용할 수 있는 경우 TLSv1.1 프로토콜을 사용할 수 없습니다. |
NoTLSv1_2 | true이면 플랫폼에서 사용할 수 있는 경우 TLSv1.2 프로토콜을 사용할 수 없습니다. |
SSLv3 프로토콜 사용 또는 사용 안 함
Operations Manager는 TLS 또는 SSL 암호화를 사용하여 HTTPS를 통해 UNIX 및 Linux 에이전트와 통신합니다. SSL 핸드셰이크 프로세스는 에이전트와 관리 서버에서 상호 사용할 수 있는 가장 강력한 암호화를 협상합니다. TLS 암호화를 협상할 수 없는 에이전트가 SSLv3으로 대체되지 않도록 SSLv3을 금지할 수 있습니다.
System Center – Operations Manager의 경우 omiserver.conf는 다음 위치에 있습니다. /etc/opt/omi/conf/omiserver.conf
SSLv3을 사용하지 않도록 설정하려면
omiserver.conf를 수정하고 NoSSLv3 줄을 다음으로 설정합니다. NoSSLv3=true
SSLv3을 사용하도록 설정하려면
omiserver.conf를 수정하고 NoSSLv3 줄을 다음으로 설정합니다. NoSSLv3=false
참고 항목
이 업데이트는 Operations Manager 2019 UR3 이상에 적용됩니다.
암호 그룹 지원 매트릭스
배포판 | 커널 | OpenSSL 버전 | 지원되는 가장 높은 암호 그룹/기본 설정 암호 그룹 | 암호화 인덱스 |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5(Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips(2017년 1월 26일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3(Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS(2020년 4월 21일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Oracle Linux Server 릴리스 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips(2013년 2월 11일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips(2017년 1월 26일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS(2020년 4월 21일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Linux 8(코어) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS(2019년 5월 28일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g(2016년 3월 1일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1(2018년 9월 11일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f(2020년 3월 31일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips(2018년 8월 14일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10(buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d(2019년 9월 10일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
암호화, MAC 알고리즘 및 키 교환 알고리즘
System Center Operations Manager 2016 이상에서 아래의 암호화, MAC 알고리즘 및 키 교환 알고리즘은 System Center Operations Manager SSH 모듈에서 제공됩니다.
SCOM SSH 모듈에서 제공하는 암호화:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH 모듈에서 제공하는 MAC 알고리즘:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH 모듈에서 제공하는 키 교환 알고리즘:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux 에이전트에서 SSL 재협상 사용 안 함
Linux 에이전트에 SSL 재협상이 사용되지 않습니다.
SSL 재협상으로 인해 SCOM-Linux 에이전트의 취약성이 발생할 수 있으므로 원격 공격자가 단일 연결 내에서 여러 재협상을 수행하여 서비스 거부를 쉽게 수행할 수 있습니다.
Linux 에이전트는 SSL 용도로 opensource OpenSSL을 사용합니다.
다음 버전은 재협상에만 지원됩니다.
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
OpenSSL 버전 1.10 - 1.1.0g의 경우 OpenSSL은 재협상을 지원하지 않으므로 재협상을 사용하지 않도록 설정할 수 없습니다.