SSL 암호화 구성
중요
이 버전의 Operations Manager는 지원이 종료되었습니다. Operations Manager 2022로 업그레이드하는 것이 좋습니다.
System Center - Operations Manager는 기본 SSL(Secure Sockets Layer) 암호 구성을 변경하지 않고 UNIX 및 Linux 컴퓨터를 올바르게 관리합니다. 대부분의 조직에 대해 기본 구성이 허용되지만 변경이 필요한지 여부를 확인하려면 조직의 보안 정책을 확인해야 합니다.
SSL 암호 구성 사용
Operations Manager UNIX 및 Linux 에이전트는 포트 1270의 요청을 승인하고 해당 요청에 대한 응답으로 정보를 제공하여 Operations Manager 관리 서버와 통신합니다. 요청은 SSL 연결에서 실행 중인 WS-Management 프로토콜을 사용하여 실행됩니다.
각 요청에 대해 SSL 연결이 먼저 설정되는 경우 표준 SSL 프로토콜은 사용할 연결의 암호로 알려진 암호화 알고리즘을 협상합니다. Operations Manager의 경우, 관리 서버는 항상 강력한 암호를 사용하여 관리 서버와 UNIX 또는 Linux 컴퓨터 간의 네트워크 연결에서 강력한 암호화가 사용되도록 협상합니다.
UNIX 또는 Linux 컴퓨터의 기본 SSL 암호 구성은 운영 체제의 일부로 설치된 SSL 패키지로 관리됩니다. SSL 암호화 구성은 일반적으로 낮은 강도의 이전 암호화를 포함하여 다양한 암호화와의 연결을 허용합니다. Operations Manager는 이러한 저강도 암호화를 사용하지 않지만, 포트 1270을 열어 두면 더 낮은 강도의 암호화를 사용할 가능성이 일부 조직의 보안 정책과 모순됩니다.
기본 SSL 암호 구성이 조직의 보안 정책을 충족하는 경우에는 아무런 조치가 필요하지 않습니다.
기본 SSL 암호 구성이 조직의 보안 정책과 충돌하는 경우 Operations Manager UNIX 및 Linux 에이전트는 SSL이 포트 1270에서 허용할 수 있는 암호를 지정하는 구성 옵션을 제공합니다. 이 옵션을 사용하여 암호를 제어하고 SSL 구성이 정책을 준수하도록 설정할 수 있습니다. Operations Manager UNIX 및 Linux 에이전트를 각 관리 컴퓨터에 설치한 후 다음 섹션에서 설명하는 절차에 따라 구성 옵션을 설정해야 합니다. Operations Manager는 이러한 구성을 적용하는 자동 또는 기본 제공 방법을 제공하지 않습니다. 각 organization 가장 적합한 외부 메커니즘을 사용하여 구성을 수행해야 합니다.
sslCipherSuite 구성 옵션 설정
포트 1270에 대한 SSL 암호화는 OMI 구성 파일 omiserver.conf 에서 sslciphersuite옵션을 설정하여 제어합니다. omiserver.conf 파일은 디렉터리에 있습니다.
이 파일에서 sslciphersuite 옵션의 형식은 다음과 같습니다.
sslciphersuite=<cipher spec>
여기서 <암호 사양> 은 허용되는 암호, 허용되지 않는 암호 및 허용된 암호가 선택된 순서를 지정합니다.
<cipher spec>의 형식은 Apache HTTP Server 버전 2.0의 < 옵션 형식과 동일합니다. 자세한 내용은 Apache 설명서의 SSLCipherSuite Directive(SSLCipherSuite 지시문) 를 참조하십시오. 이 사이트의 모든 정보는 웹 사이트의 소유자 또는 사용자가 제공합니다. Microsoft는 이 웹 사이트의 정보와 관련하여 어떠한 명시적, 묵시적 또는 법적 보증도 하지 않습니다.
sslCipherSuite 구성 옵션을 설정한 후 변경 내용을 적용하려면 UNIX 및 Linux 에이전트를 다시 시작해야 합니다. UNIX 및 Linux 에이전트를 다시 시작하려면 /etc/opt/microsoft/scx/bin/tools 디렉터리에 있는 다음과 같은 명령을 실행합니다.
. setup.sh
scxadmin -restart
TLS 프로토콜 버전 사용 여부 설정
System Center - Operations Manager의 경우 omiserver.conf는 /etc/opt/omi/conf/omiserver.conf에 있습니다.
TLS 프로토콜 버전을 사용하거나 사용하지 않도록 설정하려면 다음 플래그를 설정해야 합니다. 자세한 내용은 Configuring OMI Server(OMI Server 구성)를 참조하세요.
| 속성 | 용도 |
|---|---|
| NoTLSv1_0 | true인 경우 TLSv1.0 프로토콜이 사용되지 않습니다. |
| NoTLSv1_1 | true이고 플랫폼에서 사용할 수 있는 경우 TLSv1.1 프로토콜이 사용되지 않습니다. |
| NoTLSv1_2 | true이고 플랫폼에서 사용할 수 있는 경우 TLSv1.2 프로토콜이 사용되지 않습니다. |
SSLv3 프로토콜 사용 여부 설정
Operations Manager는 TLS 또는 SSL 암호화를 사용하여 HTTPS를 통해 UNIX 및 Linux 에이전트와 통신합니다. SSL 핸드셰이킹 프로세스는 에이전트와 관리 서버에서 함께 사용할 수 있는 가장 강력한 암호화를 협상합니다. TLS 암호화를 협상할 수 없는 에이전트가 SSLv3으로 대체되지 않도록 SSLv3을 금지할 수 있습니다.
System Center - Operations Manager의 경우 omiserver.conf는 /etc/opt/omi/conf/omiserver.conf에 있습니다.
SSLv3을 사용하지 않도록 설정하려면
omiserver.conf를 수정하고 NoSSLv3 줄을 다음과 같이 설정합니다.
SSLv3을 사용하도록 설정하려면
omiserver.conf를 수정하고 NoSSLv3 줄을 다음과 같이 설정합니다.
참고
이 업데이트는 Operations Manager 2019 UR3 이상에 적용됩니다.
암호 그룹 지원 매트릭스
| 배포판 | 커널 | OpenSSL 버전 | 지원되는 가장 높은 암호 그룹/기본 설정 암호 그룹 | 암호화 인덱스 |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5(Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips(2017년 1월 26일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3(Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS(2020년 4월 21일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server 릴리스 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips(2013년 2월 11일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips(2017년 1월 26일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS(2020년 4월 21일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8(Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS(2019년 5월 28일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g(2016년 3월 1일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1(2018년 9월 11일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f(2020년 3월 31일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips(2018년 8월 14일) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10(buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d(2019년 9월 10일) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
암호화, MAC 알고리즘 및 키 교환 알고리즘
System Center Operations Manager 2016 이상에서 아래의 암호화, MAC 알고리즘 및 키 교환 알고리즘은 System Center Operations Manager SSH 모듈에서 제공됩니다.
SCOM SSH 모듈에서 제공하는 암호화:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH 모듈에서 제공하는 MAC 알고리즘:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH 모듈에서 제공하는 키 교환 알고리즘:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux 에이전트에서 SSL 재협상 사용 안 함
Linux 에이전트에 SSL 재협상이 사용되지 않습니다.
SSL 재협상으로 인해 SCOM-Linux 에이전트에 취약성이 발생할 수 있으므로 원격 공격자가 단일 연결 내에서 많은 재협상을 수행하여 서비스 거부를 더 쉽게 수행할 수 있습니다.
Linux 에이전트는 SSL 용도로 오픈 소스 OpenSSL를 사용합니다.
재협상이 지원되는 버전은 다음뿐입니다.
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
OpenSSL 버전 1.10 - 1.1.0g의 경우 OpenSSL이 재협상을 지원하지 않으므로 재협상을 사용하지 않도록 설정할 수 없습니다.
다음 단계
UNIX 및 Linux 컴퓨터를 인증하고 모니터링하는 방법을 이해하려면 UNIX 및 Linux 컴퓨터에 액세스해야 하는 자격 증명을 검토합니다.
UNIX 및 Linux 컴퓨터에서 인증하도록 Operations Manager를 구성하려면 UNIX 및 Linux 컴퓨터에 액세스하기 위한 자격 증명을 설정하는 방법을 참조하세요.
UNIX 및 Linux 컴퓨터의 효과적인 모니터링을 위해 권한 없는 계정을 승격하는 방법을 이해하려면 sudo Elevation 및 SSH 키를 구성하는 방법을 검토하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기