Configurando cifras SSL
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.
O System Center - Operations Manager gerencia corretamente computadores UNIX e Linux sem alterações na configuração de codificação SSL (Secure Sockets Layer) padrão. Para a maioria das organizações, a configuração padrão é aceitável, mas você deve verificar as diretivas de segurança da organização para determinar se as alterações são necessárias.
Usando a configuração de codificação SSL
O agente do UNIX e do Linux do Operations Manager se comunica com o servidor de gerenciamento do Operations Manager aceitando solicitações na porta 1270 e fornecendo informações em resposta a essas solicitações. As solicitações são feitas com o uso do protocolo WS-Management que está sendo executado em uma conexão SSL.
Quando a conexão SSL é estabelecida pela primeira vez para cada solicitação, o protocolo SSL padrão negocia o algoritmo de criptografia, conhecido como uma codificação para a conexão a ser usada. Para o Operations Manager, o servidor de gerenciamento sempre negocia o uso de uma cifra de alta força para que a criptografia forte seja usada na conexão de rede entre o servidor de gerenciamento e o computador UNIX ou Linux.
A configuração de codificação SSL padrão em um computador UNIX ou Linux é orientada pelo pacote SSL instalado como parte do sistema operacional. A configuração de codificação SSL normalmente permite conexões com várias cifras, incluindo cifras mais antigas de menor força. Embora o Operations Manager não use essas cifras de força mais baixa, ter a porta 1270 aberta com a possibilidade de usar uma cifra de força mais baixa contradiz a política de segurança de algumas organizações.
Se a configuração de codificação SSL padrão atender à diretiva de segurança da sua organização, nenhuma ação será necessária.
Se a configuração de codificação SSL padrão contradiz a diretiva de segurança da sua organização, o agente UNIX e Linux do Operations Manager fornece uma opção de configuração para especificar as cifras que o SSL pode aceitar na porta 1270. Essa opção pode ser usada para controlar as codificações e colocar a configuração de SSL em conformidade com as suas políticas. Após o agente do UNIX e Linux do Operations Manager ser instalado em cada computador gerenciado, a opção de configuração deverá ser definida usando os procedimentos descritos na próxima seção. O Operations Manager não fornece nenhuma maneira automática ou interna de aplicar essas configurações; Cada organização deve executar a configuração usando um mecanismo externo que funcione melhor para ela.
Definindo a opção de configuração sslCipherSuite
As codificações do SSL da porta 1270 são controladas por meio da configuração da opção sslciphersuite no arquivo de configuração OMI, o omiserver.conf. O arquivo omiserver.conf está localizado no diretório /etc/opt/omi/conf/.
O formato para a opção sslciphersuite nesse arquivo é:
sslciphersuite=<cipher spec>
Onde <especificação> de codificação especifica as cifras que são permitidas, não permitidas e a ordem em que as cifras permitidas são escolhidas.
O formato para <especificação> de codificação é o mesmo que o formato para a opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive (Diretiva SSLCipherSuite) na documentação do Apache. Todas as informações contidas neste site são fornecidas pelo proprietário ou pelos usuários do site. A Microsoft não oferece nenhuma garantia expressa, implícita ou estatutária quanto às informações neste site.
Depois de definir a opção de configuração sslCipherSuite , você deve reiniciar o agente do UNIX e Linux para que a alteração tenha efeito. Para reiniciar o agente do UNIX e Linux, execute o seguinte comando localizado no diretório /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Habilitando ou desabilitando as versões do protocolo TLS
Para o System Center – Operations Manager, o omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Os sinalizadores a seguir precisam ser definidos para ativar/desabilitar as versões do protocolo TLS. Para obter mais informações, consulte Configurando o servidor OMI.
| Propriedade | Finalidade |
|---|---|
| NoTLSv1_0 | Quando verdadeiro, o protocolo TLSv1.0 é desabilitado. |
| NoTLSv1_1 | Quando verdadeiro, e se disponível na plataforma, o protocolo TLSv1.1 é desabilitado. |
| NoTLSv1_2 | Quando verdadeiro, e se disponível na plataforma, o protocolo TLSv1.2 é desabilitado. |
Habilitando ou desabilitando o protocolo SSLv3
O Operations Manager se comunica com agentes UNIX e Linux por HTTPS, usando criptografia TLS ou SSL. O processo de handshaking SSL negocia a criptografia mais forte que está mutuamente disponível no agente e no servidor de gerenciamento. Você pode querer proibir o SSLv3 para que um agente que não pode negociar a criptografia TLS não retorne ao SSLv3.
Para o System Center – Operations Manager, o omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Para desativar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=true
Para habilitar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=false
Observação
A atualização a seguir é aplicável ao Operations Manager 2019 UR3 e versões posteriores.
Matriz de suporte de conjuntos de criptografia
| Distribuição | Kernel | Versão do OpenSSL | Pacote de Criptografia com Suporte mais Alto/Pacote de Criptografia Preferencial | Índice de criptografia |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server versão 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 Abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server versão 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 Fev 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 Abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 de maio de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-genérico | OpenSSL 1.0.2g (1 Mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-genérico | OpenSSL 1.1.1 (11 de setembro de 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-genérico | OpenSSL 1.1.1f (31 Mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-padrão | OpenSSL 1.0.2p-fips (14 de agosto de 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 de setembro de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Criptografias, algoritmos MAC e algoritmos de troca de chaves
No System Center Operations Manager 2016 e posterior, as criptografias abaixo, algoritmos MAC e algoritmos de troca de chaves são apresentados pelo módulo SSH do System Center Operations Manager.
Criptografias oferecidas pelo módulo SSH do SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmos MAC oferecidos pelo módulo SSH do SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmos do de troca de chave oferecidos pelo módulo SSH do SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Renegociações SSL desativadas no agente Linux
Para o agente do Linux, as negociações de SSL estão desabilitadas.
As renegociações SSL podem causar vulnerabilidade no agente SCOM-Linux, o que pode tornar mais fácil para os invasores remotos causar uma negação de serviço executando muitas renegociações em uma única conexão.
O agente Linux usa OpenSSL de código aberto para fins de SSL.
As seguintes versões são suportadas apenas para renegociação:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Para as versões 1.10 - 1.1.0g do OpenSSL, você não pode desativar a renegociação porque o OpenSSL não suporta renegociação.
Próximas etapas
Para entender como autenticar e monitorar seus computadores UNIX e Linux, revise Credenciais que você deve ter para acessar computadores UNIX e Linux.
Para configurar o Operations Manager para autenticação com seus computadores UNIX e Linux, consulte Como definir credenciais para acessar computadores UNIX e Linux.
Para entender como elevar uma conta sem privilégios para um monitoramento eficaz de computadores UNIX e Linux, consulte Como configurar a elevação do sudo e as chaves SSH.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de