Configurando cifras SSL
O System Center – Operations Manager gerencia corretamente computadores UNIX e Linux sem alterações na configuração de criptografia SSL (Secure Sockets Layer) padrão. Para a maioria das organizações, a configuração padrão é aceitável, mas você deve verificar as políticas de segurança da sua organização para determinar se as alterações são necessárias.
Usando a configuração de criptografia SSL
O agente do UNIX e do Linux do Operations Manager se comunica com o servidor de gerenciamento do Operations Manager aceitando solicitações na porta 1270 e fornecendo informações em resposta a essas solicitações. As solicitações são feitas com o uso do protocolo WS-Management que está sendo executado em uma conexão SSL.
Quando a conexão SSL é estabelecida pela primeira vez para cada solicitação, o protocolo SSL padrão negocia o algoritmo de criptografia, conhecido como uma codificação para a conexão a ser usada. Para o Operations Manager, o servidor de gerenciamento sempre negocia o uso de uma criptografia de alta força para que a criptografia forte seja usada na conexão de rede entre o servidor de gerenciamento e o computador UNIX ou Linux.
A configuração de codificação SSL padrão em um computador UNIX ou Linux é orientada pelo pacote SSL instalado como parte do sistema operacional. A configuração de cifra SSL normalmente permite conexões com várias cifras, incluindo cifras mais antigas de menor força. Embora o Operations Manager não use essas criptografias de força mais baixa, ter a porta 1270 aberta com a possibilidade de usar uma criptografia de força mais baixa contradiz a política de segurança de algumas organizações.
Se a configuração de criptografia SSL padrão atender à política de segurança da sua organização, nenhuma ação será necessária.
Se a configuração de criptografia SSL padrão contradizer a política de segurança da sua organização, o agente UNIX e Linux do Operations Manager fornecerá uma opção de configuração para especificar as criptografias que o SSL pode aceitar na porta 1270. Essa opção pode ser usada para controlar as codificações e colocar a configuração de SSL em conformidade com as suas políticas. Após o agente do UNIX e Linux do Operations Manager ser instalado em cada computador gerenciado, a opção de configuração deverá ser definida usando os procedimentos descritos na próxima seção. O Operations Manager não fornece nenhuma maneira automática ou interna de aplicar essas configurações; Cada organização deve executar a configuração usando um mecanismo externo que funcione melhor para ela.
Configurando a opção de configuração sslCipherSuite
As codificações do SSL da porta 1270 são controladas por meio da configuração da opção sslciphersuite no arquivo de configuração OMI, o omiserver.conf. O arquivo omiserver.conf está localizado no diretório /etc/opt/omi/conf/.
O formato para a opção sslciphersuite nesse arquivo é:
sslciphersuite=<cipher spec>
Onde <a especificação> de cifra especifica as cifras permitidas, não permitidas e a ordem em que as cifras permitidas são escolhidas.
O formato da <especificação> de cifra é o mesmo que o formato da opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive (Diretiva SSLCipherSuite) na documentação do Apache. Todas as informações contidas neste site são fornecidas pelo proprietário ou pelos usuários do site. A Microsoft não oferece nenhuma garantia expressa, implícita ou estatutária quanto às informações neste site.
Depois de definir a opção de configuração sslCipherSuite , você deve reiniciar o agente do UNIX e Linux para que a alteração tenha efeito. Para reiniciar o agente do UNIX e Linux, execute o seguinte comando localizado no diretório /etc/opt/microsoft/scx/bin/tools .
. setup.sh
scxadmin -restart
Habilitando ou desabilitando as versões do protocolo TLS
Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Os sinalizadores a seguir precisam ser definidos para habilitar/desabilitar as versões do protocolo TLS. Para obter mais informações, consulte Configurando o servidor OMI.
| Propriedade | Finalidade |
|---|---|
| NoTLSv1_0 | Quando true, o protocolo TLSv1.0 é desabilitado. |
| NoTLSv1_1 | Quando true, e se disponível na plataforma, o protocolo TLSv1.1 é desabilitado. |
| NoTLSv1_2 | Quando true, e se disponível na plataforma, o protocolo TLSv1.2 é desabilitado. |
Habilitando ou desabilitando o protocolo SSLv3
O Operations Manager se comunica com agentes UNIX e Linux por HTTPS, usando criptografia TLS ou SSL. O processo de handshake SSL negocia a criptografia mais forte que está mutuamente disponível no agente e no servidor de gerenciamento. Talvez você queira proibir o SSLv3 para que um agente que não pode negociar a criptografia TLS não volte para o SSLv3.
Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Para desativar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=true
Para habilitar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=false
Observação
A atualização a seguir é aplicável ao Operations Manager 2019 UR3 e versões posteriores.
Matriz de suporte de conjuntos de criptografia
| Distribuição | Kernel | Versão do OpenSSL | Pacote de Criptografia com Suporte mais Alto/Pacote de Criptografia Preferencial | Índice de criptografia |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server versão 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 de abril de 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server versão 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 de fevereiro de 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 de abril de 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Linux 8 (Núcleo) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 de maio de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-genérico | OpenSSL 1.0.2g (1 de março de 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-genérico | OpenSSL 1.1.1 (11 de setembro de 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-genérico | OpenSSL 1.1.1f (31 de março de 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-padrão | OpenSSL 1.0.2p-fips (14 de agosto de 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 de setembro de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Criptografias, algoritmos MAC e algoritmos de troca de chaves
No System Center Operations Manager 2016 e posterior, as criptografias abaixo, algoritmos MAC e algoritmos de troca de chaves são apresentados pelo módulo SSH do System Center Operations Manager.
Criptografias oferecidas pelo módulo SSH do SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmos MAC oferecidos pelo módulo SSH do SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmos do de troca de chave oferecidos pelo módulo SSH do SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Renegociações de SSL desativadas no agente Linux
Para o agente do Linux, as negociações de SSL estão desabilitadas.
As renegociações de SSL podem causar vulnerabilidade no agente SCOM-Linux, o que pode tornar mais fácil para os invasores remotos causar uma negação de serviço executando muitas renegociações em uma única conexão.
O agente Linux usa OpenSSL de código aberto para fins de SSL.
As seguintes versões são suportadas apenas para renegociação:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Para as versões 1.10 a 1.1.0g do OpenSSL, você não pode desabilitar a renegociação porque o OpenSSL não oferece suporte à renegociação.
Próximas etapas
Para entender como autenticar e monitorar seus computadores UNIX e Linux, consulte Credenciais que você deve ter para acessar computadores UNIX e Linux.
Para configurar o Operations Manager para autenticar com seus computadores UNIX e Linux, consulte Como definir credenciais para acessar computadores UNIX e Linux.
Para entender como elevar uma conta sem privilégios para monitoramento efetivo de computadores UNIX e Linux, consulte Como configurar a elevação sudo e as chaves SSH.