Configurar cifras SSL
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.
System Center – o Operations Manager gere corretamente computadores UNIX e Linux sem alterações à configuração de cifra SSL (Secure Sockets Layer) predefinida. Para a maioria das organizações, a configuração predefinida é aceitável, mas deve verificar as políticas de segurança da sua organização para determinar se são necessárias alterações.
Utilizar a configuração de cifra SSL
O agente UNIX e Linux do Operations Manager comunica com o servidor de gestão do Operations Manager ao aceitar pedidos na porta 1270 e ao fornecer informações em resposta a esses pedidos. Os pedidos são efetuados utilizando o protocolo WS-Management que está a ser executado numa ligação SSL.
Quando a ligação SSL for estabelecida pela primeira vez para cada pedido, o protocolo SSL padrão negoceia o algoritmo de encriptação, denominado cifra, para ser utilizado pela ligação. Para o Operations Manager, o servidor de gestão negoceia sempre a utilização de uma cifra muito forte de modo a utilizar uma encriptação forte na ligação de rede entre o servidor de gestão e o computador UNIX ou Linux.
A configuração de cifra SSL predefinida num computador UNIX ou Linux é regida pelo pacote SSL que é instalado como parte do sistema operativo. Normalmente, a configuração da cifra SSL permite ligações com várias cifras, incluindo cifras mais antigas de menor força. Embora o Operations Manager não utilize estas cifras de menor força, ter a porta 1270 aberta com a possibilidade de utilizar uma cifra de menor força contradiz a política de segurança de algumas organizações.
Se a configuração de cifra SSL predefinida cumprir a política de segurança da sua organização, não é necessária nenhuma ação.
Se a configuração de cifra SSL predefinida não cumprir a política de segurança da sua organização, o agente UNIX e Linux do Operations Manager fornece uma opção de configuração para especificar as cifras que o SSL pode aceitar na porta 1270. Esta opção pode ser utilizada para controlar as cifras e fazer com que a configuração de SSL fique em conformidade com as suas políticas. Após a instalação do agente UNIX e Linux do Operations Manager em cada computador gerido, a opção de configuração tem de ser definida através dos procedimentos descritos na secção seguinte. O Operations Manager não fornece nenhuma forma automática ou incorporada de aplicar estas configurações; cada organização tem de efetuar a configuração através de um mecanismo externo que funcione melhor para a mesma.
Definir a opção de configuração sslCipherSuite
As cifras SSL para a porta 1270 são controladas mediante a definição da opção sslciphersuite no ficheiro de configuração OMI, omiserver.conf. O ficheiro omiserver.conf está localizado no diretório /etc/opt/omi/conf/.
O formato para a opção sslciphersuite neste ficheiro é o seguinte:
sslciphersuite=<cipher spec>
Em <que as especificações> de cifra especificam as cifras permitidas, não permitidas e a ordem pela qual as cifras permitidas são escolhidas.
O formato das <especificações> de cifra é o mesmo que o formato da opção sslCipherSuite na versão 2.0 do Apache HTTP Server. Para obter informações detalhadas, veja SSLCipherSuite Directive na documentação do Apache. Todas as informações neste site são fornecidas pelo proprietário ou pelos utilizadores do site. A Microsoft não oferece nenhuma garantia, expressa, implícita ou estatutária, em relação às informações neste Web site.
Após a definição da opção de configuração sslCipherSuite, é necessário reiniciar o agente UNIX e Linux para que a alteração surta efeito. Para reiniciar o agente UNIX e Linux, execute o seguinte comando, que está localizado no diretório /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Ativar ou Desativar as Versões do Protocolo TLS
Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Os sinalizadores seguintes têm de ser definidos para ativar/desativar as versões do protocolo TLS. Para obter mais informações, veja Configurar o Servidor OMI.
| Propriedade | Objetivo |
|---|---|
| NoTLSv1_0 | Quando verdadeiro, o protocolo TLSv1.0 é desativado. |
| NoTLSv1_1 | Quando verdadeiro e se disponível na plataforma, o protocolo TLSv1.1 é desativado. |
| NoTLSv1_2 | Quando verdadeiro e se disponível na plataforma, o protocolo TLSv1.2 é desativado. |
Ativar ou desativar o protocolo SSLv3
O Operations Manager comunica com os agentes UNIX e Linux através de HTTPS, utilizando a encriptação TLS ou SSL. O processo de handshaking SSL negoceia a encriptação mais forte mutuamente disponível no agente e no servidor de gestão. Pode querer proibir o SSLv3 para que um agente que não consiga negociar a encriptação TLS não regresse ao SSLv3.
Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf
Para desativar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=true
Para ativar o SSLv3
Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=false
Nota
A seguinte atualização é aplicável ao UR3 do Operations Manager 2019 e posterior.
Matriz de Suporte de Conjuntos de Cifras
| Distro | Kernel | Versão do OpenSSL | Conjunto de Cifras Suportado Mais Alto/Conjunto de Cifras Preferencial | Índice de Cifras |
|---|---|---|---|---|
| Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Oracle Linux Server versão 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 fev 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 de janeiro de 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 abr 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| CentOS Linux 8 (Core) | Linux 4.18.0-193.el8.x86_64 | OPENSSL 1.1.1c FIPS (28 de maio de 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (1 mar 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (11 set 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (31 mar 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
| SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (14 de agosto de 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
| Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 set 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Cifras, algoritmos MAC e algoritmos de troca de chaves
No System Center Operations Manager 2016 e posterior, as cifras abaixo, algoritmos MAC e algoritmos de troca de chaves são apresentados pelo módulo SSH do System Center Operations Manager.
Cifras disponibilizadas pelo módulo SSH de SCOM:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
Algoritmos MAC disponibilizados pelo módulo SSH de SCOM:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
Algoritmos de troca de chaves disponibilizados pelo módulo SSH de SCOM:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Renegociações SSL desativadas no agente linux
Para o agente Linux, as renegociações SSL estão desativadas.
As renegociações de SSL podem causar vulnerabilidades no agente SCOM-Linux, o que pode facilitar aos atacantes remotos a causa de uma negação de serviço através da realização de muitas renegociações numa única ligação.
O agente linux utiliza opensource OpenSSL para fins SSL.
As seguintes versões são suportadas apenas para renegociação:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
Para as versões OpenSSL 1.10 - 1.1.0g, não pode desativar a renegociação porque o OpenSSL não suporta renegociação.
Passos seguintes
Para compreender como autenticar e monitorizar os seus computadores UNIX e Linux, veja Credenciais Que Tem de Ter para Aceder a Computadores UNIX e Linux.
Para configurar o Operations Manager para autenticar com os seus computadores UNIX e Linux, veja Como Definir Credenciais para Aceder a Computadores UNIX e Linux.
Para compreender como elevar uma conta sem privilégios para uma monitorização eficaz de computadores UNIX e Linux, veja Como Configurar a Elevação do sudo e as Chaves SSH.