Поделиться через

Настройка шифров SSL

  • Статья

System Center — Operations Manager правильно управляет компьютерами UNIX и Linux без изменений в конфигурации шифра ssl по умолчанию. Для большинства организаций конфигурация по умолчанию допустима, но необходимо проверить политики безопасности вашей организации, чтобы определить, требуются ли изменения.

Использование конфигурации шифра SSL

Агент UNIX и Linux в Operations Manager взаимодействует с сервером управления Operations Manager, принимая запросы по порту 1270 и отправляя данные в ответ на эти запросы. Запросы выполняются с помощью протокола WS-Management, работающего в SSL-подключении.

При установке SSL-подключения в первый раз для каждого запроса стандартный протокол SSL согласовывает алгоритм шифрования, шифр, для применения при подключении. Для Operations Manager сервер управления всегда согласовывает использование шифра с высокой степенью надежности, чтобы надежное шифрование использовалось в сетевом подключении между сервером управления и компьютером UNIX или Linux.

Конфигурацией шифра SSL на компьютерах с UNIX и Linux по умолчанию управляет пакет SSL, установленный как часть операционной системы. Конфигурация шифров SSL обычно позволяет подключениям с различными шифрами, включая старые шифры меньшей силы. Хотя Operations Manager не использует эти шифры с более низкой силой, открыв порт 1270 с возможностью использования шифра более низкой силы противоречит политике безопасности некоторых организаций.

Если конфигурация шифра SSL по умолчанию соответствует политике безопасности вашей организации, никаких действий не требуется.

Если конфигурация шифра SSL по умолчанию противоречит политике безопасности вашей организации, агент Operations Manager UNIX и Linux предоставляет параметр конфигурации для указания шифров, которые SSL может принимать через порт 1270. Этот параметр можно использовать для управления шифрами и приведения конфигурации SSL в соответствии с вашими политиками. После установки агента Operations Manager для UNIX и Linux на каждом управляемом компьютере данный параметр конфигурации нужно установить с помощью процедур, описанных в следующем разделе. Operations Manager не предоставляет никаких автоматических или встроенных способов применения этих конфигураций; каждая организация должна выполнять конфигурацию с помощью внешнего механизма, который лучше всего подходит для него.

Настройка параметра конфигурации sslCipherSuite

Шифры SSL для порта 1270 управляются с помощью параметра sslciphersuite в файле конфигурации OMI с именем omiserver.conf. Файл omiserver.conf находится в каталоге /etc/opt/omi/conf/.

Формат параметра sslciphersuite в этом файле имеет следующий вид.

sslciphersuite=<cipher spec>

Где <спецификация> шифров указывает допустимые, запрещенные шифры и порядок выбора разрешенных шифров.

Формат спецификации> шифров совпадает с форматом <параметра sslCipherSuite в Apache HTTP Server версии 2.0. Дополнительные сведения см. в разделе Директива SSLCipherSuite документации Apache. Все сведения на этом сайте предоставляются владельцем или пользователями веб-сайта. Корпорация Майкрософт не предоставляет никаких гарантий, явных, подразумеваемых или предусмотренных законом, относительно информации, которая содержится на этом веб-сайте.

После установки параметра конфигурации sslCipherSuite необходимо перезапустить агент UNIX и Linux, чтобы изменения вступили в силу. Чтобы перезапустить агент UNIX и Linux, выполните следующую команду, расположенную в каталоге /etc/opt/microsoft/scx/bin/tools .

. setup.sh  
scxadmin -restart

Включение или отключение версий протокола TLS

Для System Center — Operations Manager, omiserver.conf находится в: /etc/opt/omi/conf/omiserver.conf

Для включения и отключения версий протокола TLS необходимо задать следующие флаги. Дополнительные сведения см. в разделе "Настройка сервера OMI".

Свойство Характер использования
NoTLSv1_0 Если значение true, протокол TLSv1.0 отключен.
NoTLSv1_1 Если значение true и доступно на платформе, протокол TLSv1.1 отключен.
NoTLSv1_2 Если значение true и доступно на платформе, протокол TLSv1.2 отключен.

Включение или отключение протокола SSLv3

Operations Manager взаимодействует с агентами UNIX и Linux по протоколу HTTPS с помощью шифрования TLS или SSL. Процесс подтверждения SSL согласовывает самое надежное шифрование, которое является взаимодоступным на агенте и сервере управления. Возможно, вы хотите запретить SSLv3, чтобы агент, который не мог согласовывать шифрование TLS, не возвращается к SSLv3.

Для System Center — Operations Manager, omiserver.conf находится в: /etc/opt/omi/conf/omiserver.conf

Отключение SSLv3

Измените omiserver.conf, задайте строку NoSSLv3 следующим образом: NoSSLv3=true

Включение SSLv3

Измените omiserver.conf, задайте строку NoSSLv3 следующим образом: NoSSLv3=false

Примечание.

Это обновление применимо для Operations Manager 2019 UR3 и более поздних версий.

Матрица поддержки комплекта шифров

Дистрибутив Ядро Версия OpenSSL Набор шифров с наивысшей поддержкой или предпочтительный набор шифров Индекс шифра
Red Hat Enterprise Linux Server версии 7.5 (Maipo) Linux 3.10.0-862.el7.x86_64 OpenSSL 1.0.2k-fips (26 января 2017 г.) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa) Linux 4.18.0-240.el8.x86_64 OpenSSL 1.1.1g FIPS (21 апреля 2020 г.) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Oracle Linux Server, выпуск 6.10 Linux4.1.12-124.16.4.el6uek.x86_64 OpenSSL 1.0.1e-fips (11 февраля 2013 г.) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 7.9 Linux 5.4.17-2011.6.2.el7uek.x86_64 OpenSSL 1.0.2k-fips (26 января 2017 г.) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 8.3 Linux 5.4.17-2011.7.4.el8uek.x86_64 OpenSSL 1.1.1g FIPS (21 апреля 2020 г.) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Linux 8 (Core) Linux 4.18.0-193.el8.x86_64 OpenSSL 1.1.1c FIPS (28 мая 2019 г.) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 16.04.5 LTS Linux 4.4.0-131-generic OpenSSL 1.0.2g (1 мар 2016) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Ubuntu 18.10 Linux 4.18.0-25-generic OpenSSL 1.1.1 (11 сентября 2018 г.) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 20.04 LTS Linux 5.4.0-52-generic OpenSSL 1.1.1f (31 мар 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5 Linux 4.12.14-120-default OpenSSL 1.0.2p-fips (14 августа 2018 г.) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Debian GNU/Linux 10 (buster) Linux 4.19.0-13-amd64 OpenSSL 1.1.1d (10 сентября 2019 г.) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }

Шифры, алгоритмы MAC и алгоритмы обмена ключами

В System Center Operations Manager 2016 и более поздних версиях приведенные ниже шифры, алгоритмы MAC и алгоритмы обмена ключами представлены модулем SSH System Center Operations Manager.

Шифры, предлагаемые модулем SSH SCOM:

  • aes256-ctr
  • aes256-cbc
  • aes192-ctr
  • aes192-cbc
  • aes128-ctr
  • aes128-cbc
  • 3des-ctr
  • 3des-cbc

Алгоритмы MAC, предлагаемые модулем SSH SCOM:

  • hmac-sha10
  • hmac-sha1-96
  • hmac-sha2-256

Алгоритмы обмена ключами, предлагаемые модулем SSH SCOM:

  • diffie-hellman-group-exchange-sha256;
  • diffie-hellman-group-exchange-sha1;
  • diffie-hellman-group14-sha1;
  • diffie-hellman-group14-sha256;
  • diffie-hellman-group1-sha1.
  • ecdh-sha2-nistp256.
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

Отключенные повторного согласования SSL в агенте Linux

Для агентов Linux повторные согласования SSL отключены.

Повторное согласование SSL может привести к уязвимости в агенте SCOM-Linux, что может облегчить удаленным злоумышленникам причинить отказ в обслуживании путем выполнения множества повторных переговоров в одном соединении.

Агент Linux использует opensource OpenSSL в целях SSL.

Следующие версии поддерживаются только для повторной подготовки:

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

Для OpenSSL версии 1.10 – 1.1.0g нельзя отключить повторное согласование, так как OpenSSL не поддерживает повторное согласование.

Следующие шаги