SSL şifrelemelerini yapılandırma
Önemli
Operations Manager'ın bu sürümü desteğin sonuna ulaştı. Operations Manager 2022'ye yükseltmenizi öneririz.
System Center - Operations Manager, unix ve Linux bilgisayarlarını varsayılan Güvenli Yuva Katmanı (SSL) şifreleme yapılandırmasında değişiklik yapmadan doğru şekilde yönetir. Çoğu kuruluş için varsayılan yapılandırma kabul edilebilir ancak değişikliklerin gerekli olup olmadığını belirlemek için kuruluşunuzun güvenlik ilkelerini denetlemeniz gerekir.
SSL şifreleme yapılandırmasını kullanma
Operations Manager UNIX ve Linux aracısı, 1270 numaralı bağlantı noktasındaki istekleri kabul ederek ve bu isteklere yanıt olarak bilgi sağlayarak Operations Manager yönetim sunucusuyla iletişim kurar. İstekler bir SSL bağlantısı üzerinden çalışan WS-Yönetim protokolü kullanılarak yapılır.
Her bir istek için SSL bağlantısı ilk kez kurulurken, standart SSL protokolü kullanılacak bağlantı için şifreleme olarak bilinen şifreleme algoritmasını belirler. Operations Manager için, yönetim sunucusu her zaman yüksek güçlü bir şifreleme kullanarak yönetim sunucusu ile UNIX veya Linux bilgisayar arasındaki ağ bağlantısında güçlü şifrelemenin kullanılmasını sağlar.
UNIX veya Linux bilgisayardaki varsayılan SSL şifreleme yapılandırması işletim sisteminin parçası olarak yüklenen SSL paketi tarafından yönetilir. SSL şifreleme yapılandırması genellikle daha düşük güçlü eski şifreler de dahil olmak üzere çeşitli şifrelerle bağlantılara izin verir. Operations Manager bu düşük güçlü şifrelemeleri kullanmasa da, 1270 numaralı bağlantı noktasının daha düşük güçlü bir şifreleme kullanma olasılığıyla açık olması bazı kuruluşların güvenlik ilkesiyle çelişmektedir.
Varsayılan SSL şifreleme yapılandırması kuruluşunuzun güvenlik ilkesini karşılıyorsa hiçbir eylem gerekmez.
Varsayılan SSL şifreleme yapılandırması kuruluşunuzun güvenlik ilkesiyle çelişiyorsa, Operations Manager UNIX ve Linux aracısı SSL'nin 1270 numaralı bağlantı noktasında kabul edebileceği şifrelemeleri belirtmek için bir yapılandırma seçeneği sağlar. Bu seçenek şifrelemeleri denetlemek ve SSL yapılandırmasını ilkelerinizle uyumlu hale getirmek için kullanılabilir. Yönetilen her bilgisayara Operations Manager UNIX ve Linux aracısı yüklendikten sonra yapılandırma seçeneğinin bir sonraki bölümde açıklanan yordamlar kullanılarak ayarlanması gerekir. Operations Manager bu yapılandırmaları uygulamak için herhangi bir otomatik veya yerleşik yol sağlamaz; her kuruluş için en uygun dış mekanizmayı kullanarak yapılandırmayı gerçekleştirmesi gerekir.
sslCipherSuite yapılandırma seçeneğini ayarlama
Bağlantı noktası 1270 için SSL şifrelemeleri omiserver.conf OMI yapılandırma dosyasındaki sslciphersuiteseçeneğinin ayarlanmasıyla denetlenir. omiserver.conf dosyası dizininde /etc/opt/omi/conf/
bulunur.
Bu dosyadaki sslciphersuite seçeneğinin biçimi:
sslciphersuite=<cipher spec>
Burada <şifreleme belirtimi> izin verilen, izin verilmeyen şifreleri ve izin verilen şifrelemelerin seçilme sırasını belirtir.
Şifreleme belirtimi> biçimi<, Apache HTTP Server sürüm 2.0'daki sslCipherSuite seçeneğinin biçimiyle aynıdır. Ayrıntılı bilgi için, Apache dokümantasyonunda bkz. SSLCipherSuite Directive (SSLCipherSuite Yönergesi) . Bu sitedeki tüm bilgiler, web sitesinin sahibi veya kullanıcıları tarafından sağlanır. Microsoft söz konusu web sitesindeki bilgilere ilişkin sarih, zımni veya yasal hiçbir garantide bulunmaz.
sslCipherSuite yapılandırma seçeneğinin ayarlanmasından sonra yapılan değişikliğin etkinleşmesi için UNIX ve aracısını yeniden başlatmalısınız. UNIX ve Linux aracısını yeniden başlatmak için, /etc/opt/microsoft/scx/bin/tools dizininde bulunan aşağıdaki komutu çalıştırın.
. setup.sh
scxadmin -restart
TLS Protokolü Sürümlerini Etkinleştirme veya Devre Dışı Bırakma
System Center – Operations Manager için omiserver.conf şu konumda bulunur: /etc/opt/omi/conf/omiserver.conf
TLS protokolü sürümlerini etkinleştirmek/devre dışı bırakmak için aşağıdaki bayrakların ayarlanması gerekir. Daha fazla bilgi için bkz . OMI Sunucusunu Yapılandırma.
Özellik | Purpose |
---|---|
NoTLSv1_0 | True olduğunda TLSv1.0 protokolü devre dışı bırakılır. |
NoTLSv1_1 | True olduğunda ve platformda varsa TLSv1.1 protokolü devre dışı bırakılır. |
NoTLSv1_2 | True olduğunda ve platformda varsa TLSv1.2 protokolü devre dışı bırakılır. |
SSLv3 Protokolunu Etkinleştirme veya Devre Dışı Bırakma
Operations Manager, TLS veya SSL şifrelemesi kullanarak HTTPS üzerinden UNIX ve Linux aracılarıyla iletişim kurar. SSL el sıkışma işlemi, aracı ve yönetim sunucusunda karşılıklı olarak kullanılabilen en güçlü şifrelemeyi belirler. TLS şifrelemesi anlaşması yapabilen bir aracının SSLv3'e geri dönmemesi için SSLv3'ün yasaklanması isteyebilirsiniz.
System Center – Operations Manager için omiserver.conf şu konumda bulunur: /etc/opt/omi/conf/omiserver.conf
SSLv3'i devre dışı bırakmak için
omiserver.conf dosyasını değiştirin, NoSSLv3 satırını şöyle ayarlayın:NoSSLv3=true
SSLv3'i etkinleştirmek için
omiserver.conf dosyasını değiştirin, NoSSLv3 satırını şöyle ayarlayın:NoSSLv3=false
Not
Aşağıdaki güncelleştirme Operations Manager 2019 UR3 ve üzeri için geçerlidir.
Şifreleme Paketi Destek Matrisi
Dağıtım | Çekirdek | OpenSSL Sürümü | Desteklenen En Yüksek Şifreleme Paketi/Tercih Edilen Şifreleme Paketi | Şifreleme Dizini |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (26 Ocak 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (21 Nisan 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Oracle Linux Server 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (11 Şubat 2013) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (26 Ocak 2017) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (21 Nisan 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Linux 8 (Çekirdek) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (28 Mayıs 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-genel | OpenSSL 1.0.2g (1 Mart 2016) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-genel | OpenSSL 1.1.1 (11 Eylül 2018) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-genel | OpenSSL 1.1.1f (31 Mart 2020) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-varsayılan | OpenSSL 1.0.2p-fips (14 Ağustos 2018) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (10 Eylül 2019) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Şifrelemeler, MAC algoritmaları ve anahtar değişim algoritmaları
System Center Operations Manager 2016 ve sonraki sürümlerinde aşağıdaki şifrelemeler, MAC algoritmaları ve anahtar değişim algoritmaları System Center Operations Manager SSH modülü tarafından sunulur.
SCOM SSH modülü tarafından sunulan şifrelemeler:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH modülü tarafından sunulan MAC algoritmaları:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH modülü tarafından sunulan Anahtar Değişimi algoritmaları:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux aracısında DEVRE DIŞI SSL yeniden anlaşmaları
Linux aracısı için SSL yeniden anlaşmaları devre dışı bırakılır.
SSL yeniden anlaşmaları SCOM-Linux aracısında güvenlik açığına neden olabilir ve bu da uzak saldırganların tek bir bağlantı içinde birçok yeniden anlaşma yaparak hizmet reddine neden olmasını kolaylaştırabilir.
Linux aracısı, SSL amacıyla opensource OpenSSL kullanır.
Aşağıdaki sürümler yalnızca yeniden anlaşma için desteklenir:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
OpenSSL sürüm 1.10 - 1.1.0g için, OpenSSL yeniden müzakereyi desteklemediğinden yeniden anlaşma özelliğini devre dışı bırakamazsınız.
Sonraki adımlar
UNIX ve Linux bilgisayarlarınızın kimliğini doğrulamayı ve izlemeyi anlamak için, UNIX ve Linux Bilgisayarlara Erişmek için Sahip Olmanız Gereken Kimlik Bilgileri'ni gözden geçirin.
Operations Manager'ı UNIX ve Linux bilgisayarlarınızla kimlik doğrulaması yapmak üzere yapılandırmak için bkz . HOW to Set Credentials for Accessing UNIX and Linux Computers.
UNIX ve Linux bilgisayarların etkili bir şekilde izlenmesi için ayrıcalıksız bir hesabı yükseltmeyi anlamak için Sudo Yükseltme ve SSH Anahtarlarını Yapılandırma'yı gözden geçirin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin