Partilhar via


Configurando cifras SSL

O System Center – Operations Manager gerencia corretamente computadores UNIX e Linux sem alterações na configuração de criptografia SSL (Secure Sockets Layer) padrão. Para a maioria das organizações, a configuração padrão é aceitável, mas você deve verificar as políticas de segurança da sua organização para determinar se as alterações são necessárias.

Usando a configuração de criptografia SSL

O agente do UNIX e do Linux do Operations Manager se comunica com o servidor de gerenciamento do Operations Manager aceitando solicitações na porta 1270 e fornecendo informações em resposta a essas solicitações. As solicitações são feitas com o uso do protocolo WS-Management que está sendo executado em uma conexão SSL.

Quando a conexão SSL é estabelecida pela primeira vez para cada solicitação, o protocolo SSL padrão negocia o algoritmo de criptografia, conhecido como uma codificação para a conexão a ser usada. Para o Operations Manager, o servidor de gerenciamento sempre negocia o uso de uma criptografia de alta força para que a criptografia forte seja usada na conexão de rede entre o servidor de gerenciamento e o computador UNIX ou Linux.

A configuração de codificação SSL padrão em um computador UNIX ou Linux é orientada pelo pacote SSL instalado como parte do sistema operacional. A configuração de cifra SSL normalmente permite conexões com várias cifras, incluindo cifras mais antigas de menor força. Embora o Operations Manager não use essas criptografias de força mais baixa, ter a porta 1270 aberta com a possibilidade de usar uma criptografia de força mais baixa contradiz a política de segurança de algumas organizações.

Se a configuração de criptografia SSL padrão atender à política de segurança da sua organização, nenhuma ação será necessária.

Se a configuração de criptografia SSL padrão contradizer a política de segurança da sua organização, o agente UNIX e Linux do Operations Manager fornecerá uma opção de configuração para especificar as criptografias que o SSL pode aceitar na porta 1270. Essa opção pode ser usada para controlar as codificações e colocar a configuração de SSL em conformidade com as suas políticas. Após o agente do UNIX e Linux do Operations Manager ser instalado em cada computador gerenciado, a opção de configuração deverá ser definida usando os procedimentos descritos na próxima seção. O Operations Manager não fornece nenhuma maneira automática ou interna de aplicar essas configurações; Cada organização deve executar a configuração usando um mecanismo externo que funcione melhor para ela.

Configurando a opção de configuração sslCipherSuite

As codificações do SSL da porta 1270 são controladas por meio da configuração da opção sslciphersuite no arquivo de configuração OMI, o omiserver.conf. O arquivo omiserver.conf está localizado no diretório /etc/opt/omi/conf/.

O formato para a opção sslciphersuite nesse arquivo é:

sslciphersuite=<cipher spec>  

Onde <a especificação> de cifra especifica as cifras permitidas, não permitidas e a ordem em que as cifras permitidas são escolhidas.

O formato da <especificação> de cifra é o mesmo que o formato da opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive (Diretiva SSLCipherSuite) na documentação do Apache. Todas as informações contidas neste site são fornecidas pelo proprietário ou pelos usuários do site. A Microsoft não oferece nenhuma garantia expressa, implícita ou estatutária quanto às informações neste site.

Depois de definir a opção de configuração sslCipherSuite , você deve reiniciar o agente do UNIX e Linux para que a alteração tenha efeito. Para reiniciar o agente do UNIX e Linux, execute o seguinte comando localizado no diretório /etc/opt/microsoft/scx/bin/tools .

. setup.sh  
scxadmin -restart  

Habilitando ou desabilitando as versões do protocolo TLS

Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf

Os sinalizadores a seguir precisam ser definidos para habilitar/desabilitar as versões do protocolo TLS. Para obter mais informações, consulte Configurando o servidor OMI.

Propriedade Finalidade
NoTLSv1_0 Quando true, o protocolo TLSv1.0 é desabilitado.
NoTLSv1_1 Quando true, e se disponível na plataforma, o protocolo TLSv1.1 é desabilitado.
NoTLSv1_2 Quando true, e se disponível na plataforma, o protocolo TLSv1.2 é desabilitado.

Habilitando ou desabilitando o protocolo SSLv3

O Operations Manager se comunica com agentes UNIX e Linux por HTTPS, usando criptografia TLS ou SSL. O processo de handshake SSL negocia a criptografia mais forte que está mutuamente disponível no agente e no servidor de gerenciamento. Talvez você queira proibir o SSLv3 para que um agente que não pode negociar a criptografia TLS não volte para o SSLv3.

Para o System Center – Operations Manager, omiserver.conf está localizado em: /etc/opt/omi/conf/omiserver.conf

Para desativar o SSLv3

Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=true

Para habilitar o SSLv3

Modifique omiserver.conf, defina a linha NoSSLv3 como: NoSSLv3=false

Observação

A atualização a seguir é aplicável ao Operations Manager 2019 UR3 e versões posteriores.

Matriz de suporte de conjuntos de criptografia

Distribuição Kernel Versão do OpenSSL Pacote de Criptografia com Suporte mais Alto/Pacote de Criptografia Preferencial Índice de criptografia
Red Hat Enterprise Linux Server versão 7.5 (Maipo) Linux 3.10.0-862.el7.x86_64 OpenSSL 1.0.2k-fips (26 de janeiro de 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa) Linux 4.18.0-240.el8.x86_64 OpenSSL 1.1.1g FIPS (21 de abril de 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Oracle Linux Server versão 6.10 Linux4.1.12-124.16.4.el6uek.x86_64 OpenSSL 1.0.1e-fips (11 de fevereiro de 2013) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 7.9 Linux 5.4.17-2011.6.2.el7uek.x86_64 OpenSSL 1.0.2k-fips (26 de janeiro de 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 8.3 Linux 5.4.17-2011.7.4.el8uek.x86_64 OpenSSL 1.1.1g FIPS (21 de abril de 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Linux 8 (Núcleo) Linux 4.18.0-193.el8.x86_64 OpenSSL 1.1.1c FIPS (28 de maio de 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 16.04.5 LTS Linux 4.4.0-131-genérico OpenSSL 1.0.2g (1 de março de 2016) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Ubuntu 18.10 Linux 4.18.0-25-genérico OpenSSL 1.1.1 (11 de setembro de 2018) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 20.04 LTS Linux 5.4.0-52-genérico OpenSSL 1.1.1f (31 de março de 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5 Linux 4.12.14-120-padrão OpenSSL 1.0.2p-fips (14 de agosto de 2018) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Debian GNU/Linux 10 (buster) Linux 4.19.0-13-amd64 OpenSSL 1.1.1d (10 de setembro de 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }

Criptografias, algoritmos MAC e algoritmos de troca de chaves

No System Center Operations Manager 2016 e posterior, as criptografias abaixo, algoritmos MAC e algoritmos de troca de chaves são apresentados pelo módulo SSH do System Center Operations Manager.

Criptografias oferecidas pelo módulo SSH do SCOM:

  • aes256-ctr
  • aes256-cbc
  • aes192-ctr
  • aes192-cbc
  • aes128-ctr
  • aes128-cbc
  • 3des-ctr
  • 3des-cbc

Algoritmos MAC oferecidos pelo módulo SSH do SCOM:

  • hmac-sha10
  • hmac-sha1-96
  • hmac-sha2-256

Algoritmos do de troca de chave oferecidos pelo módulo SSH do SCOM:

  • diffie-hellman-group-exchange-sha256
  • diffie-hellman-group-exchange-sha1
  • diffie-hellman-group14-sha1
  • diffie-hellman-group14-sha256
  • diffie-hellman-group1-sha1
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

Renegociações de SSL desativadas no agente Linux

Para o agente do Linux, as negociações de SSL estão desabilitadas.

As renegociações de SSL podem causar vulnerabilidade no agente SCOM-Linux, o que pode tornar mais fácil para os invasores remotos causar uma negação de serviço executando muitas renegociações em uma única conexão.

O agente Linux usa OpenSSL de código aberto para fins de SSL.

As seguintes versões são suportadas apenas para renegociação:

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

Para as versões 1.10 a 1.1.0g do OpenSSL, você não pode desabilitar a renegociação porque o OpenSSL não oferece suporte à renegociação.

Próximas etapas