設定 SSL 加密
System Center - Operations Manager 會正確管理 UNIX 和 Linux 計算機,而不會變更預設的安全套接字層 (SSL) 加密組態。 對大多數組織而言,預設設定是可接受的,但您應該檢查組織的安全策略,以判斷是否需要變更。
使用 SSL 加密組態
Operations Manager UNIX 和 Linux 代理程式會接受埠 1270 上的要求,並提供資訊以回應這些要求,與 Operations Manager 管理伺服器通訊。 提出要求時使用的是在 SSL 連線上執行的 WS-Management 通訊協定。
第一次為每一項要求建立 SSL 連線時,標準 SSL 通訊協定會交涉連線所要使用的加密演算法 (稱為密碼)。 針對 Operations Manager,管理伺服器一律會交涉使用高強度加密,以便在管理伺服器與 UNIX 或 Linux 電腦之間的網路連線上使用強式加密。
UNIX 或 Linux 電腦上的預設 SSL 密碼設定是由連同作業系統一併安裝的 SSL 套件所管理。 SSL 加密組態通常允許與各種加密的連線,包括較舊的加密強度較低。 雖然 Operations Manager 不會使用這些較低的強度加密,但讓埠 1270 開啟且有可能使用較低的強度加密,與某些組織的安全策略相矛盾。
如果預設 SSL 加密組態符合組織的安全策略,則不需要採取任何動作。
如果預設 SSL 加密組態與組織的安全策略相矛盾,Operations Manager UNIX 和 Linux 代理程式會提供組態選項,以指定 SSL 可在埠 1270 上接受的密碼。 這個選項可用來控制密碼,並讓 SSL 設定變成與您的原則一致。 在每個受管理計算機上安裝 Operations Manager UNIX 和 Linux 代理程式之後,必須使用下一節所述的程式來設定組態選項。 Operations Manager 不提供套用這些設定的任何自動或內建方式;每個組織都必須使用最適合它的外部機制來執行設定。
設定 sslCipherSuite 組態選項
連接埠 1270 的 SSL 密碼是藉由在 OMI 設定檔 ( omiserver.conf ) 中設定 sslciphersuite選項來控制。 omiserver.conf 檔案位於 目錄中/etc/opt/omi/conf/
。
此檔案中 sslciphersuite 選項的格式如下:
sslciphersuite=<cipher spec>
其中 <加密規格> 會指定允許、不允許的加密,以及選擇允許加密的順序。
加密規格>的格式<與 Apache HTTP Server 2.0 版中的 sslCipherSuite 選項格式相同。 若需詳細資訊,請參閱 Apache 文件中的 SSLCipherSuite Directive 。 此網站上的所有資訊都是由網站的擁有者或使用者提供。 Microsoft 對於此網站上的資訊不提供任何瑕疵擔保,不論其為明示、暗示或法定擔保。
在設定 sslCipherSuite 設定選項之後,您必須重新啟動 UNIX 和 Linux 代理程式,變更才會生效。 若要重新啟動 UNIX 和 Linux 代理程式,請執行下列命令 (位於 /etc/opt/microsoft/scx/bin/tools 目錄)。
. setup.sh
scxadmin -restart
啟用或停用 TLS 通訊協定版本
針對 System Center – Operations Manager,omiserver.conf 位於: /etc/opt/omi/conf/omiserver.conf
必須設定下列旗標,才能啟用/停用 TLS 通訊協定版本。 如需詳細資訊,請參閱 設定 OMI 伺服器。
屬性 | 目的 |
---|---|
NoTLSv1_0 | 若為 true,則會停用 TLSv1.0 通訊協定。 |
NoTLSv1_1 | 如果為 true,且可在平臺上使用,則會停用 TLSv1.1 通訊協定。 |
NoTLSv1_2 | 如果為 true,且可在平臺上使用,則會停用 TLSv1.2 通訊協定。 |
啟用或停用 SSLv3 通訊協定
Operations Manager 會使用 TLS 或 SSL 加密,透過 HTTPS 與 UNIX 和 Linux 代理程序通訊。 SSL 交握程式會交涉代理程式和管理伺服器上可相互取得的最強加密。 您可能想要禁止 SSLv3,讓無法交涉 TLS 加密的代理程式不會回復到 SSLv3。
針對 System Center – Operations Manager,omiserver.conf 位於: /etc/opt/omi/conf/omiserver.conf
停用 SSLv3
修改 omiserver.conf,將 NoSSLv3 行設定為:NoSSLv3=true
啟用 SSLv3
修改 omiserver.conf,將 NoSSLv3 行設定為:NoSSLv3=false
注意
下列更新適用於 Operations Manager 2019 UR3 和更新版本。
加密套件支援矩陣
發行版本 | 內核 | OpenSSL 版本 | 最高支援的加密套件/慣用加密套件 | 加密索引 |
---|---|---|---|---|
Red Hat Enterprise Linux Server 7.5 (Maipo) | Linux 3.10.0-862.el7.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Red Hat Enterprise Linux 8.3 (Ootpa) | Linux 4.18.0-240.el8.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Oracle Linux Server release 6.10 | Linux4.1.12-124.16.4.el6uek.x86_64 | OpenSSL 1.0.1e-fips (2013 年 2 月 11 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 7.9 | Linux 5.4.17-2011.6.2.el7uek.x86_64 | OpenSSL 1.0.2k-fips (2017 年 1 月 26 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Oracle Linux Server 8.3 | Linux 5.4.17-2011.7.4.el8uek.x86_64 | OpenSSL 1.1.1g FIPS (2020 年 4 月 21 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Linux 8 (核心) | Linux 4.18.0-193.el8.x86_64 | OpenSSL 1.1.1c FIPS (2019 年 5 月 28 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 16.04.5 LTS | Linux 4.4.0-131-generic | OpenSSL 1.0.2g (2016 年 3 月 1 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Ubuntu 18.10 | Linux 4.18.0-25-generic | OpenSSL 1.1.1 (2018 年 9 月 11 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
Ubuntu 20.04 LTS | Linux 5.4.0-52-generic | OpenSSL 1.1.1f (2020 年 3 月 31 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
SUSE Linux Enterprise Server 12 SP5 | Linux 4.12.14-120-default | OpenSSL 1.0.2p-fips (2018 年 8 月 14 日) | TLS_RSA_WITH_AES_256_GCM_SHA384 | { 0x00, 0x9D } |
Debian GNU/Linux 10 (buster) | Linux 4.19.0-13-amd64 | OpenSSL 1.1.1d (2019 年 9 月 10 日) | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | { 0xC0, 0x30 } |
加密、MAC 演算法和金鑰交換演算法
在 System Center Operations Manager 2016 和更新版本中,System Center Operations Manager SSH 模組會顯示下列加密、MAC 演算法和密鑰交換演算法。
SCOM SSH 模組提供的加密:
- aes256-ctr
- aes256-cbc
- aes192-ctr
- aes192-cbc
- aes128-ctr
- aes128-cbc
- 3des-ctr
- 3des-cbc
SCOM SSH 模組提供的 MAC 演算法:
- hmac-sha10
- hmac-sha1-96
- hmac-sha2-256
SCOM SSH 模組提供的金鑰交換演算法:
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group14-sha1
- diffie-hellman-group14-sha256
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
Linux 代理程式中已停用 SSL 重新談判
針對Linux代理程式,會停用SSL重新談判。
SSL 重新談判可能會在 SCOM-Linux 代理程式中造成弱點,這可能會讓遠端攻擊者更容易在單一連線內執行許多重新談判來造成阻斷服務。
Linux 代理程式會針對 SSL 用途使用開放原始碼 OpenSSL。
下列版本僅支援重新談判:
- OpenSSL <= 1.0.2
- OpenSSL >= 1.1.0h
針對OpenSSL 1.10 - 1.1.0g版,您無法停用重新談判,因為OpenSSL不支援重新談判。
下一步
若要瞭解如何驗證及監視 UNIX 和 Linux 計算機,請檢閱 您必須具備才能存取 UNIX 和 Linux 計算機的認證。
若要設定 Operations Manager 向 UNIX 和 Linux 計算機進行驗證,請參閱 如何設定存取 UNIX 和 Linux 計算機的認證。
若要瞭解如何提高非特殊許可權帳戶以有效監視 UNIX 和 Linux 計算機,請檢閱 如何設定 sudo 提高許可權和 SSH 密鑰。