ホーム
製品
Red Hat Enterprise Linux
10
セキュリティーの強化
2.6. サブポリシーを使用したシステム全体の暗号化ポリシーのカスタマイズ

2.6. サブポリシーを使用したシステム全体の暗号化ポリシーのカスタマイズ

システムで有効な暗号化アルゴリズムまたはプロトコルのセットを調整できます。既存のシステム全体の暗号化ポリシーの上にカスタムサブポリシーを適用するか、そのようなポリシーを最初から定義することができます。

スコープが設定されたポリシーの概念により、バックエンドごとに異なるアルゴリズムセットを有効にできます。各設定ディレクティブは、特定のプロトコル、ライブラリー、またはサービスに限定できます。

さらに、ディレクティブではワイルドカード文字 (たとえば、複数の値を指定するためのアスタリスク) を使用できます。完全な構文のリファレンスについては、システム上の update-crypto-policies(8) man ページの Custom Policies セクションと crypto-policies(7) man ページの Crypto Policy Definition Format セクションを参照してください。

/etc/crypto-policies/state/CURRENT.pol ファイルには、ワイルドカードデプロイメント後に現在適用されているシステム全体の暗号化ポリシーのすべての設定がリスト表示されます。
暗号化ポリシーをより厳密にするには、/usr/share/crypto-policies/policies/FUTURE.pol ファイルにリストされている値を使用することを検討してください。
サブポリシーの例は、/usr/share/crypto-policies/policies/modules/ ディレクトリーにあります。

手順

/etc/crypto-policies/policies/modules/ ディレクトリーをチェックアウトします。
```
cd /etc/crypto-policies/policies/modules/
```
```
# cd /etc/crypto-policies/policies/modules/
```
Copy to Clipboard Toggle word wrap
調整用のサブポリシーを作成します。次に例を示します。
```
touch <MYCRYPTO-1>.pmod
touch <SCOPES-AND-WILDCARDS>.pmod
```
```
# touch <MYCRYPTO-1>.pmod
# touch <SCOPES-AND-WILDCARDS>.pmod
```
Copy to Clipboard Toggle word wrap
重要
ポリシーモジュールのファイル名には大文字を使用します。

任意のテキストエディターでポリシーモジュールを開き、システム全体の暗号化ポリシーを変更するオプションを挿入します。次に例を示します。

vi <MYCRYPTO-1>.pmod

# vi <MYCRYPTO-1>.pmod

Copy to Clipboard

Toggle word wrap

min_rsa_size = 3072
hash = SHA2-384 SHA2-512 SHA3-384 SHA3-512

min_rsa_size = 3072
hash = SHA2-384 SHA2-512 SHA3-384 SHA3-512

Copy to Clipboard

Toggle word wrap

vi <SCOPES-AND-WILDCARDS>.pmod

# vi <SCOPES-AND-WILDCARDS>.pmod

Copy to Clipboard

Toggle word wrap

Disable the AES-128 cipher, all modes
Disable CHACHA20-POLY1305 for the TLS protocol (OpenSSL, GnuTLS, NSS, and OpenJDK)
Allow using the FFDHE-1024 group with the SSH protocol (libssh and OpenSSH)
Disable all CBC mode ciphers for the SSH protocol (libssh and OpenSSH)
Allow the AES-256-CBC cipher in applications using libssh

# Disable the AES-128 cipher, all modes
cipher = -AES-128-*

# Disable CHACHA20-POLY1305 for the TLS protocol (OpenSSL, GnuTLS, NSS, and OpenJDK)
cipher@TLS = -CHACHA20-POLY1305

# Allow using the FFDHE-1024 group with the SSH protocol (libssh and OpenSSH)
group@SSH = FFDHE-1024+

# Disable all CBC mode ciphers for the SSH protocol (libssh and OpenSSH)
cipher@SSH = -*-CBC

# Allow the AES-256-CBC cipher in applications using libssh
cipher@libssh = AES-256-CBC+

Copy to Clipboard

Toggle word wrap

変更をモジュールファイルに保存します。
ポリシーの調整を、システム全体の暗号化ポリシーレベル DEFAULT に適用します。
```
update-crypto-policies --set DEFAULT:<MYCRYPTO-1>:<SCOPES-AND-WILDCARDS>
```
```
# update-crypto-policies --set DEFAULT:<MYCRYPTO-1>:<SCOPES-AND-WILDCARDS>
```
Copy to Clipboard Toggle word wrap
暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。
```
reboot
```
```
# reboot
```
Copy to Clipboard Toggle word wrap

検証

/etc/crypto-policies/state/CURRENT.pol ファイルに変更が含まれていることを確認します。以下に例を示します。
```
cat /etc/crypto-policies/state/CURRENT.pol | grep rsa_size
min_rsa_size = 3072
```
```
$ cat /etc/crypto-policies/state/CURRENT.pol | grep rsa_size
min_rsa_size = 3072
```
Copy to Clipboard Toggle word wrap

トップに戻る

2.6. サブポリシーを使用したシステム全体の暗号化ポリシーのカスタマイズ

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links