主页
产品
Red Hat Enterprise Linux
10
安全强化
2.9. 使用 crypto_policies RHEL 系统角色增强 FUTURE 加密策略的安全性

2.9. 使用 crypto_policies RHEL 系统角色增强 FUTURE 加密策略的安全性

您可以使用 crypto_policies RHEL 系统角色在受管节点上配置 FUTURE 策略。例如，此策略帮助实现：

未来对新兴威胁的影响: 预测计算能力的提升。
增强的安全性: 更强大的加密标准需要更长的密钥长度和更安全的算法。
遵守高安全标准: 例如，在医疗保健、电信和金融行业中，对数据敏感度很高，并且强大的加密可用性非常关键。

通常，FUTURE 适合处理高度敏感数据的环境，为将来的法规做准备，或采用长期的安全策略。

警告

传统系统和软件不必支持更现代化且更严格的算法和协议，由 FUTURE 策略实施。例如，旧的系统可能不支持 TLS 1.3 或更大的密钥大小。这可能导致兼容性问题。

另外，使用强大的算法通常会增加计算工作负载，这可能会对您的系统性能造成负面影响。

先决条件

您已准备好控制节点和受管节点。
您以可在受管主机上运行 playbook 的用户身份登录到控制节点。
您用于连接到受管节点的帐户对它们具有 sudo 权限。

流程

创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：
```
---
- name: Configure cryptographic policies
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure the FUTURE cryptographic security policy on the managed node
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.crypto_policies
      vars:
        - crypto_policies_policy: FUTURE
        - crypto_policies_reboot_ok: true
```
```
---
- name: Configure cryptographic policies
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure the FUTURE cryptographic security policy on the managed node
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.crypto_policies
      vars:
        - crypto_policies_policy: FUTURE
        - crypto_policies_reboot_ok: true
```
Copy to Clipboard Toggle word wrap
示例 playbook 中指定的设置包括如下：
crypto_policies_policy: FUTURE
在受管节点上配置所需的加密策略(FUTURE)。它可以是基本策略，也可以是带有一些子策略的基本策略。指定的基本策略和子策略必须在受管节点上可用。默认值为 null，这意味着配置没有更改，并且 crypto_policies RHEL 系统角色仅收集 Ansible 事实。
crypto_policies_reboot_ok: true
加密策略更改后导致系统重启，以确保所有服务和应用程序都将读取新的配置文件。默认值为 false。
有关角色变量和加密配置选项的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.crypto_policies/README.md 文件以及 update-crypto-policies (8) 和 crypto-policies (7) 手册页。
验证 playbook 语法：
```
ansible-playbook --syntax-check ~/playbook.yml
```
```
$ ansible-playbook --syntax-check ~/playbook.yml
```
Copy to Clipboard Toggle word wrap
请注意，这个命令只验证语法，不能防止错误的、但有效的配置。
运行 playbook：
```
ansible-playbook ~/playbook.yml
```
```
$ ansible-playbook ~/playbook.yml
```
Copy to Clipboard Toggle word wrap

验证

在控制节点上，创建另一个 playbook，例如 verify_playbook.yml ：

---
- name: Verification
  hosts: managed-node-01.example.com
  tasks:
    - name: Verify active cryptographic policy
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.crypto_policies
    - name: Display the currently active cryptographic policy
      ansible.builtin.debug:
        var: crypto_policies_active

---
- name: Verification
  hosts: managed-node-01.example.com
  tasks:
    - name: Verify active cryptographic policy
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.crypto_policies
    - name: Display the currently active cryptographic policy
      ansible.builtin.debug:
        var: crypto_policies_active

Copy to Clipboard

Toggle word wrap

示例 playbook 中指定的设置包括如下：

crypto_policies_active: 导出的 Ansible 事实包含当前活动的 crypto_policies_policy 变量可接受的格式的策略名称。

验证 playbook 语法：

ansible-playbook --syntax-check ~/verify_playbook.yml

$ ansible-playbook --syntax-check ~/verify_playbook.yml

Copy to Clipboard

Toggle word wrap

运行 playbook：

ansible-playbook ~/verify_playbook.yml

$ ansible-playbook ~/verify_playbook.yml
TASK [debug] **************************
ok: [host] => {
    "crypto_policies_active": "FUTURE"
}

Copy to Clipboard

Toggle word wrap

crypto_policies_active 变量显示受管节点上活动的策略。

返回顶部

2.9. 使用 crypto_policies RHEL 系统角色增强 FUTURE 加密策略的安全性

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links