2.9. 使用 crypto_policies RHEL 系统角色增强 FUTURE 加密策略的安全性
您可以使用 crypto_policies
RHEL 系统角色在受管节点上配置 FUTURE
策略。例如,此策略帮助实现:
- 未来对新兴威胁的影响
- 预测计算能力的提升。
- 增强的安全性
- 更强大的加密标准需要更长的密钥长度和更安全的算法。
- 遵守高安全标准
- 例如,在医疗保健、电信和金融行业中,对数据敏感度很高,并且强大的加密可用性非常关键。
通常,FUTURE
适合处理高度敏感数据的环境,为将来的法规做准备,或采用长期的安全策略。
传统系统和软件不必支持更现代化且更严格的算法和协议,由 FUTURE
策略实施。例如,旧的系统可能不支持 TLS 1.3 或更大的密钥大小。这可能导致兼容性问题。
另外,使用强大的算法通常会增加计算工作负载,这可能会对您的系统性能造成负面影响。
先决条件
- 您已准备好控制节点和受管节点。
- 您以可在受管主机上运行 playbook 的用户身份登录到控制节点。
-
您用于连接到受管节点的帐户对它们具有
sudo
权限。
流程
创建一个包含以下内容的 playbook 文件,如
~/playbook.yml
:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例 playbook 中指定的设置包括如下:
crypto_policies_policy: FUTURE
-
在受管节点上配置所需的加密策略(
FUTURE
)。它可以是基本策略,也可以是带有一些子策略的基本策略。指定的基本策略和子策略必须在受管节点上可用。默认值为null
,这意味着配置没有更改,并且crypto_policies
RHEL 系统角色仅收集 Ansible 事实。 crypto_policies_reboot_ok: true
-
加密策略更改后导致系统重启,以确保所有服务和应用程序都将读取新的配置文件。默认值为
false
。
有关角色变量和加密配置选项的详情,请查看控制节点上的
/usr/share/ansible/roles/rhel-system-roles.crypto_policies/README.md
文件以及update-crypto-policies (8)
和crypto-policies (7)
手册页。验证 playbook 语法:
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.yml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 请注意,这个命令只验证语法,不能防止错误的、但有效的配置。
运行 playbook:
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.yml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
在控制节点上,创建另一个 playbook,例如
verify_playbook.yml
:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例 playbook 中指定的设置包括如下:
crypto_policies_active
-
导出的 Ansible 事实包含当前活动的
crypto_policies_policy
变量可接受的格式的策略名称。
验证 playbook 语法:
ansible-playbook --syntax-check ~/verify_playbook.yml
$ ansible-playbook --syntax-check ~/verify_playbook.yml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行 playbook:
ansible-playbook ~/verify_playbook.yml
$ ansible-playbook ~/verify_playbook.yml TASK [debug] ************************** ok: [host] => { "crypto_policies_active": "FUTURE" }
Copy to Clipboard Copied! Toggle word wrap Toggle overflow crypto_policies_active
变量显示受管节点上活动的策略。