8.2. 系统范围的加密策略

系统范围的加密策略是一个系统组件，它配置核心加密子系统，包括 TLS、IPSec、SSH、DNSSec 和 Kerberos 协议。

原位升级过程会保留您在 RHEL 9 中使用的加密策略。例如，如果您在 RHEL 9 中使用 DEFAULT 加密策略，您的系统升级到 RHEL 10 也使用 DEFAULT。请注意，预定义的策略中的特定设置有所不同，RHEL 10 加密策略包含更严格和更安全的默认值。如需更多信息，请参阅 安全强化文档中的使用系统范围的加密策略 部分。https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/10/html/security_hardening/using-system-wide-cryptographic-policies自定义加密策略会在原位升级过程中保留。

要查看或更改当前系统范围的加密策略，请使用 update-crypto-policies 工具：

update-crypto-policies --show

$ update-crypto-policies --show
DEFAULT

例如，以下命令可将系统范围内的加密策略切换到 FUTURE，这样可防止任何近期可能出现的安全攻击：

update-crypto-policies --set FUTURE

# update-crypto-policies --set FUTURE
Setting system policy to FUTURE

您还可以自定义系统范围的加密策略。详情请参阅 使用子策略自定义系统范围的加密策略，以及创建并设置自定义系统范围的加密策略 部分。如果您使用自定义加密策略，请考虑查看和更新策略，以便在加密和计算机硬件中提前缓解出现的威胁。