3.5. 将应用程序从下列系统范围的加密策略中排除
您可以通过在应用程序中直接配置受支持的密码套件和协议来自定义应用程序所使用的加密设置。
您还可以从 /etc/crypto-policies/back-ends 目录中删除与应用程序相关的符号链接,并使用您自定义的加密设置来替换它。此配置可防止对使用排除后端的应用程序使用系统范围的加密策略。此外,红帽不支持此修改。
3.5.1. 选择不使用系统范围的加密策略的示例
wget
要自定义 wget 网络下载器所使用的加密设置,请使用 --secure-protocol 和 --ciphers 选项。例如:
$ wget --secure-protocol=TLSv1_1 --ciphers="SECURE128" https://example.com
如需更多信息,请参阅 wget(1) 手册页中的 HTTPS(SSL/TLS)选项部分。
curl
要指定 curl 工具使用的密码,请使用 --ciphers 选项,并提供以冒号分隔的密码列表作为值。例如:
$ curl https://example.com --ciphers '@SECLEVEL=0:DES-CBC3-SHA:RSA-DES-CBC3-SHA'
如需更多信息,请参阅 curl(1) 手册页。
Firefox
尽管您无法在 Firefox Web 浏览器中选择不使用系统范围的加密策略,但您可以在 Firefox 的配置编辑器中进一步限制受支持的密码和 TLS 版本。在地址栏中输入 about:config ,并根据需要修改 security.tls.version.min 选项的值。将 security.tls.version.min 设置为 1,允许将 TLS 1.0 作为最低要求,security.tls.version.min 2 启用 TLS 1.1,如此等等。
OpenSSH
要为您的 OpenSSH 服务器选择不使用系统范围的加密策略,请在 /etc/sysconfig/sshd 文件中取消具有 CRYPTO_POLICY= 变量的行的注释。更改后,您在 /etc/ssh/sshd_config 文件中的 Ciphers 、MAC 、KexAlgoritms 和 GSSAPIKexAlgorithms 部分指定的值不会被覆盖。
详情请查看 sshd_config(5) 手册页。
要为您的 OpenSSH 客户端选择不使用系统范围的加密策略,请执行以下任务之一:
-
对于给定的用户,使用
~/.ssh/config文件中特定于用户的配置覆盖全局ssh_config。 -
对于整个系统,在
/etc/ssh/ssh_config.d/目录中的置入配置文件中指定加密策略,使用小于 5 的两位数字前缀,以便其在字典顺序上位于05-redhat.conf文件之前,并带有.conf后缀,例如04-crypto-policy-override.conf。
详情请查看 ssh_config(5) 手册页。
Libreswan
有关详细信息,请参阅 安全网络 文档中的 配置不使用系统范围加密策略的 IPsec 连接 。
其它资源
-
您系统上的
update-crypto-policies (8)手册页
