主页
产品
Red Hat Enterprise Linux
8
系统设计指南
15.6. 使用子属性自定义系统范围的加密策略

15.6. 使用子属性自定义系统范围的加密策略

使用这个步骤调整启用的加密算法或协议集合。

您可以在现有系统范围的加密策略之上应用自定义子policies，或者从头开始定义此类策略。

范围的策略概念允许为不同的后端启用不同的算法集合。您可以将每个配置指令限制为特定的协议、库或服务。

另外，指令可以使用星号来指定使用通配符的多个值。

/etc/crypto-policies/state/CURRENT.pol 文件列出了通配符扩展后当前应用了系统范围加密策略中的所有设置。要使您的加密策略更严格，请考虑使用 /usr/share/crypto-policies/policies/FUTURE.pol 文件中列出的值。

您可以在 /usr/share/crypto-policies/policies/modules/ 目录中找到示例子策略。这个目录中的子策略文件还包含注释掉的行中的描述。

注意

RHEL 8.2 提供了对系统范围加密策略的自定义。您可以使用特定策略的概念，以及使用 RHEL 8.5 及更新版本中的通配符选项。

流程

签出到 /etc/crypto-policies/policies/modules/ 目录：
```
cd /etc/crypto-policies/policies/modules/
```
```
# cd /etc/crypto-policies/policies/modules/
```
Copy to Clipboard Toggle word wrap
为您的调整创建子政策，例如：
```
touch MYCRYPTO-1.pmod
touch SCOPES-AND-WILDCARDS.pmod
```
```
# touch MYCRYPTO-1.pmod
# touch SCOPES-AND-WILDCARDS.pmod
```
Copy to Clipboard Toggle word wrap
重要
在策略模块的文件名中使用大写字母。

在您选择的文本编辑器中打开策略模块并插入修改系统范围加密策略的选项，例如：

vi MYCRYPTO-1.pmod

# vi MYCRYPTO-1.pmod

Copy to Clipboard

Toggle word wrap

min_rsa_size = 3072
hash = SHA2-384 SHA2-512 SHA3-384 SHA3-512

min_rsa_size = 3072
hash = SHA2-384 SHA2-512 SHA3-384 SHA3-512

Copy to Clipboard

Toggle word wrap

vi SCOPES-AND-WILDCARDS.pmod

# vi SCOPES-AND-WILDCARDS.pmod

Copy to Clipboard

Toggle word wrap

Disable the AES-128 cipher, all modes
Disable CHACHA20-POLY1305 for the TLS protocol (OpenSSL, GnuTLS, NSS, and OpenJDK)
Allow using the FFDHE-1024 group with the SSH protocol (libssh and OpenSSH)
Disable all CBC mode ciphers for the SSH protocol (libssh and OpenSSH)
Allow the AES-256-CBC cipher in applications using libssh

# Disable the AES-128 cipher, all modes
cipher = -AES-128-*

# Disable CHACHA20-POLY1305 for the TLS protocol (OpenSSL, GnuTLS, NSS, and OpenJDK)
cipher@TLS = -CHACHA20-POLY1305

# Allow using the FFDHE-1024 group with the SSH protocol (libssh and OpenSSH)
group@SSH = FFDHE-1024+

# Disable all CBC mode ciphers for the SSH protocol (libssh and OpenSSH)
cipher@SSH = -*-CBC

# Allow the AES-256-CBC cipher in applications using libssh
cipher@libssh = AES-256-CBC+

Copy to Clipboard

Toggle word wrap

将更改保存到模块文件中。

将您的策略调整应用到 DEFAULT 系统范围加密策略级别：

update-crypto-policies --set DEFAULT:MYCRYPTO-1:SCOPES-AND-WILDCARDS

# update-crypto-policies --set DEFAULT:MYCRYPTO-1:SCOPES-AND-WILDCARDS

Copy to Clipboard

Toggle word wrap

要使您的加密设置对已经运行的服务和应用程序有效，请重启系统：
```
reboot
```
```
# reboot
```
Copy to Clipboard Toggle word wrap

验证

检查 /etc/crypto-policies/state/CURRENT.pol 文件是否包含您的更改，例如：

cat /etc/crypto-policies/state/CURRENT.pol | grep rsa_size
min_rsa_size = 3072

$ cat /etc/crypto-policies/state/CURRENT.pol | grep rsa_size
min_rsa_size = 3072

Copy to Clipboard

Toggle word wrap

返回顶部

15.6. 使用子属性自定义系统范围的加密策略

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links