26.4. 使用 sshd RHEL 系统角色覆盖 SSH 服务器上的系统范围的加密策略
您可以使用 sshd
RHEL 系统角色覆盖 SSH 服务器上的系统范围的加密策略。
先决条件
- 您已准备好控制节点和受管节点。
- 以可在受管主机上运行 playbook 的用户登录到控制节点。
-
用于连接到受管节点的帐户具有
sudo
权限。
步骤
创建包含以下内容的 playbook 文件,如
~/playbook.yml
:- name: Overriding the system-wide cryptographic policy hosts: managed-node-01.example.com roles: - rhel_system_roles.sshd vars: sshd_sysconfig: true sshd_sysconfig_override_crypto_policy: true sshd_KexAlgorithms: ecdh-sha2-nistp521 sshd_Ciphers: aes256-ctr sshd_MACs: hmac-sha2-512-etm@openssh.com sshd_HostKeyAlgorithms: rsa-sha2-512,rsa-sha2-256
-
sshd_KexAlgorithms
:: 您可以选择密钥交换算法,例如ecdh-sha2-nistp256
,ecdh-sha2-nistp384
,ecdh-sha2-nistp521
,diffie-hellman-group14-sha1
, 或diffie-hellman-group-exchange-sha256
。 -
sshd_Ciphers
:: 您可以选择密码,例如aes128-ctr
、aes192-ctr
或aes256-ctr
。 -
sshd_MACs
:: 您可以选择 MACs,例如hmac-sha2-256
、hmac-sha2-512
或hmac-sha1
。 -
sshd_HostKeyAlgorithms
:: 您可以选择公钥算法,如ecdsa-sha2-nistp256
、ecdsa-sha2-nistp384
、ecdsa-sha2-nistp521
、ssh-rsa
或ssh-dss
。
在 RHEL 9 受管节点上,系统角色会将配置写入到
/etc/ssh/sshd_config.d/00-ansible_system_role.conf
文件中,其中加密选项会被自动应用。您可以使用sshd_config_file
变量更改文件。但是,要确保配置有效,请使用一个字典顺序在/etc/ssh/sshd_config.d/50-redhat.conf
文件之前的文件名,其包括配置的加密策略。在 RHEL 8 受管节点上,您必须通过将
sshd_sysconfig_override_crypto_policy
和sshd_sysconfig
变量设置为true
来启用覆盖。-
验证 playbook 语法:
$ ansible-playbook --syntax-check ~/playbook.yml
请注意,这个命令只验证语法,不会防止错误但有效的配置。
运行 playbook:
$ ansible-playbook ~/playbook.yml
验证
您可以通过使用详细的 SSH 连接验证并在以下输出中检查定义的变量,来验证流程是否成功:
$ ssh -vvv <ssh_server> ... debug2: peer server KEXINIT proposal debug2: KEX algorithms: ecdh-sha2-nistp521 debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256 debug2: ciphers ctos: aes256-ctr debug2: ciphers stoc: aes256-ctr debug2: MACs ctos: hmac-sha2-512-etm@openssh.com debug2: MACs stoc: hmac-sha2-512-etm@openssh.com ...
其他资源
-
/usr/share/ansible/roles/rhel-system-roles.sshd/README.md
文件 -
/usr/share/doc/rhel-system-roles/sshd/
directory