9.2. 设置系统范围的加密策略
系统范围的加密策略是一个系统组件,它配置核心加密子系统,包括 TLS、IPSec、SSH、DNSSec 和 Kerberos 协议。
在成功安装或原位升级后,系统范围的加密策略会自动设置为 DEFAULT
。DEFAULT
系统范围的加密政策级别为当前的威胁模型提供了安全设置。
要查看或更改当前系统范围的加密策略,请使用 update-crypto-policies 工具:
$ update-crypto-policies --show
DEFAULT
例如,以下命令可将系统范围内的加密策略切换到 FUTURE
,这样可防止任何近期可能出现的安全攻击:
# update-crypto-policies --set FUTURE
Setting system policy to FUTURE
您还可以自定义系统范围的加密策略。详情请参阅 自定义带有子策略的系统范围的加密策略 和 创建并设置自定义系统范围的加密策略 部分。
其他资源
- 使用系统范围的加密策略
-
update-crypto-policies(8)
手册页。