5.14. 配置选择不使用系统范围的加密策略的 IPsec 连接
为连接覆盖系统范围的加密策略
RHEL 系统范围的加密策略会创建一个名为 %default 的特殊连接。此连接包含 ikev2、esp 和 ike 选项的默认值。但是,您可以通过在连接配置文件中指定上述选项来覆盖默认值。
例如,以下配置允许使用带有 AES 和 SHA-1 或 SHA-2的 IKEv1 连接,以及带有 AES-GCM 或 AES-CBC 的 IPsec(ESP) 连接:
conn MyExample ... ikev2=never ike=aes-sha2,aes-sha1;modp2048 esp=aes_gcm,aes-sha2,aes-sha1 ...
请注意,AES-GCM 可用于 IPsec(ESP)和 IKEv2,但不适用于 IKEv1。
为所有连接禁用系统范围的加密策略
要禁用所有 IPsec 连接的系统范围的加密策略,请在 /etc/ipsec.conf 文件中注释掉以下行:
include /etc/crypto-policies/back-ends/libreswan.config
然后将 ikev2=never 选项添加到连接配置文件。
其他资源
