3.9. 重新启用 SHA-1
使用 SHA-1 算法创建和验证签名在 DEFAULT 加密策略中受到限制。如果您的场景需要使用 SHA-1 来验证现有或第三方加密签名,您可以通过应用 SHA1 子策略来启用该签名,RHEL 9 默认提供它。请注意,它较弱了系统的安全性。
先决条件
-
系统使用
DEFAULT系统范围的加密策略。
步骤
将
SHA1子策略应用到DEFAULT加密策略:# update-crypto-policies --set DEFAULT:SHA1 Setting system policy to DEFAULT:SHA1 Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.重启系统:
# reboot
验证
显示当前加密策略:
# update-crypto-policies --show DEFAULT:SHA1
重要
使用 update-crypto-policies --set LEGACY 切换到 LEGACY 加密策略命令也会启用 SHA-1 进行签名。但是,LEGACY 加密策略还启用了其他弱加密算法,使您的系统变得更加容易受到攻击。这个临时解决方案只适用于需要启用其他传统加密算法比 SHA-1 签名的情况。
其他资源
- 从 RHEL 9 到 RHEL 6 系统的 SSH 无法正常工作 KCS 文章
- 使用 SHA-1 签名的软件包无法安装或升级 KCS 文章
