8.2. 系统范围的加密策略
系统范围的加密策略是一个系统组件,它配置核心加密子系统,包括 TLS、IPSec、SSH、DNSSec 和 Kerberos 协议。
原位升级过程会保留您在 RHEL 8 中使用的加密策略。例如,如果您在 RHEL 8 中使用 DEFAULT
加密策略,您的系统升级到 RHEL 9 也可以使用 DEFAULT
。请注意,预定义的策略中的特定设置有所不同,RHEL 9 加密策略包含更为严格且更安全的默认值。例如,RHEL 9 DEFAULT
加密策略限制 SHA-1 使用签名,而 LEGACY
策略不再允许 DH 和 RSA 密码小于 2048 位。如需更多信息,请参阅 安全强化 文档中的 使用系统范围的加密策略 部分。自定义加密策略会在原位升级过程中保留。
要查看或更改当前系统范围的加密策略,请使用 update-crypto-policies 工具:
$ update-crypto-policies --show
DEFAULT
例如,以下命令可将系统范围内的加密策略切换到 FUTURE
,这样可防止任何近期可能出现的安全攻击:
# update-crypto-policies --set FUTURE
Setting system policy to FUTURE
如果您需要使用 SHA-1 来验证现有或第三方加密签名,您可以输入以下命令启用它:
# update-crypto-policies --set DEFAULT:SHA1
或者,您可以将系统范围的加密策略切换到 LEGACY
策略。但是,LEGACY
还支持许多不安全的其他算法。
启用 SHA
子策略会使您的系统比默认的 RHEL 9 设置更加容易。切换到 LEGACY
策略甚至不太安全,您应该谨慎使用。
您还可以自定义系统范围的加密策略。详情请参阅 使用子策略自定义系统范围的加密策略 和 创建并设置自定义系统范围的加密策略 部分。如果您使用自定义加密策略,请考虑查看和更新策略,以便在加密和计算机硬件中提前缓解出现的威胁。
其他资源
- 使用系统范围的加密策略
-
您系统上的
update-crypto-policies (8)
手册页