Menu Close
Red Hat Training
A Red Hat training course is available for RHEL 8
5.7. 使用子策略自定义系统范围的加密策略
使用这个流程来调整启用的加密算法或协议集。
您可以在现有的系统范围的加密策略之上应用自定义子策略,或者从头开始定义这样一个策略。
注意
RHEL 8.2 提供了对系统范围加密策略的自定义。
流程
签出到
/etc/crypto-policies/policies/modules/目录:# cd /etc/crypto-policies/policies/modules/为您的调整创建子策略,例如:
# touch MYCRYPTO1.pmod # touch NO-AES128.pmod
重要在策略模块的文件名中使用大写字母。
在您选择的文本编辑器中打开策略模块并插入修改系统范围加密策略的选项,例如:
# vi MYCRYPTO1.pmodmin_rsa_size = 3072 hash = SHA2-384 SHA2-512 SHA3-384 SHA3-512 cipher@TLS = -CHACHA20-POLY1305 group@SSH = FFDHE-1024+
# vi NO-AES128.pmodcipher = -AES-128-*
- 将更改保存到模块文件中。
将您的策略调整应用到
DEFAULT系统范围加密策略级别:# update-crypto-policies --set DEFAULT:MYCRYPTO1:NO-AES128要使您的加密设置对已经运行的服务和应用程序有效,请重启系统:
# reboot
其它资源
-
update-crypto-policies(8)手册页中的自定义策略部分 -
crypto-policies(7)手册页中的加密策略定义格式部分 - 红帽博客文章 在 RHEL 8.2 中如何自定义加密策略