Red Hat Training

A Red Hat training course is available for RHEL 8

4.6. 将应用程序从系统范围的加密策略中排除

您可以通过直接在应用程序中配置受支持的密码套件和协议来自定义应用程序使用的加密设置。

您还可以从 /etc/crypto-policies/back-ends 目录中删除与应用程序相关的符号链接,并使用自定义的加密设置替换它。此配置可防止在使用排除后端的应用程序中使用系统范围的加密策略。此外,红帽不支持此修改。

4.6.1. 选择不使用系统范围的加密策略的示例

wget

要自定义 wget 网络下载器使用的加密设置,请使用 --secure-protocol--ciphers 选项。例如:

$ wget --secure-protocol=TLSv1_1 --ciphers="SECURE128" https://example.com

如需更多信息,请参阅 wget(1) man page 中的 HTTPS(SSL/TLS)Options 部分。

curl

要指定 curl 工具使用的密码,请使用 --ciphers 选项,并提供以冒号分隔的密码列表作为值。例如:

$ curl https://example.com --ciphers '@SECLEVEL=0:DES-CBC3-SHA:RSA-DES-CBC3-SHA'

如需更多信息,请参阅 curl(1) 手册页。

Firefox

尽管您无法在 Firefox Web 浏览器中选择不使用系统范围的加密策略,但您也可以在 Firefox 的配置编辑器中进一步限制受支持的密码和 TLS 版本。在地址栏中键入 about:config 并根据需要更改 security.tls.version.min 选项的值。将 security.tls.version.min 设置为 1 允许 TLS 1.0 作为最低要求,security.tls.version.min 2 启用 TLS 1.1 等。

OpenSSH

要为您的 OpenSSH 服务器选择不使用系统范围的加密策略,请使用 /etc/sysconfig/sshd 文件中的 CRYPTO_POLICY= 变量取消注释这一行。更改后,您在 /etc/ssh/sshd_config 文件中的 Ciphers 、MAC KexAlgoritm s 和 GSSAPIKexAlgorithms 部分指定的值不会被覆盖。详情请查看 sshd_config(5) 手册页。

要为您的 OpenSSH 客户端选择不使用系统范围的加密策略,请执行以下任务之一:

  • 对于给定用户,使用 ~/.ssh/ config 文件中的用户特定配置覆盖全局 ssh_ config
  • 对于整个系统,在位于 /etc/ssh/ssh_config.d/ 目录中的置入配置文件中指定 crypto 策略,其前缀小于 50,因此它在 50-redhat.conf 文件前面加上 a .conf 后缀,如 49-crypto-policy-override.conf

详情请查看 ssh_config(5) 手册页。

其它资源

  • update-crypto-policies(8) man page