第 15 章 在 web 控制台中设置系统范围的加密策略

您可以在 RHEL web 控制台界面中直接设置系统范围的加密策略和子策略。除了四个预定义的系统范围的加密策略外,您现在还可以通过图形界面应用以下策略和子策略的组合:

DEFAULT:SHA1
启用了 SHA-1 算法的 DEFAULT 策略。
LEGACY:AD-SUPPORT
带有不太安全设置的 LEGACY 策略,提高了活动目录服务的互操作性。
FIPS:OSPP
通用标准用于信息安全评估标准所需的具有进一步限制的 FIPS 策略。
警告

因为 FIPS:OSPP 系统范围的子策略包含对通用标准(CC)认证所需的加密算法的进一步限制,所以在设置它后系统会不太可互操作性。例如,您无法使用比 3072 位、额外的 SSH 算法和几个 TLS 组短的 RSA 和 DH 密钥。设置 FIPS:OSPP 也会阻止连接到 Red Hat Content Delivery Network (CDN)结构。另外,您无法将 Active Directory (AD)集成到使用 FIPS:OSPP、使用 FIPS:OSPP 和 AD 域的 RHEL 主机之间进行通信,或者某些 AD 帐户可能无法进行身份验证。

请注意,在设置了 FIPS:OSPP 加密子策略后,您的系统不合规。使 RHEL 系统符合 CC 标准的唯一正确方法是安装 cc-config 软件包。有关认证 RHEL 版本、验证报告列表以及由 国家信息保障合作伙伴(NIAP) 网站上托管的 CC 指南的列表,请参阅合规性活动和政府标准知识库文章。https://access.redhat.com/articles/compliance_activities_and_gov_standards#common-criteria-1

先决条件

  • 已安装 RHEL 9 web 控制台。详情请参阅安装和启用 Web 控制台
  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。

流程

  1. 登录到 web 控制台。如需更多信息,请参阅 Web 控制台的日志记录
  2. Overview 页面的 Configuration 卡中,点 Crypto 策略旁的当前策略值。

    The web console: Overview

  3. Change crypto policy 对话框窗口中,点您要在系统上开始使用的策略。

    The web console: Change the system-wide cryptographic policy

  4. 应用并重新引导按钮。

验证

  • 重启后,重新登录到 web 控制台,并检查 Crypto policy 值是否与您选择的策略值对应。或者,您可以输入 update-crypto-policies --show 命令来在终端中显示当前系统范围的加密策略。

其它资源