Category: System Login Security (系统登录安全)

步骤一：确定 CRYPTO_POLICY= 参数

# vim /etc/sysconfig/sshd

确保部分内容如下：

......
# CRYPTO_POLICY=
......

步骤二：创建自定义 crypto policies 文件

# vim /etc/crypto-policies/policies/modules/CUSTOMER.pmod

创建以下内容：

# SSH Ciphers, Key-Exchange, Hash-Algorithms
ssh_cipher = AES-128-GCM AES-256-GCM
key_exchange = ecdh-sha2-nistp256 ecdh-sha2-nistp384
mac = HMAC-SHA2-256 HMAC-SHA2-256

# Global Ciphers
cipher = AES-128-GCM AES-256-GCM

# Global Hash
hash = SHA2-256 SHA2-384

# Global TLS
tls_cipher = AES-128-GCM AES-256-GCM
protocol = TLS1.3 TLS1.2
min_tls_version = TLS1.2

# Parameter sizes
min_dh_size = 4096
min_dsa_size = 4096
min_rsa_size = 4096

（
补充：这里以设置：
1) 创建名为 CUSTOMER.pmod 的自定义 crypto policies 文件
2) SSH cipher 是 AES-128-GCM 和 AES-256-GCM，SSH key_exchange 是 ecdh-sha2-nistp256 和 ecdh-sha2-nistp384，SSH mac 是 HMAC-SHA2-256 和 HMAC-SHA2-256
3) 全局 cipher 是 AES-128-GCM 和 AES-256-GCM
4) 全局 Hash 是 SHA2-256 和 SHA2-384
5) 全局 TLS cipher 是 AES-128-GCM 和 AES-256-GCM，TLS 版本必须要高于 TLS1.2
6) 全局加密算法 dh 必须要高于或等于 4096 位，dsa 必须要高于或等于 4096 位，rsa 必须要高于 4096
为例
）

步骤三：选择创建的自定义 crypto policies 文件

3.1 选择创建的自定义 crypto policies 文件

# update-crypto-policies --set DEFAULT:CUSTOMER

（补充：这里以选择名为 CUSTOMER.pmod 的自定义 crypto policies 文件为例）

3.2 让选择的自定义 crypto policies 文件

# update-crypto-policies

步骤四：确认选择的自定义 crypto policies 文件生效

# update-crypto-policies --show
DEFAULT:CUSTOMER

（补充：这里显示选择了名为 CUSTOMER.pmod 的自定义 crypto policies 文件）