步骤一:确定 CRYPTO_POLICY= 参数
# vim /etc/sysconfig/sshd确保部分内容如下:
......
# CRYPTO_POLICY=
......步骤二:创建自定义 crypto policies 文件
# vim /etc/crypto-policies/policies/modules/CUSTOMER.pmod创建以下内容:
# SSH Ciphers, Key-Exchange, Hash-Algorithms
ssh_cipher = AES-128-GCM AES-256-GCM
key_exchange = ecdh-sha2-nistp256 ecdh-sha2-nistp384
mac = HMAC-SHA2-256 HMAC-SHA2-256
# Global Ciphers
cipher = AES-128-GCM AES-256-GCM
# Global Hash
hash = SHA2-256 SHA2-384
# Global TLS
tls_cipher = AES-128-GCM AES-256-GCM
protocol = TLS1.3 TLS1.2
min_tls_version = TLS1.2
# Parameter sizes
min_dh_size = 4096
min_dsa_size = 4096
min_rsa_size = 4096
(
补充:这里以设置:
1) 创建名为 CUSTOMER.pmod 的自定义 crypto policies 文件
2) SSH cipher 是 AES-128-GCM 和 AES-256-GCM,SSH key_exchange 是 ecdh-sha2-nistp256 和 ecdh-sha2-nistp384,SSH mac 是 HMAC-SHA2-256 和 HMAC-SHA2-256
3) 全局 cipher 是 AES-128-GCM 和 AES-256-GCM
4) 全局 Hash 是 SHA2-256 和 SHA2-384
5) 全局 TLS cipher 是 AES-128-GCM 和 AES-256-GCM,TLS 版本必须要高于 TLS1.2
6) 全局加密算法 dh 必须要高于或等于 4096 位,dsa 必须要高于或等于 4096 位,rsa 必须要高于 4096
为例
)
步骤三:选择创建的自定义 crypto policies 文件
3.1 选择创建的自定义 crypto policies 文件
# update-crypto-policies --set DEFAULT:CUSTOMER(补充:这里以选择名为 CUSTOMER.pmod 的自定义 crypto policies 文件为例)
3.2 让选择的自定义 crypto policies 文件
# update-crypto-policies步骤四:确认选择的自定义 crypto policies 文件生效
# update-crypto-policies --show
DEFAULT:CUSTOMER或者:
# cat /etc/crypto-policies/state/current
DEFAULT:CUSTOMER(补充:这里显示选择了名为 CUSTOMER.pmod 的自定义 crypto policies 文件)