管理者は、どのクライアント・システムのセキュリティー・レベルが十分でないかを判別し、それらのシステムをより高いレベルまで更新するか、あるいは、それらのシステムが更新されるまで、システム・セキュリティー・レベルを下げることができます。
chsecurity コマンドを使用して SSL/TLS 設定と SSH 設定を同時に変更することはできません。一方のタイプのセキュリティー・レベルを変更し、次に、システムがまだアクセス可能であることを確認してからもう一方のタイプのセキュリティー・レベルを変更します。
コマンド・ライン・インターフェースを使用してセキュリティー・レベル設定を変更するには、以下の手順を実行します。
- SSL/TLS 設定を変更するには、chsecurity -sslprotocol security_level を入力します。ここで、security_level は以下のいずれかの値です。
表 1. サポートされる SSL/TLS セキュリティー・レベル| セキュリティー・レベル |
説明 |
許容される最小のセキュリティー |
|---|
| 1 |
SSL バージョン 3.0 を不許可とするよう、システムを設定します。 |
TLS 1.0 |
| 2 |
SSL バージョン 3.0、TLS バージョン 1.0、および TLS バージョン 1.1 を不許可とするようにシステムを設定します。 |
TLS 1.2 |
| 3 |
SSL バージョン 3.0、TLS バージョン 1.0、および TLS バージョン 1.1 を不許可として、TLS バージョン 1.2 専用の暗号スイートを許可するようにシステムを設定します。 |
TLS 1.2 |
| 4 |
SSL バージョン 3.0、TLS バージョン 1.0、および TLS バージョン 1.1 を不許可として、TLS バージョン 1.2 専用の暗号スイートを許可するようにシステムを設定します。RSA 鍵交換暗号 (SSH の場合は RSA 暗号) を不許可とするようにシステムを設定します。 |
TLS 1.2 |
注: セキュリティー・レベルが変更されると、ユーザーは 管理 GUI に接続できなくなる場合があります。接続が失われた場合は、CLI を使用してセキュリティー・レベルの設定を低くします。
- SSH 設定を変更するには、chsecurity -sshprotocol security_level を入力します。ここで、security_level は以下のいずれかの値です。
表 2. サポートされる SSH セキュリティー・レベル| セキュリティー・レベル |
説明 |
|---|
| 1 |
以下の鍵交換方式を許可します。- curve25519-sha256
- curve25519-sha256@libssh.org
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group16-sha512
- diffie-hellman-group18-sha512
- diffie-hellman-group14-sha256
- diffie-hellman-group14-sha1
- diffie-hellman-group1-sha1
- diffie-hellman-group-exchange-sha1
|
| 2 |
以下の鍵交換方式を許可します。- curve25519-sha256
- curve25519-sha256@libssh.org
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group16-sha512
- diffie-hellman-group18-sha512
- diffie-hellman-group14-sha256
- diffie-hellman-group14-sha1
|