Configurando opções do nível de segurança usando a CLI

Às vezes, pode ser necessário configurar ou mudar as configurações de nível de segurança, como Secure Sockets Layer (SSL), Segurança da Camada de Transporte (TLS) ou shell seguro (SSH), para um sistema para resolver um erro ou para restringir ainda mais o intervalo de protocolos que podem ser usados.

Sobre Esta Tarefa

Para configurar ou alterar os níveis de segurança em seu sistema, utilize os comandos chsecurity e lssecurity.

As configurações de nível de comando (1, 2, 3 ou 4) chsecurity e lssecurity para o parâmetro -sslprotocol são definidas conforme mostrado na lista a seguir:
  • 1 desaprova SSL 3.0. (Esta configuração é o padrão do sistema.)
  • 2 permite TLS 1.2 somente.
  • 3 desaprova adicionalmente os conjuntos de cifras do TLS 1.2 que não forem exclusivos para 1.2.
  • 4 desaprova adicionalmente cifras de troca de chave do RSA.
As configurações de nível de comando chsecurity e lssecurity (1 ou 2) para o parâmetro -sshprotocol são definidas conforme mostrado na lista a seguir:
  • 1 desaprova as cifras RSA para o SSH.
  • 2 desaprova adicionalmente os métodos de troca de chave diffie-hellman-group14-sha256 e diffie-hellman-group14-sha1.
Para exibir suas configurações de segurança SSL, TLS e SSH atuais do sistema, insira o comando a seguir: 
lssecurity
Os resultados mostram a configuração atual, conforme mostrado no exemplo a seguir:
sslprotocol:1
sshprotocol:1
Para alterar suas configurações de segurança de SSL ou TLS, digite o seguinte comando: 
chsecurity -sslprotocol security_level
em que security_level é um 1, 2, 3 ou 4.
Para mudar as configurações de segurança do seu SSH, insira o comando a seguir: 
chsecurity -sshprotocol security_level
em que security_level é 1 ou 2.

O comando chsecurity pode ser usado para configurar as cifras e os protocolos que são permitidos pelas interfaces seguras para que a vulnerabilidade a ataques possa ser reduzida. No entanto, mudar esse nível de segurança pode interromper a conexão com sistemas externos, tais como navegadores da web e tudo que estiver conectado por meio do CIM, como utilitários de fornecimento de VMWare ou o software IBM® Spectrum Control.

Resolva problemas de protocolo de segurança em seu sistema usando as diretrizes e os comandos chsecurity -sslprotocol e chsecurity -sshprotocol a seguir:
  • As conexões podem falhar devido a protocolos incompatíveis. É possível usar o parâmetro -sslprotocol para localizar problemas com sistemas externos mudando as versões da interface SSL. Você também pode usar esse parâmetro para alterar o nível de segurança novamente quando as conexões falharem por causa de protocolos incompatíveis que não podem ser corrigidos atualmente.
  • O acesso remoto ao GUI de gerenciamento pode ser perdido se o nível de segurança for configurado acima do nível padrão mínimo e o navegador da web não estiver configurado para utilizar o mesmo nível. Se não for possível aumentar o nível de segurança do navegador da web, use o comando chsecurity para reduzir o nível de segurança.
  • O gerenciamento de autorização do usuário usando um servidor LDAP pode falhar se o nível de segurança estiver configurado acima do nível mínimo padrão e o servidor LDAP não estiver configurado para usar o mesmo nível. Se não for possível aumentar o nível de segurança do servidor LDAP, talvez seja necessário usar o comando chsecurity para reduzir o nível de segurança.
  • Os sistemas de gerenciamento externo que se conectam por meio do CIM, como alguns utilitários de fornecimento do VMWare e o Tivoli Storage Manager, podem falhar ao se conectarem ao sistema em determinadas situações. Por exemplo, tal falha pode ocorrer se o nível de segurança for configurado acima do nível padrão mínimo e o sistema externo não estiver configurado para usar os mesmos níveis de protocolo. Se não for possível aumentar o nível de segurança do sistema externo, poderá ser necessário usar o comando chsecurity para reduzir o nível de segurança.
Tópico pai: Configuração