使用 CLI 來配置安全層次選項

有時,您可能需要配置或變更系統的 Secure Sockets Layer (SSL)、「傳輸層安全 (TLS)」或「安全 Shell (SSH)」安全層次設定,以解決錯誤,或進一步限制所能使用的通訊協定範圍。

關於這項作業

如果要配置或變更系統上的安全層次,請使用 chsecuritylssecurity 指令。

-sslprotocol 參數的 chsecuritylssecurity 指令層次設定(1、2、3 或 4)是依下列清單所示來定義:
  • 1 不容許使用 SSL 3.0。(此設定是系統預設值。)
  • 2 只容許使用 TLS 1.2。
  • 3 另外,也不容許使用非專屬於 TLS 1.2 的 TLS 1.2 密碼組合。
  • 4 另外還不容許使用 RSA 金鑰交換密碼。
-sshprotocol 參數的 chsecuritylssecurity 指令層次設定(1 或 2)是依下列清單所示來定義:
  • 1 不容許 SSH 使用 RSA 密碼。
  • 2 另外還不容許用 diffie-hellman-group14-sha256 和 diffie-hellman-group14-sha1 金鑰交換方法。
如果要顯示現行系統 SSL、TLS 和 SSH 安全設定,請輸入下列指令: 
lssecurity
結果會顯示現行設定,如下列範例所示: 
sslprotocol:1

sshprotocol:1
如果要變更您的 SSL 或 TLS 安全設定,請輸入下列指令:
chsecurity -sslprotocol security_level
其中 security_level 是 1、2、3 或 4。
如果要變更 SSH 安全設定,請輸入下列指令: 
chsecurity -sshprotocol security_level
其中,security_level 是 1 或 2。

chsecurity 指令可用來設定安全介面容許的密碼和通訊協定,如此便可減少攻擊漏洞。不過,如果變更此安全層次,可能中斷與外部系統(例如,Web 瀏覽器)的連線,以及中斷經由 CIM 連接的任何對象(例如,VMWare 供應公用程式或 IBM® Spectrum Control 軟體)的連線。

請使用下列準則和 chsecurity -sslprotocolchsecurity -sshprotocol 指令,以解決系統的安全通訊協定問題:
  • 連線可能因為通訊協定不相容而失敗。您可以使用 -sslprotocol 參數,藉由變更 SSL 介面版本,以找出外部系統的問題。如果因目前無法修正不相容的通訊協定,而造成連線失敗,您也可以使用這個參數,將安全層次變更回來。
  • 如果所設定的安全層次高於預設層次下限,且未將 Web 瀏覽器設定成使用相同層次,則可能失去對管理 GUI 的遠端存取權。如果您無法提高 Web 瀏覽器的安全層次,請使用 chsecurity 指令來降低安全層次。
  • 如果安全層次設定為高於最低預設層次並且 LDAP 伺服器未設定為使用同一層次,則可能無法使用 LDAP 伺服器管理使用者權限。如果您無法增加 LDAP 伺服器的安全層次,您可能需要使用 chsecurity 指令來降低安全層次。
  • 透過 CIM 連接的外部管理系統(例如,某些 VMWare 供應公用程式和 Tivoli Storage Manager)在某些狀況下可能無法連接到系統。例如,如果安全層次設定為高於最低預設層次並且外部系統未設定為使用相同的協定層次,則可能會發生此類故障。 如果您無法提高外部系統的安全層次,您可能需要使用 chsecurity 指令來降低安全層次。