管理者可以決定哪些用戶端系統沒有足夠的安全層次,並將它們更新為更高的層次,或降低系統安全層次,直到這些系統已更新為止。
您不能使用 chsecurity 指令來同時變更 SSL/TLS 和 SSH 設定。 請先變更一種安全層次,然後檢查系統仍可存取,之後再變更另一種安全層次。
如果要使用指令行介面來變更安全層次設定,請完成這些步驟:
- 若要變更 SSL/TLS 設定,請輸入 chsecurity -sslprotocol security_level,其中 security_level 是下列其中一個值:
表 1. 支援的 SSL/TLS 安全層次
| 安全層次 |
說明 |
容許的最低安全 |
| 1 |
將系統設為不允許 SSL 3.0 版。 |
TLS 1.0 |
| 2 |
將系統設為不允許 SSL 3.0 版、TLS 1.0 版及 TLS 1.1 版。 |
TLS 1.2 |
| 3 |
將系統設為不允許 SSL 3.0 版、TLS 1.0 及 TLS 1.1 版,以及允許 TLS 1.2 版專屬的加密套件。 |
TLS 1.2 |
| 4 |
將系統設為不允許 SSL 3.0 版、TLS 1.0 及 TLS 1.1 版,以及允許 TLS 1.2 版專屬的加密套件。將系統設為在 SSH 中不允許 RSA 金鑰交換密碼、RSA 密碼。 |
TLS 1.2 |
註: 安全層次變更時,使用者可能無法連接至管理 GUI。如果無法連線,請使用 CLI 將安全層次降到較低的設定。
- 若要變更 SSH 設定,請輸入 chsecurity -sshprotocol security_level,其中 security_level 是下列其中一個值:
表 2. 支援的 SSH 安全層次
| 安全層次 |
說明 |
| 1 |
容許下列金鑰交換方法:
- curve25519-sha256
- curve25519-sha256@libssh.org
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group16-sha512
- diffie-hellman-group18-sha512
- diffie-hellman-group14-sha256
- diffie-hellman-group14-sha1
- diffie-hellman-group1-sha1
- diffie-hellman-group-exchange-sha1
|
| 2 |
容許下列金鑰交換方法:
- curve25519-sha256
- curve25519-sha256@libssh.org
- ecdh-sha2-nistp256
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group16-sha512
- diffie-hellman-group18-sha512
- diffie-hellman-group14-sha256
- diffie-hellman-group14-sha1
|