chsecurity

Use o comando chsecurity para mudar as configurações de segurança do Secure Sockets Layer (SSL), do Secure Shell (SSH) ou da Segurança da Camada de Transporte (TLS) para um sistema.

Sintaxe

Ler diagrama de sintaxeManter visual do diagrama de sintaxe chsecurity -sslprotocolsecurity_level-sshprotocolsecurity_level

Paramêtros

Lembre-se: Esses parâmetros são mutuamente exclusivos. Deve-se especificar -sslprotocol ou -sshprotocol, não ambos.
-sslprotocol security_level
(Obrigatório) Especifica o valor numérico para a configuração do nível de segurança SSL, que pode assumir qualquer valor de 1 a 4. Uma configuração de 3 é o valor padrão.
Use estas configurações de nível de segurança do sslprotocol.
  • 1 desaprova o SSL 3.0.
  • 2 permite somente o TLS 1.2.
  • 3 também desaprova os conjuntos de cifras do TLS 1.2 que não sejam exclusivos para a 1.2.
  • 4 também desaprova as cifras de troca de chave RSA.
Nota:

No firmware 1.6.0.0 e mais recente, o suporte para cifras SHA-1 foi removido. As cifras a seguir não são mais suportadas quando o SSL ou o TLS é usado em qualquer nível de segurança:

ECDHE-RSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-RSA-DES-CBC3-SHA

ECDHE-RSA-RC4-SHA

ECDHE-RSA-NULL-SHA

  • Ao fazer upgrade de um sistema de qualquer liberação anterior para a versão 1.6.0.0 ou mais recente, se alguma dessas cifras não suportadas for usada, o SSL deverá ser desativado ou o SSL deverá ser reconfigurado para usar uma cifra suportada. Isso poderá requerer que você gere um novo certificado SSL ou desative o SSL.
  • Se uma dessas cifras não suportadas for usada com o certificado SSL usando a liberação 1.6.0.0 ou mais recente, a interface com o usuário da web (GUI) poderá não estar mais acessível. Além disso, se o LDAP estiver usando SSL, o servidor LDAP ficará inacessível.
-sshprotocol security_level
(Obrigatório) Especifica o valor numérico para a configuração do nível de segurança SSH, que pode usar um valor 1 ou 2. Uma configuração de 1 é o valor padrão.
Use estas configurações de nível de segurança do sshprotocol.
  • 1 permite os seguintes métodos de troca de chaves:
    • curve25519-sha256
    • curve25519-sha256@libssh.org
    • ecdh-sha2-nistp256
    • ecdh-sha2-nistp384
    • ecdh-sha2-nistp521
    • diffie-hellman-group-exchange-sha256
    • diffie-hellman-group16-sha512
    • diffie-hellman-group18-sha512
    • diffie-hellman-group14-sha256
    • diffie-hellman-group14-sha1
    • diffie-hellman-group1-sha1
    • diffie-hellman-group-exchange-sha1
  • 2 permite os seguintes métodos de troca de chaves:
    • curve25519-sha256
    • curve25519-sha256@libssh.org
    • ecdh-sha2-nistp256
    • ecdh-sha2-nistp384
    • ecdh-sha2-nistp521
    • diffie-hellman-group-exchange-sha256
    • diffie-hellman-group16-sha512
    • diffie-hellman-group18-sha512
    • diffie-hellman-group14-sha256
    • diffie-hellman-group14-sha1

Description

Esse comando muda as configurações de segurança SSL, SSH ou TLS em um sistema.
Importante: Se você usar SSL ou TLS, a mudança na segurança poderá interromper esses serviços.
Use este procedimento se ocorrer uma interrupção.
  1. Aguarde 5 minutos e tente novamente. (Aguarde por quaisquer serviços para reiniciar.)
  2. Confirme se a implementação de SSL ou TLS está atualizada e se ela suporta o nível especificado de segurança.
  3. Se necessário, reverta para uma versão anterior de segurança de SSL ou TLS.

Um exemplo de chamada

chsecurity -sslprotocol 4

A saída resultante

A mudança do nível de segurança SSL poderia desativar a conexão da GUI em navegadores da web antigos, 
e a mudança do nível de segurança SSH pode efetuar logout de sessões SSH existentes. Tem certeza de que deseja continuar? (y/yes to confirm)

Um exemplo de chamada

chsecurity -sshprotocol 2

A saída resultante

A mudança do nível de segurança SSL poderia desativar a conexão da GUI em navegadores da web antigos, 
e a mudança do nível de segurança SSH pode efetuar logout de sessões SSH existentes. Tem certeza de que deseja continuar? (y/yes to confirm)