.\" -*- coding: UTF-8 -*-
'\" t
.\" Title: update-crypto-policies
.\" Author: [see the "AUTHOR" section]
.\" Generator: DocBook XSL Stylesheets v1.79.1
.\" Date: 08/24/2019
.\" Manual: \ \&
.\" Source: update-crypto-policies
.\" Language: English
.\"
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH UPDATE\-CRYPTO\-POLI 8 "24 august 2019" update\-crypto\-policies \ \(dq
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH NUME
update\-crypto\-policies \- gestionează politicile disponibile pentru
diferitele infrastructuri criptografice
.SH REZUMAT
.sp
\fBupdate\-crypto\-policies\fP [\fICOMANDA\fP]
.SH DESCRIERE
.sp
\fBupdate\-crypto\-policies(8)\fP este utilizat pentru a stabili politica
aplicabilă pentru diferitele infrastructuri criptografice, cum ar fi
bibliotecile SSL/TLS\&. Aceasta va fi politica implicită utilizată de aceste
infrastructuri, cu excepția cazului în care utilizatorul aplicației le
configurează altfel\&.
.sp
Politicile disponibile sunt descrise în pagina de manual
\fBcrypto\-policies(7)\fP.
.sp
Politica de sistem dorită este selectată în „/etc/crypto\-policies/config”,
iar acest instrument va genera cerințele de politici individuale pentru
toate infrastructurile care acceptă o astfel de configurație\&. După
apelarea acestui instrument, administratorul este asigurat că orice
aplicație care utilizează infrastructurile acceptate va urma o politică care
respectă profilul configurat\&.
.sp
Rețineți că asigurarea de mai sus se aplică în măsura în care aplicațiile
sunt configurate să urmeze politica implicită (detaliile variază în funcție
de infrastructură, a se vedea mai jos pentru mai multe informații)\&.
.sp
Politicile de infrastructură generate vor fi plasate în
„/etc/crypto\-policies/back\-ends”\&. În prezent, infrastructurile acceptate
sunt:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
biblioteca GnuTLS
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
biblioteca OpenSSL
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
biblioteca NSS
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
OpenJDK
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
libkrb5
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
BIND
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
OpenSSH
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Libreswan
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
libssh
.RE
.sp
Aplicațiile și limbajele care se bazează pe oricare dintre aceste
infrastructuri vor respecta, de asemenea, politicile sistemului\&. Exemple
sunt apache httpd, nginx, php și altele\&.
.sp
În general, după modificarea politicilor criptografice ale sistemului cu
comanda «update\-crypto\-policies \-\-set», se recomandă să reporniți sistemul
pentru ca efectul să se producă în totalitate, deoarece fișierele de
configurare a politicilor sunt încărcate la pornirea aplicației\&. În caz
contrar, aplicațiile pornite înainte de rularea comenzii trebuie repornite
pentru a încărca configurația actualizată\&.
.SH COMENZI
.sp
Următoarele comenzi sunt disponibile în instrumentul
«update\-crypto\-policies»\&.
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
„\-\-show”: Afișează politica de criptare aplicată în prezent.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
„\-\-is\-applied”: Returnează succes dacă politica configurată în prezent este
deja aplicată\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
„\-\-set”: Stabilește politica curentă și suprascrie fișierul de
configurare\&.
.RE
.SH OPȚIUNI
.sp
Următoarele opțiuni sunt disponibile în instrumentul
«update\-crypto\-policies»\&.
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
„\-\-no\-check”: În mod implicit, acest instrument efectuează o verificare a
corectitudinii pentru a verifica dacă politica configurată este acceptată de
instrumentele acceptate\&. Această opțiune dezactivează aceste verificări\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
„\-\-no\-reload”: În mod implicit, acest instrument face ca unele aplicații
care rulează să reîncarce politica configurată\&. Această opțiune sare peste
reîncărcare\&.
.RE
.SH "SUPORT PENTRU APLICAȚII"
.sp
Aplicațiile din sistemul de operare care oferă un fișier de configurare
implicit care include un șir de politici criptografice vor fi modificate
treptat pentru a accepta aceste politici\&.
.sp
Atunci când o aplicație furnizează un fișier de configurare, modificările
necesare pentru a utiliza politica la nivel de sistem sunt următoarele\&.
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Aplicațiile care utilizează GnuTLS: Dacă o aplicație permite configurarea
priorităților de criptare printr\-un șir de caractere, șirul special de
priorități „@SYSTEM” trebuie să înlocuiască orice alt șir de
priorități\&. Aplicațiile care utilizează parametrii impliciți ai
bibliotecii aderă automat la această politică\&. Aplicațiile care respectă
politica moștenesc configurările pentru preferințele suitei de cifrare,
versiunile de protocol TLS și DTLS, curbele eliptice permise și limitele
pentru cheile criptografice\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Aplicațiile care utilizează OpenSSL: Dacă o aplicație permite configurarea
unui șir de serii de cifrare, șirul special de cifrare „PROFILE=SYSTEM”
trebuie să înlocuiască orice alt șir de cifrare\&. Aplicațiile care
utilizează parametrii impliciți ai bibliotecii aderă automat la această
politică\&. Aplicațiile care respectă politica moștenesc configurările
pentru preferințele suitei de cifrare\&. În mod implicit, biblioteca OpenSSL
citește un fișier de configurare atunci când este inițializată\&. În cazul
în care aplicația nu anulează încărcarea fișierului de configurare, politica
stabilește, de asemenea, versiunea minimă a protocolului TLS și preferința
implicită pentru suita de cifrare prin intermediul acestui fișier\&. În
cazul în care aplicația are o durată lungă de execuție, cum ar fi serverul
httpd, aceasta trebuie repornită pentru a reîncărca fișierul de configurare
după modificarea politicii\&. În caz contrar, politica modificată nu poate
intra în vigoare\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Aplicațiile care utilizează NSS: Aplicațiile care utilizează NSS vor încărca
politicile criptografice în mod implicit\&. Acestea moștenesc configurările
pentru preferințele pentru suita de cifrare, versiunile de protocol TLS și
DTLS, curbele eliptice permise și limitele pentru cheile
criptografice\&. Rețineți că, spre deosebire de OpenSSL și GnuTLS, politica
NSS este impusă în mod implicit; pentru a împiedica aplicațiile să adere la
politică, variabila de mediu NSS_IGNORE_SYSTEM_POLICY trebuie să fie setată
la 1 înainte de a executa aplicația respectivă\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Aplicațiile care utilizează Java: Nu este necesar un tratament
special. Aplicațiile care utilizează Java vor încărca implicit politicile de
criptare\&. Aceste aplicații vor moșteni apoi configurările pentru suitele
de cifrare permise, versiunile de protocol TLS și DTLS permise, curbele
eliptice permise și limitele pentru cheile criptografice\&. Pentru a
împiedica aplicațiile openjdk să adere la politică, fișierul
/jre/lib/security/java\&.security trebuie editat pentru
a conține security\&.useSystemPropertiesFile=false\&. Alternativ, se poate
crea un fișier care să conțină valorile suprascrise pentru
\fIjdk\&.tls\&.disabledAlgorithms\fP, \fIjdk\&.certpath\&.disabledAlgorithms\fP și
să se transmită locația acestui fișier către Java în linia de comandă,
utilizând \-Djava\&.security\&.properties=\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Aplicațiile care utilizează libkrb5: Nu este necesar niciun tratament
special\&. Aplicațiile vor urma în mod implicit politicile de
criptare\&. Aceste aplicații moștenesc configurările pentru tipurile de
criptare permise pentru tichete, precum și limitele cheilor criptografice
pentru protocolul PKINIT\&. Este disponibilă o opțiune de excludere la
nivelul întregului sistem prin ștergerea legăturii
„/etc/krb5\&.conf\&.d/crypto\-policies”\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
BIND: Această aplicație moștenește setul de algoritmi din lista
neagră\&. Pentru a renunța la această politică, eliminați directiva de
includere a politicii din fișierul „named\&.conf”\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
OpenSSH: Atât serverul, cât și aplicația client moștenește preferințele de
cifrare, algoritmii de schimb de chei, precum și algoritmii de schimb de
chei GSSAPI\&. Pentru a renunța la politica pentru client, suprascrieți
ssh_config global cu o configurație specifică utilizatorului în
„~/\&.ssh/config”\&. Consultați ssh_config(5) pentru mai multe
informații\&. Pentru a renunța la politica pentru server, decomentați linia
care conține CRYPTO_POLICY= în fișierul „/etc/sysconfig/sshd”\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Libreswan: Atât serverele, cât și clienții moștenesc preferințele ESP și
IKE, dacă acestea nu sunt înlocuite în fișierul de configurare a
conexiunii\&. Rețineți că, din cauza limitărilor din libreswan, politicile
criptografice sunt limitate la suportul pentru IKEv2\&. Pentru a renunța la
această politică, comentați linia care include
„/etc/crypto\-policies/back\-ends/libreswan\&.config” din
„/etc/ipsec\&.conf”\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Aplicațiile care utilizează libssh: Atât aplicațiile client, cât și cele
server care utilizează libssh vor încărca implicit politicile
criptografice\&. Acestea moștenesc preferințele pentru algoritmi de cifrare,
schimb de chei, autentificare a mesajelor și semnătură\&.
.RE
.SH "CONFIGURAREA POLITICII"
.sp
Unul dintre profilurile acceptate ar trebui să fie definit în
„/etc/crypto\-policies/config”, iar acest script ar trebui să fie rulat
ulterior\&.
.sp
În cazul unei erori de analizare, nu se va actualiza nicio politică\&.
.SH "POLITICI PERSONALIZATE"
.sp
Politicile personalizate pot lua două forme\&. Prima formă este un fișier
complet de politici personalizate care este acceptat de instrumentul
«update\-crypto\-policies» în același mod ca și politicile livrate împreună cu
instrumentul în pachet\&.
.sp
Cea de\-a doua formă poate fi numită subpolitică sau modificator de
politică\&. Această formă modifică aspecte ale oricărui fișier de politică
de bază prin eliminarea sau adăugarea de algoritmi sau
protocoale\&. Subpoliticile pot fi adăugate pe linia de comandă
«update\-crypto\-policies \-\-set» la politica de bază, separate prin caracterul
:\&. Se pot adăuga mai multe subpolitici\&.
.sp
Să presupunem că avem o subpolitică NO\-SHA1 care elimină suportul pentru
algoritmul SHA1 și o subpolitică GOST care permite suportul pentru diverși
algoritmi specificați în standardele rusești GOST\&. Puteți stabili politica
DEFAULT cu suportul SHA1 dezactivat și suportul GOST activat prin rularea
următoarei comenzi:
.sp
update\-crypto\-policies \-\-set DEFAULT:NO\-SHA1:GOST
.sp
Această comandă generează și aplică o configurație care va fi o modificare a
politicii DEFAULT cu modificările specificate în subpoliticile NO\-SHA1 și
GOST\&.
.SH FIȘIERE
.PP
/etc/crypto\-policies/config
.RS 4
Fișierul conține politica curentă a sistemului\&. Acesta trebuie să conțină
un șir al unuia dintre profilurile enumerate în pagina \fBcrypto\-policies(7)\fP
(de exemplu, DEFAULT)\&.
.RE
.PP
/etc/crypto\-policies/back\-ends
.RS 4
Conține politicile generate în fișiere separate și într\-un format care poate
fi citit de infrastructurile acceptate\&.
.RE
.PP
/etc/crypto\-policies/local\&.d
.RS 4
Conține fișiere suplimentare care urmează să fie adăugate la fișierele de
politici generate\&. Fișierele prezente trebuie să respecte denumirea
fișierelor $app\-XXX\&.config, unde XXX este orice identificator
arbitrar\&. De exemplu, pentru a adăuga o linie la politica generată de
GnuTLS\*(Aq, creați un fișier gnutls\-extra\-line\&.config în
local\&.d\&. Acesta va fi adăugat la fișierul gnutls\&.config generat în
timpul actualizării politicilor criptografice\&. Aceste suprascrieri sunt
funcționale numai pentru infrastructurile gnutls, bind, java (openjdk) și
krb5\&.
.RE
.SH "CONSULTAȚI ȘI"
.sp
crypto\-policies(7), fips\-mode\-setup(8)
.SH AUTOR
.sp
Scris de Nikos Mavrogiannopoulos\&.
.PP
.SH TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de
Remus-Gabriel Chelu
.
.PP
Această traducere este documentație gratuită; citiți
.UR https://www.gnu.org/licenses/gpl-3.0.html
Licența publică generală GNU Versiunea 3
.UE
sau o versiune ulterioară cu privire la condiții privind drepturile de autor.
NU se asumă NICIO RESPONSABILITATE.
.PP
Dacă găsiți erori în traducerea acestui manual,
vă rugăm să trimiteți un e-mail la
.MT translation-team-ro@lists.sourceforge.net
.ME .