Scroll to navigation

UPDATE-CRYPTO-POLI(8)  " UPDATE-CRYPTO-POLI(8)

NUME

update-crypto-policies - gestionează politicile disponibile pentru diferitele infrastructuri criptografice

SINOPSIS

update-crypto-policies [COMANDA]

DESCRIERE

update-crypto-policies(8) este utilizat pentru a stabili politica aplicabilă pentru diferitele infrastructuri criptografice, cum ar fi bibliotecile SSL/TLS. Aceasta va fi politica implicită utilizată de aceste infrastructuri, cu excepția cazului în care utilizatorul aplicației le configurează altfel.

Politicile disponibile sunt descrise în pagina de manual crypto-policies(7).

Politica de sistem dorită este selectată în „/etc/crypto-policies/config”, iar acest instrument va genera cerințele de politici individuale pentru toate infrastructurile care acceptă o astfel de configurație. După apelarea acestui instrument, administratorul este asigurat că orice aplicație care utilizează infrastructurile acceptate va urma o politică care respectă profilul configurat.

Rețineți că asigurarea de mai sus se aplică în măsura în care aplicațiile sunt configurate să urmeze politica implicită (detaliile variază în funcție de infrastructură, a se vedea mai jos pentru mai multe informații).

Politicile de infrastructură generate vor fi plasate în „/etc/crypto-policies/back-ends”. În prezent, infrastructurile acceptate sunt:

•biblioteca GnuTLS

•biblioteca OpenSSL

•biblioteca NSS

•OpenJDK

•libkrb5

•BIND

•OpenSSH

•Libreswan

•libssh

Aplicațiile și limbajele care se bazează pe oricare dintre aceste infrastructuri vor respecta, de asemenea, politicile sistemului. Exemple sunt apache httpd, nginx, php și altele.

În general, după modificarea politicilor criptografice ale sistemului cu comanda «update-crypto-policies --set», se recomandă să reporniți sistemul pentru ca efectul să se producă în totalitate, deoarece fișierele de configurare a politicilor sunt încărcate la pornirea aplicației. În caz contrar, aplicațiile pornite înainte de rularea comenzii trebuie repornite pentru a încărca configurația actualizată.

COMENZI

Următoarele comenzi sunt disponibile în instrumentul «update-crypto-policies».

•„--show”: Afișează politica de criptare aplicată în prezent.

•„--is-applied”: Returnează succes dacă politica configurată în prezent este deja aplicată.

•„--set”: Stabilește politica curentă și suprascrie fișierul de configurare.

OPȚIUNI

Următoarele opțiuni sunt disponibile în instrumentul «update-crypto-policies».

•„--no-check”: În mod implicit, acest instrument efectuează o verificare a corectitudinii pentru a verifica dacă politica configurată este acceptată de instrumentele acceptate. Această opțiune dezactivează aceste verificări.

•„--no-reload”: În mod implicit, acest instrument face ca unele aplicații care rulează să reîncarce politica configurată. Această opțiune sare peste reîncărcare.

SUPORT PENTRU APLICAȚII

Aplicațiile din sistemul de operare care oferă un fișier de configurare implicit care include un șir de politici criptografice vor fi modificate treptat pentru a accepta aceste politici.

Atunci când o aplicație furnizează un fișier de configurare, modificările necesare pentru a utiliza politica la nivel de sistem sunt următoarele.

•Aplicațiile care utilizează GnuTLS: Dacă o aplicație permite configurarea priorităților de criptare printr-un șir de caractere, șirul special de priorități „@SYSTEM” trebuie să înlocuiască orice alt șir de priorități. Aplicațiile care utilizează parametrii impliciți ai bibliotecii aderă automat la această politică. Aplicațiile care respectă politica moștenesc configurările pentru preferințele suitei de cifrare, versiunile de protocol TLS și DTLS, curbele eliptice permise și limitele pentru cheile criptografice.

•Aplicațiile care utilizează OpenSSL: Dacă o aplicație permite configurarea unui șir de serii de cifrare, șirul special de cifrare „PROFILE=SYSTEM” trebuie să înlocuiască orice alt șir de cifrare. Aplicațiile care utilizează parametrii impliciți ai bibliotecii aderă automat la această politică. Aplicațiile care respectă politica moștenesc configurările pentru preferințele suitei de cifrare. În mod implicit, biblioteca OpenSSL citește un fișier de configurare atunci când este inițializată. În cazul în care aplicația nu anulează încărcarea fișierului de configurare, politica stabilește, de asemenea, versiunea minimă a protocolului TLS și preferința implicită pentru suita de cifrare prin intermediul acestui fișier. În cazul în care aplicația are o durată lungă de execuție, cum ar fi serverul httpd, aceasta trebuie repornită pentru a reîncărca fișierul de configurare după modificarea politicii. În caz contrar, politica modificată nu poate intra în vigoare.

•Aplicațiile care utilizează NSS: Aplicațiile care utilizează NSS vor încărca politicile criptografice în mod implicit. Acestea moștenesc configurările pentru preferințele pentru suita de cifrare, versiunile de protocol TLS și DTLS, curbele eliptice permise și limitele pentru cheile criptografice. Rețineți că, spre deosebire de OpenSSL și GnuTLS, politica NSS este impusă în mod implicit; pentru a împiedica aplicațiile să adere la politică, variabila de mediu NSS_IGNORE_SYSTEM_POLICY trebuie să fie setată la 1 înainte de a executa aplicația respectivă.

•Aplicațiile care utilizează Java: Nu este necesar un tratament special. Aplicațiile care utilizează Java vor încărca implicit politicile de criptare. Aceste aplicații vor moșteni apoi configurările pentru suitele de cifrare permise, versiunile de protocol TLS și DTLS permise, curbele eliptice permise și limitele pentru cheile criptografice. Pentru a împiedica aplicațiile openjdk să adere la politică, fișierul <java.home>/jre/lib/security/java.security trebuie editat pentru a conține security.useSystemPropertiesFile=false. Alternativ, se poate crea un fișier care să conțină valorile suprascrise pentru jdk.tls.disabledAlgorithms, jdk.certpath.disabledAlgorithms și să se transmită locația acestui fișier către Java în linia de comandă, utilizând -Djava.security.properties=<ruta la fișier>.

•Aplicațiile care utilizează libkrb5: Nu este necesar niciun tratament special. Aplicațiile vor urma în mod implicit politicile de criptare. Aceste aplicații moștenesc configurările pentru tipurile de criptare permise pentru tichete, precum și limitele cheilor criptografice pentru protocolul PKINIT. Este disponibilă o opțiune de excludere la nivelul întregului sistem prin ștergerea legăturii „/etc/krb5.conf.d/crypto-policies”.

•BIND: Această aplicație moștenește setul de algoritmi din lista neagră. Pentru a renunța la această politică, eliminați directiva de includere a politicii din fișierul „named.conf”.

•OpenSSH: Atât serverul, cât și aplicația client moștenește preferințele de cifrare, algoritmii de schimb de chei, precum și algoritmii de schimb de chei GSSAPI. Pentru a renunța la politica pentru client, suprascrieți ssh_config global cu o configurație specifică utilizatorului în „~/.ssh/config”. Consultați ssh_config(5) pentru mai multe informații. Pentru a renunța la politica pentru server, decomentați linia care conține CRYPTO_POLICY= în fișierul „/etc/sysconfig/sshd”.

•Libreswan: Atât serverele, cât și clienții moștenesc preferințele ESP și IKE, dacă acestea nu sunt înlocuite în fișierul de configurare a conexiunii. Rețineți că, din cauza limitărilor din libreswan, politicile criptografice sunt limitate la suportul pentru IKEv2. Pentru a renunța la această politică, comentați linia care include „/etc/crypto-policies/back-ends/libreswan.config” din „/etc/ipsec.conf”.

•Aplicațiile care utilizează libssh: Atât aplicațiile client, cât și cele server care utilizează libssh vor încărca implicit politicile criptografice. Acestea moștenesc preferințele pentru algoritmi de cifrare, schimb de chei, autentificare a mesajelor și semnătură.

CONFIGURAREA POLITICII

Unul dintre profilurile acceptate ar trebui să fie definit în „/etc/crypto-policies/config”, iar acest script ar trebui să fie rulat ulterior.

În cazul unei erori de analizare, nu se va actualiza nicio politică.

POLITICI PERSONALIZATE

Politicile personalizate pot lua două forme. Prima formă este un fișier complet de politici personalizate care este acceptat de instrumentul «update-crypto-policies» în același mod ca și politicile livrate împreună cu instrumentul în pachet.

Cea de-a doua formă poate fi numită subpolitică sau modificator de politică. Această formă modifică aspecte ale oricărui fișier de politică de bază prin eliminarea sau adăugarea de algoritmi sau protocoale. Subpoliticile pot fi adăugate pe linia de comandă «update-crypto-policies --set» la politica de bază, separate prin caracterul :. Se pot adăuga mai multe subpolitici.

Să presupunem că avem o subpolitică NO-SHA1 care elimină suportul pentru algoritmul SHA1 și o subpolitică GOST care permite suportul pentru diverși algoritmi specificați în standardele rusești GOST. Puteți stabili politica DEFAULT cu suportul SHA1 dezactivat și suportul GOST activat prin rularea următoarei comenzi:

update-crypto-policies --set DEFAULT:NO-SHA1:GOST

Această comandă generează și aplică o configurație care va fi o modificare a politicii DEFAULT cu modificările specificate în subpoliticile NO-SHA1 și GOST.

FIȘIERE

/etc/crypto-policies/config

Fișierul conține politica curentă a sistemului. Acesta trebuie să conțină un șir al unuia dintre profilurile enumerate în pagina crypto-policies(7) (de exemplu, DEFAULT).

/etc/crypto-policies/back-ends

Conține politicile generate în fișiere separate și într-un format care poate fi citit de infrastructurile acceptate.

/etc/crypto-policies/local.d

Conține fișiere suplimentare care urmează să fie adăugate la fișierele de politici generate. Fișierele prezente trebuie să respecte denumirea fișierelor $app-XXX.config, unde XXX este orice identificator arbitrar. De exemplu, pentru a adăuga o linie la politica generată de GnuTLS', creați un fișier gnutls-extra-line.config în local.d. Acesta va fi adăugat la fișierul gnutls.config generat în timpul actualizării politicilor criptografice. Aceste suprascrieri sunt funcționale numai pentru infrastructurile gnutls, bind, java (openjdk) și krb5.

CONSULTAȚI ȘI

crypto-policies(7), fips-mode-setup(8)

AUTOR

Scris de Nikos Mavrogiannopoulos.

TRADUCERE

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.

24 august 2019 update-crypto-policies