有时,您可能需要配置或更改系统的安全套接字层 (SSL)、传输层安全性 (TLS) 或安全 Shell (SSH) 安全级别设置,以解决错误或者进一步限制可以使用的协议范围。
要配置或更改系统上的安全级别,请使用 chsecurity 和 lssecurity 命令。
-sslprotocol 参数的 chsecurity 和 lssecurity 命令级别设置(1、2、3 或 4)按以下列表所示定义:- 1 表示不允许使用 SSL 3.0。(此设置是系统缺省值。)
- 2 表示只允许使用 TLS 1.2。
- 3 表示还不允许使用 TLS 1.2 密码套件,这些套件不是专属于 1.2。
- 4 另外不允许 RSA 密钥交换密码。
-sshprotocol 参数的
chsecurity 和
lssecurity 命令级别设置(1 或 2)按以下列表所示定义:
- 1 不允许对 SSH 使用 RSA 密码。
- 2 另外不允许使用 diffie-hellman-group14-sha256 和 diffie-hellman-group14-sha1 密钥交换方法。
要显示当前系统 SSL、TLS 和 SSH 安全设置,请输入以下命令:
lssecurity
结果显示当前设置,如以下示例所示:
sslprotocol:1
sshprotocol:1
要更改您的 SSL 或 TLS 安全设置,请输入以下命令:
chsecurity -sslprotocol security_level
其中 security_level 是 1、2、3 或 4。
要更改您的 SSH 安全设置,请输入以下命令:
chsecurity -sshprotocol security_level
其中 security_level 是 1 或 2。
chsecurity 命令可用于设置安全接口所允许的密码和协议,以便可以减少受攻击的漏洞。但是,更改此安全级别,可能中断与外部系统(例如,Web 浏览器)以及通过 CIM 连接的任何对象(例如,VMWare 配置实用程序或 Spectrum Control 软件)的连接。
使用以下准则以及 chsecurity -sslprotocol 和 chsecurity -sshprotocol 命令来解决系统上的安全协议问题:- 连接可能因协议不兼容而失败。您可以使用 -sslprotocol 参数,通过更改 SSL 接口版本查找外部系统的问题。由于当前无法修订的不兼容协议而导致连接失败时,也可以使用此参数将安全级别改回来。
- 如果安全级别设置为高于最低缺省级别且 Web 浏览器未设置为使用同一级别,那么可能失去对 管理 GUI 的远程访问权。如果您无法增加 Web 浏览器的安全级别,请使用 chsecurity 命令来降低安全级别。
- 如果安全级别设置为高于最低缺省级别并且 LDAP 服务器未设置为使用同一级别,那么可能无法使用 LDAP 服务器管理用户权限。如果您无法增加 LDAP 服务器的安全级别,您可能需要使用 chsecurity 命令来降低安全级别。
- 通过 CIM 连接的外部管理系统(例如,某些 VMWare 供应实用程序和 Tivoli Storage Manager)在某些情况下可能无法连接到系统。
例如,如果安全级别设置为高于最低缺省级别并且外部系统未设置为使用相同的协议级别,那么可能会发生此类故障。 如果您无法增加外部系统的安全级别,您可能需要使用 chsecurity 命令来降低安全级别。