使用 CLI 更改系统的 SSL/TLS/SSH 级别

管理员可以确定哪些客户机系统没有足够的安全级别,并将它们更新到较高级别或者降低系统安全级别直至更新完这些系统。

您不能使用 chsecurity 命令同时更改 SSL/TLS 和 SSH 设置。更改其中一种安全级别,检查系统是否仍可访问,然后再更改另一种类型的安全级别。

要使用命令行界面更改安全级别设置,请完成以下步骤:
  1. 要更改 SSL/TLS 设置,请输入 chsecurity -sslprotocol security_level,其中 security_level 为以下值之一:
    Table 1. 受支持的 SSL/TLS 安全级别.

    受支持的 SSL/TLS 安全级别
    安全级别 描述 允许的最低安全性
    1 将系统设置为禁用 SSL V3.0。 TLS 1.0
    2 将系统设置为禁用 SSL V3.0、TLS V1.0 和 TLS V1.1。 TLS 1.2
    3 将系统设置为禁用 SSL V3.0、TLS V1.0 和 TLS V1.1,并支持 TLS V1.2 独占的密码套件。 TLS 1.2
    4 将系统设置为禁用 SSL V3.0、TLS V1.0 和 TLS V1.1,并支持 TLS V1.2 独占的密码套件。将系统设置为禁用 RSA 密钥交换密码及用于 SSH 的 RSA 密码。 TLS 1.2
    Note: 在更改安全级别时,用户与管理 GUI 的连接可能中断。 如果此连接中断,请使用 CLI 将安全级别降至较低设置。
  2. 要更改 SSH 设置,请输入 chsecurity -sshprotocol security_level,其中 security_level 为以下值之一:
    Table 2. 受支持的 SSH 安全级别.

    受支持的 SSH 安全级别
    安全级别 描述
    1 允许以下密钥交换方法:
    • curve25519-sha256
    • curve25519-sha256@libssh.org
    • ecdh-sha2-nistp256
    • ecdh-sha2-nistp384
    • ecdh-sha2-nistp521
    • diffie-hellman-group-exchange-sha256
    • diffie-hellman-group16-sha512
    • diffie-hellman-group18-sha512
    • diffie-hellman-group14-sha256
    • diffie-hellman-group14-sha1
    • diffie-hellman-group1-sha1
    • diffie-hellman-group-exchange-sha1
    2 允许以下密钥交换方法:
    • curve25519-sha256
    • curve25519-sha256@libssh.org
    • ecdh-sha2-nistp256
    • ecdh-sha2-nistp384
    • ecdh-sha2-nistp521
    • diffie-hellman-group-exchange-sha256
    • diffie-hellman-group16-sha512
    • diffie-hellman-group18-sha512
    • diffie-hellman-group14-sha256
    • diffie-hellman-group14-sha1
Parent topic: 管理安全性
Related concepts
安全性需求