Configurando opções de nível de segurança usando a CLI
Às vezes, você pode precisar configurar ou alterar as configurações do nível de segurança Secure Sockets Layer (SSL) ou Segurança da Camada de Transporte (TLS) de um sistema para resolver um erro ou restringir ainda mais a faixa de protocolos que podem ser usados.
Sobre Esta Tarefa
Para configurar ou alterar os níveis de segurança em seu sistema, use os comandos chsecurity e lssecurity.
- 1 desaprova o SSL 3.0. (Essa configuração é o padrão do sistema.)
- 2 permite TLS 1.2 somente
- 3 desaprova adicionalmente conjuntos de cifras TLS 1.2 que não são exclusivos para 1.2
lssecurity
Os
resultados mostram a configuração atual, como sslprotocol:1. chsecurity -sslprotocol security_level
em que security_level é
1, 2 ou 3. O comando chsecurity -sslprotocol security_level pode ser usado para configurar as cifras e os protocolos permitidos pelas interfaces seguras para que a vulnerabilidade ao ataque possa ser reduzida. Mudar esse nível de segurança, no entanto, pode interromper a conexão com sistemas externos, tais como navegadores da web e tudo que esteja conectado através de CIM, tais como utilitários de fornecimento de VMWare ou o software IBM® Spectrum Control.
- Use o parâmetro -sslprotocol para localizar problemas com sistemas externos alterando as versões da interface SSL. É possível também usar esse parâmetro para alterar o nível de segurança novamente quando as conexões falharem por causa de protocolos incompatível que não podem ser corrigidos atualmente.
- O acesso remoto ao GUI de gerenciamento poderá ser perdido se o nível de segurança estiver configurado acima do nível padrão mínimo e o navegador da web não estiver configurado para usar o mesmo nível. Se você não puder aumentar o nível de segurança do navegador da web, use a CLI chsecurity -sslprotocol para reduzir o nível de segurança.
- O gerenciamento de autorização do usuário utilizando um servidor LDAP poderá falhar se o nível de segurança estiver configurado acima do nível padrão mínimo e o servidor LDAP não estiver configurado para usar o mesmo nível. Se não for possível aumentar o nível de segurança do servidor LDAP, você talvez precise usar a CLI chsecurity -sslprotocol para reduzir o nível de segurança.
- Os sistemas de gerenciamento externos que se conectam por meio do CIM, como alguns utilitários de fornecimento do VMWare e o Tivoli Storage Manager, poderão falhar ao estabelecer conexão com o sistema em determinadas situações. Por exemplo, essa falha poderá ocorrer se o nível de segurança estiver configurado acima do nível padrão mínimo e o sistema externo não estiver configurado para usar os mesmos níveis de protocolo. Se não for possível aumentar o nível de segurança do sistema externo, você talvez precise usar a CLI chsecurity -sslprotocol para reduzir o nível de segurança.