Configurando opções de nível de segurança usando a CLI

Às vezes, você pode precisar configurar ou alterar as configurações do nível de segurança Secure Sockets Layer (SSL) ou Segurança da Camada de Transporte (TLS) de um sistema para resolver um erro ou restringir ainda mais a faixa de protocolos que podem ser usados.

Sobre Esta Tarefa

Para configurar ou alterar os níveis de segurança em seu sistema, use os comandos chsecurity e lssecurity.

As configurações de nível de comando chsecurity e lssecurity (1, 2 ou 3) para o parâmetro -sslprotocol são definidas como a seguir:
  • 1 desaprova o SSL 3.0. (Essa configuração é o padrão do sistema.)
  • 2 permite TLS 1.2 somente
  • 3 desaprova adicionalmente conjuntos de cifras TLS 1.2 que não são exclusivos para 1.2
Para exibir as configurações de segurança atuais de SSL ou TLS do sistema, insira o comando a seguir:
lssecurity
Os resultados mostram a configuração atual, como sslprotocol:1.
Para alterar as configurações de segurança SSL ou TLS, insira o comando a seguir:
chsecurity -sslprotocol security_level 
em que security_level é 1, 2 ou 3.

O comando chsecurity -sslprotocol security_level pode ser usado para configurar as cifras e os protocolos permitidos pelas interfaces seguras para que a vulnerabilidade ao ataque possa ser reduzida. Mudar esse nível de segurança, no entanto, pode interromper a conexão com sistemas externos, tais como navegadores da web e tudo que esteja conectado através de CIM, tais como utilitários de fornecimento de VMWare ou o software IBM® Spectrum Control.

Para resolver problemas de protocolo de segurança em seu sistema, siga estas diretrizes.
  • Use o parâmetro -sslprotocol para localizar problemas com sistemas externos alterando as versões da interface SSL. É possível também usar esse parâmetro para alterar o nível de segurança novamente quando as conexões falharem por causa de protocolos incompatível que não podem ser corrigidos atualmente.
  • O acesso remoto ao GUI de gerenciamento poderá ser perdido se o nível de segurança estiver configurado acima do nível padrão mínimo e o navegador da web não estiver configurado para usar o mesmo nível. Se você não puder aumentar o nível de segurança do navegador da web, use a CLI chsecurity -sslprotocol para reduzir o nível de segurança.
  • O gerenciamento de autorização do usuário utilizando um servidor LDAP poderá falhar se o nível de segurança estiver configurado acima do nível padrão mínimo e o servidor LDAP não estiver configurado para usar o mesmo nível. Se não for possível aumentar o nível de segurança do servidor LDAP, você talvez precise usar a CLI chsecurity -sslprotocol para reduzir o nível de segurança.
  • Os sistemas de gerenciamento externos que se conectam por meio do CIM, como alguns utilitários de fornecimento do VMWare e o Tivoli Storage Manager, poderão falhar ao estabelecer conexão com o sistema em determinadas situações. Por exemplo, essa falha poderá ocorrer se o nível de segurança estiver configurado acima do nível padrão mínimo e o sistema externo não estiver configurado para usar os mesmos níveis de protocolo. Se não for possível aumentar o nível de segurança do sistema externo, você talvez precise usar a CLI chsecurity -sslprotocol para reduzir o nível de segurança.