Red Hat Enterprise Linux - ダメ出し Blog

[] [更新履歴]

暗号化ポリシー

crypto-policies(7) を参照。

Perfect Forward Secrecy (PFS) 対応

2023 年現在の DEFAULT ポリシーは RSA と PSK が有効化されている。

暗号化ポリシーモジュール PFS-KEX (名前は任意) を作成する。 /etc/crypto-policies/policies/modules/PFS-KEX.pmod (新規作成):

key_exchange = -RSA -PSK

暗号化ポリシー設定にモジュールを追加する:

# update-crypto-policies --set DEFAULT:PFS-KEX

TLS 1.0, 1.1 対応

2023 年現在の DEFAULT ポリシーは TLS 1.1 以下が無効化されている。 注意: いずれも脆弱性が知られているので、よほどの理由がないなら有効化すべきではない。

暗号化ポリシーモジュール TLS1.0 (名前は任意) を作成する。 /etc/crypto-policies/policies/modules/TLS1.0.pmod (新規作成):

protocol@TLS = +TLS1.1 +TLS1.0

暗号化ポリシー設定にモジュールを追加する:

# update-crypto-policies --set DEFAULT:TLS1.0

logrotate

logrotate の実行時間

https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/deployment_guide/ch-automating_system_tasks/etc/anacrontab:

# the maximal random delay added to the base delay of the jobs
RANDOM_DELAY=45
# the jobs will be started during the following hours only
START_HOURS_RANGE=3-22
#period in days   delay in minutes   job-identifier   command
1       5       cron.daily              nice run-parts /etc/cron.daily
7       25      cron.weekly             nice run-parts /etc/cron.weekly
@monthly 45     cron.monthly            nice run-parts /etc/cron.monthly