Memodifikasi CRYPTO _ CHECKSUM _* nilai Memodifikasi ALLOW _ WEAK _ CRYPTO * pengaturan

Memodifikasi NATIVE _ NETWORK _ pengaturan ENCRYPTION opsi

Setelah mengaktifkan opsi NATIVE_NETWORK_ENCRYPTION, Anda dapat mengubah pengaturannya. Saat ini, Anda dapat mengubah pengaturan NATIVE_NETWORK_ENCRYPTION opsi hanya dengan AWS CLI atau RDSAPI. Anda tidak dapat menggunakan konsol. Contoh berikut memodifikasi dua pengaturan dalam opsi.


aws rds add-option-to-option-group \
    --option-group-name my-option-group \
    --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \
    --apply-immediately

Untuk mempelajari cara mengubah pengaturan opsi menggunakanCLI, lihatAWS CLI. Untuk informasi selengkapnya tentang setiap pengaturan, lihat NATIVE_ NETWORK _ pengaturan ENCRYPTION opsi.

Topik

Memodifikasi CRYPTO _ CHECKSUM _* nilai
Memodifikasi ALLOW _ WEAK _ CRYPTO * pengaturan

Memodifikasi CRYPTO _ CHECKSUM _* nilai

Jika Anda mengubah pengaturan ENCRYPTION opsi NATIVENETWORK_ _, pastikan bahwa pengaturan opsi berikut memiliki setidaknya satu sandi umum:

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

Contoh berikut menunjukkan skenario di mana Anda mengubah SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER. Konfigurasi ini valid karena CRYPTO_CHECKSUM_TYPES_CLIENT dan CRYPTO_CHECKSUM_TYPES_SERVER sama-sama menggunakan SHA256.

Pengaturan opsi	Nilai sebelum modifikasi	Nilai setelah modifikasi
`SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT`	`SHA256`, `SHA384`, `SHA512`	Tidak ada perubahan
`SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER`	`SHA256`, `SHA384`, `SHA512`, `SHA1`, `MD5`	`SHA1,MD5,SHA256`

Untuk contoh lain, asumsikan bahwa Anda ingin mengubah SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER dari pengaturan default-nya ke SHA1,MD5. Dalam hal ini, pastikan Anda menetapkan SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT ke SHA1 atau MD5. Algoritma ini tidak termasuk dalam nilai default untuk SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT.

Memodifikasi ALLOW _ WEAK _ CRYPTO * pengaturan

Untuk mengatur opsi SQLNET.ALLOW_WEAK_CRYPTO* dari nilai default ke FALSE, pastikan bahwa kondisi berikut terpenuhi:

SQLNET.ENCRYPTION_TYPES_SERVER dan SQLNET.ENCRYPTION_TYPES_CLIENT memiliki satu metode enkripsi aman yang cocok. Sebuah metode dianggap aman jika bukan DES, 3DES, atau RC4 (semua panjang kunci).
SQLNET.CHECKSUM_TYPES_SERVER dan SQLNET.CHECKSUM_TYPES_CLIENT memiliki satu metode checksumming aman yang cocok. Sebuah metode dianggap aman jika bukan MD5.
Klien ditambal dengan Juli 2021PSU. Jika klien tidak di-patch, klien kehilangan koneksi dan menerima kesalahan ORA-12269.

Contoh berikut menunjukkan NNE pengaturan sampel. Asumsikan bahwa Anda ingin mengatur SQLNET.ENCRYPTION_TYPES_SERVER dan SQLNET.ENCRYPTION_TYPES_CLIENT keFALSE, dengan demikian memblokir koneksi yang tidak aman. Pengaturan opsi checksum memenuhi prasyarat karena keduanya memiliki SHA256. Namun, SQLNET.ENCRYPTION_TYPES_CLIENT dan SQLNET.ENCRYPTION_TYPES_SERVER mengggunakan DES, 3DES, dan metode enkripsi RC4, yang bersifat tidak aman. Oleh karena itu, untuk menetapkan opsi SQLNET.ALLOW_WEAK_CRYPTO* ke FALSE, pertama tetapkan SQLNET.ENCRYPTION_TYPES_SERVER dan SQLNET.ENCRYPTION_TYPES_CLIENT ke metode enkripsi yang aman seperti AES256.

Pengaturan opsi	Nilai
`SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT`	`SHA256`, `SHA384`, `SHA512`
`SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER`	`SHA1,MD5,SHA256`
`SQLNET.ENCRYPTION_TYPES_CLIENT`	`RC4_256`, `3DES168`, `DES40`
`SQLNET.ENCRYPTION_TYPES_SERVER`	`RC4_256`, `3DES168`, `DES40`

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengatur NNE nilai di sqlnet.ora

Menghapus opsi