Исправление t184256, (текущая версия) :
ссылкой в /usr/share оно будет только при условии не-custom policies и отсутствии модификаций через local.d впридачу
Как видишь, это ссылка на /usr/share/crypto-policies/DEFAULT/openssl.txt
Ты прочел вообще, что я написал? Сделай update-crypto-policies --set DEFAULT:NO-CAMELLIA или выполни свое
cat > /etc/crypto-policies/local.d/openssl-gost.config <<EOF
openssl_conf = openssl_def
[engine_section]
gost = gost_section
... вся остальная твоя простыня ...
EOF
update-crypto-policies --set
и посмотри, какая это ссылка и куда.
И файл политик не перепишется дистрибутивным при обновлении.
Угу, и теперь я могу хоть уобновляться, изменения тебе не применятся.
Надеюсь, теперь ты доволен. ;)
Надеюсь клиенты твои довольны, что вместо чтения манов и применения штатных механизмов конфигурации ты креативишь какую-то дичь по живому. Нет чтобы скачать и применить GOST subpolicy или вариацию на ее тему, нет чтобы найти официальную документацию как вообще перестать использовать crypto-policies для openssl поддерживаемым способом, надо обязательно полезть куда попало и вписать туда что попало как попало. А то, что у них теперь апдейты больше не затрагивают конфигурацию и внезапно больше не запрещены какие-нибудь TLS 1.0 и RSA-ключи длиной 1024 бита, это ж тебе явно побоку.
Исходная версия t184256, :
ссылкой в /usr/share оно будет только при условии не-custom policies и отсутствии модификаций через local.d впридачу
Как видишь, это ссылка на /usr/share/crypto-policies/DEFAULT/openssl.txt
Ты прочел вообще, что я написал? Сделай update-crypto-policies --set DEFAULT:NO-CAMELLIA или выполни свое
cat > /etc/crypto-policies/local.d/openssl-gost.config <<<EOF
openssl_conf = openssl_def
[engine_section]
gost = gost_section
... вся остальная твоя простыня ...
EOF
update-crypto-policies --set
и посмотри, какая это ссылка и куда.
И файл политик не перепишется дистрибутивным при обновлении.
Угу, и теперь я могу хоть уобновляться, изменения тебе не применятся.
Надеюсь, теперь ты доволен. ;)
Надеюсь клиенты твои довольны, что вместо чтения манов и применения штатных механизмов конфигурации ты креативишь какую-то дичь по живому. Нет чтобы скачать и применить GOST subpolicy или вариацию на ее тему, нет чтобы найти официальную документацию как вообще перестать использовать crypto-policies для openssl, надо обязательно полезть куда попало и вписать туда что попало как попало. А то, что у них теперь апдейты больше не затрагивают конфигурацию и внезапно больше не запрещены какие-нибудь TLS 1.0 и RSA-ключи длиной 1024 бита, это ж тебе явно побоку.