История изменений

Исправление t184256, 01.12.22 10:17 (текущая версия) :

ссылкой в /usr/share оно будет только при условии не-custom policies и отсутствии модификаций через local.d впридачу

Как видишь, это ссылка на /usr/share/crypto-policies/DEFAULT/openssl.txt

Ты прочел вообще, что я написал? Сделай update-crypto-policies --set DEFAULT:NO-CAMELLIA или выполни свое

cat > /etc/crypto-policies/local.d/openssl-gost.config <<EOF
openssl_conf = openssl_def
[engine_section]
gost = gost_section
... вся остальная твоя простыня ...
EOF
update-crypto-policies --set

и посмотри, какая это ссылка и куда.

И файл политик не перепишется дистрибутивным при обновлении.

Угу, и теперь я могу хоть уобновляться, изменения тебе не применятся.

Надеюсь, теперь ты доволен. ;)

Надеюсь клиенты твои довольны, что вместо чтения манов и применения штатных механизмов конфигурации ты креативишь какую-то дичь по живому. Нет чтобы скачать и применить GOST subpolicy или вариацию на ее тему, нет чтобы найти официальную документацию как вообще перестать использовать crypto-policies для openssl поддерживаемым способом, надо обязательно полезть куда попало и вписать туда что попало как попало. А то, что у них теперь апдейты больше не затрагивают конфигурацию и внезапно больше не запрещены какие-нибудь TLS 1.0 и RSA-ключи длиной 1024 бита, это ж тебе явно побоку.

Исходная версия t184256, 01.12.22 10:14:

ссылкой в /usr/share оно будет только при условии не-custom policies и отсутствии модификаций через local.d впридачу

Как видишь, это ссылка на /usr/share/crypto-policies/DEFAULT/openssl.txt

Ты прочел вообще, что я написал? Сделай update-crypto-policies --set DEFAULT:NO-CAMELLIA или выполни свое

cat > /etc/crypto-policies/local.d/openssl-gost.config <<<EOF
openssl_conf = openssl_def
[engine_section]
gost = gost_section
... вся остальная твоя простыня ...
EOF
update-crypto-policies --set

и посмотри, какая это ссылка и куда.

И файл политик не перепишется дистрибутивным при обновлении.

Угу, и теперь я могу хоть уобновляться, изменения тебе не применятся.

Надеюсь, теперь ты доволен. ;)

Надеюсь клиенты твои довольны, что вместо чтения манов и применения штатных механизмов конфигурации ты креативишь какую-то дичь по живому. Нет чтобы скачать и применить GOST subpolicy или вариацию на ее тему, нет чтобы найти официальную документацию как вообще перестать использовать crypto-policies для openssl, надо обязательно полезть куда попало и вписать туда что попало как попало. А то, что у них теперь апдейты больше не затрагивают конфигурацию и внезапно больше не запрещены какие-нибудь TLS 1.0 и RSA-ключи длиной 1024 бита, это ж тебе явно побоку.