Red Hat Training
A Red Hat training course is available for RHEL 8
6.9. 암호로 IPsec NSS 데이터베이스 보호
기본적으로 IPsec 서비스는 처음 시작하는 동안 비어 있는 암호를 사용하여 NSS(Network Security Services) 데이터베이스를 생성합니다. 다음 단계를 사용하여 암호 보호를 추가합니다.
이전 RHEL 버전 6.6 버전에서는 NSS 암호화 라이브러리가 FIPS 6443 레벨 2 표준에 대해 인증되었기 때문에 FIPShiera 요구 사항을 충족하는 암호로 IPsec NSS 데이터베이스를 보호해야 했습니다. RHEL 8에서는 NIST 인증 NSS를 이 표준의 수준 1로 인증했으며 이 상태에는 데이터베이스에 대한 암호 보호가 필요하지 않습니다.
사전 요구 사항
-
/etc/ipsec.d/디렉토리에는 NSS 데이터베이스 파일이 포함되어 있습니다.
절차
Libreswan의
NSS데이터베이스에 대해 암호 보호를 활성화합니다.# certutil -N -d sql:/etc/ipsec.d Enter Password or Pin for "NSS Certificate DB": Enter a password which will be used to encrypt your keys. The password should be at least 8 characters long, and should contain at least one non-alphabetic character. Enter new password:이전 단계에서 설정한 암호가 포함된
/etc/ipsec.d/nsspassword파일을 만듭니다. 예를 들면 다음과 같습니다.# cat /etc/ipsec.d/nsspassword NSS Certificate DB:MyStrongPasswordHerensspassword파일은 다음 구문을 사용합니다.token_1_name:the_password token_2_name:the_password
기본 NSS 소프트웨어 토큰은
NSS Certificate DB입니다. 시스템이 FIPS 모드에서 실행 중인 경우 토큰 이름은NSS FIPS 140-2 Certificate DB입니다.시나리오에 따라
nsspassword파일을 완료한 후ipsec서비스를 시작하거나 다시 시작합니다.# systemctl restart ipsec
검증
NSS 데이터베이스에 비어 있지 않은 암호를 추가한 후
ipsec서비스가 실행 중인지 확인합니다.# systemctl status ipsec ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable> Active: active (running)...선택적으로
Journal로그에 초기화가 성공했는지 확인하는 항목이 포함되어 있는지 확인합니다.# journalctl -u ipsec ... pluto[6214]: Initializing NSS using read-write database "sql:/etc/ipsec.d" pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS pluto[6214]: NSS crypto library initialized ...
추가 리소스
-
certutil(1)도움말 페이지. - 정부 표준 지식베이스 문서.
