Menu Close

安全网络

Red Hat Enterprise Linux 9

配置安全网络和网络通信

摘要

本标题帮助管理员保护网络、连接的计算机和网络通信免受各种攻击。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息

对红帽文档提供反馈

我们感谢您对文档提供反馈信息。请让我们了解如何改进文档。

  • 关于特定内容的简单评论:

    1. 请确定您使用 Multi-page HTML 格式查看文档。另外,确定 Feedback 按钮出现在文档页的右上方。
    2. 用鼠标指针高亮显示您想评论的文本部分。
    3. 点在高亮文本上弹出的 Add Feedback
    4. 按照显示的步骤操作。
  • 要通过 Bugzilla 提交反馈,请创建一个新的 ticket:

    1. 进入 Bugzilla 网站。
    2. 在 Component 中选择 Documentation
    3. Description 中输入您要提供的信息。包括文档相关部分的链接。
    4. Submit Bug

第 1 章 使用 OpenSSH 的两个系统间使用安全通讯

SSH(Secure Shell)是一种协议,它使用客户端-服务器架构在两个系统之间提供安全通信,并允许用户远程登录到服务器主机系统。和其它远程沟通协议,如 FTP 或 Telnet 不同,SSH 会加密登录会话,它会阻止入侵者从连接中收集未加密的密码。

Red Hat Enterprise Linux 包括基本的 OpenSSH 软件包:通用的 openssh 软件包、openssh-server 软件包以及 openssh-clients 软件包。请注意,OpenSSH 软件包需要 OpenSSL 软件包 openssl-libs,它会安装几个重要的加密库来启用 OpenSSH 对通讯进行加密。

1.1. SSH 和 OpenSSH

SSH(安全 Shell)是一个登录远程机器并在该机器上执行命令的程序。SSH 协议通过不安全的网络在两个不可信主机间提供安全加密的通讯。您还可以通过安全频道转发 X11 连接和任意 TCP/IP 端口。

当使用 SSH 协议进行远程 shell 登录或文件复制时,SSH 协议可以缓解威胁,例如,拦截两个系统之间的通信和模拟特定主机。这是因为 SSH 客户端和服务器使用数字签名来验证其身份。另外,所有客户端和服务器系统之间的沟通都是加密的。

主机密钥验证使用 SSH 协议的主机。主机密钥是首次安装 OpenSSH,或者主机第一次引导时自动生成的加密密钥。

OpenSSH 是 Linux、UNIX 和类似操作系统支持的 SSH 协议的实现。它包括 OpenSSH 客户端和服务器需要的核心文件。OpenSSH 组件由以下用户空间工具组成:

  • ssh 是一个远程登录程序(SSH 客户端)。
  • sshd 是一个 OpenSSH SSH 守护进程。
  • scp 是一个安全的远程文件复制程序。
  • sftp 是一个安全的文件传输程序。
  • ssh-agent 是用于缓存私钥的身份验证代理。
  • ssh-addssh-agent 添加私钥身份。
  • ssh-keygen 生成、管理并转换 ssh 验证密钥。
  • ssh-copy-id 是一个将本地公钥添加到远程 SSH 服务器上的 authorized_keys 文件的脚本。
  • ssh-keyscan 收集 SSH 公共主机密钥。
注意

在 RHEL 9 中,安全复制协议(SCP)默认替换为 SSH 文件传输协议(SFTP)。这是因为 SCP 已经引起了安全问题,例如 CVE-2020-15778

如果您的场景中无法使用 SFTP 或不兼容的情况,您可以使用 -O 选项强制使用原始 SCP/RCP 协议。

如需更多信息,请参阅 Red Hat Enterprise Linux 9 中的 OpenSSH SCP 协议弃用

现有两个 SSH 版本: 版本 1 和较新的版本 2。RHEL 中的 OpenSSH 套件只支持 SSH 版本 2。它具有增强的键交换算法,这些算法不受版本 1 中已知的漏洞的影响。

OpenSSH 作为 RHEL 的核心加密子系统之一,使用系统范围的加密策略。这样可确保在默认配置中禁用弱密码套件和加密算法。要修改策略,管理员必须使用 update-crypto-policies 命令来调整设置,或者手动选择不使用系统范围的加密策略。

OpenSSH 套件使用两组配置文件:一个用于客户端程序(即 sshscpsftp)以及服务器( sshd 守护进程)的另一个配置文件。

系统范围的 SSH 配置信息保存在 /etc/ssh/ 目录中。用户特定的 SSH 配置信息保存在用户主目录中的 ~/.ssh/ 中。有关 OpenSSH 配置文件的详细列表,请查看 sshd(8) man page 中的 FILES 部分。

其他资源

1.2. 配置并启动 OpenSSH 服务器

使用以下步骤进行您的环境以及启动 OpenSSH 服务器所需的基本配置。请注意,在默认 RHEL 安装后,sshd 守护进程已经启动,服务器主机密钥会自动被创建。

先决条件

  • 已安装 openssh-server 软件包。

流程

  1. 在当前会话中启动 sshd 守护进程,并在引导时自动启动:

    # systemctl start sshd
    # systemctl enable sshd
  2. 指定不同于默认的 0.0.0.0 (IPv4)或 ::(IPv6) /etc/ssh/sshd_config 配置文件中的 ListenAddress 指令并使用较慢的动态网络配置,将 network-online.target 目标单元的依赖关系添加到 sshd.service 单元文件中。要做到这一点,使用以下内容创建 /etc/systemd/system/sshd.service.d/local.conf 文件:

    [Unit]
    Wants=network-online.target
    After=network-online.target
  3. 查看 /etc/ssh/sshd_config 配置文件中的 OpenSSH 服务器设置是否满足您的要求。
  4. (可选)通过编辑 /etc/issue 文件来更改您的 OpenSSH 服务器在客户端验证前显示的欢迎信息,例如:

    Welcome to ssh-server.example.com
    Warning: By accessing this server, you agree to the referenced terms and conditions.

    确保 /etc/ssh/sshd_config 中未注释掉 Banner 选项,并且其值包含 /etc/issue

    # less /etc/ssh/sshd_config | grep Banner
    Banner /etc/issue

    请注意:要在成功登录后改变显示的信息,您必须编辑服务器上的 /etc/motd 文件。详情请查看 pam_motd man page。

  5. 重新载入 systemd 配置,并重启 sshd 以应用修改:

    # systemctl daemon-reload
    # systemctl restart sshd

验证

  1. 检查 sshd 守护进程是否正在运行:

    # systemctl status sshd
    ● sshd.service - OpenSSH server daemon
       Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
       Active: active (running) since Mon 2019-11-18 14:59:58 CET; 6min ago
         Docs: man:sshd(8)
               man:sshd_config(5)
     Main PID: 1149 (sshd)
        Tasks: 1 (limit: 11491)
       Memory: 1.9M
       CGroup: /system.slice/sshd.service
               └─1149 /usr/sbin/sshd -D -oCiphers=aes128-ctr,aes256-ctr,aes128-cbc,aes256-cbc -oMACs=hmac-sha2-256,>
    
    Nov 18 14:59:58 ssh-server-example.com systemd[1]: Starting OpenSSH server daemon...
    Nov 18 14:59:58 ssh-server-example.com sshd[1149]: Server listening on 0.0.0.0 port 22.
    Nov 18 14:59:58 ssh-server-example.com sshd[1149]: Server listening on :: port 22.
    Nov 18 14:59:58 ssh-server-example.com systemd[1]: Started OpenSSH server daemon.
  2. 使用 SSH 客户端连接到 SSH 服务器。

    # ssh user@ssh-server-example.com
    ECDSA key fingerprint is SHA256:dXbaS0RG/UzlTTku8GtXSz0S1++lPegSy31v3L/FAEc.
    Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
    Warning: Permanently added 'ssh-server-example.com' (ECDSA) to the list of known hosts.
    
    user@ssh-server-example.com's password:

其他资源

  • sshd(8)sshd_config(5) 手册页。

1.3. 为基于密钥的身份验证设置 OpenSSH 服务器

要提高系统安全性,通过在 OpenSSH 服务器上禁用密码身份验证来强制进行基于密钥的身份验证。

先决条件

  • 已安装 openssh-server 软件包。
  • sshd 守护进程正在服务器中运行。

流程

  1. 在文本编辑器中打开 /etc/ssh/sshd_config 配置,例如:

    # vi /etc/ssh/sshd_config
  2. PasswordAuthentication 选项改为 no:

    PasswordAuthentication no

    在新默认安装以外的系统中,检查 PubkeyAuthentication 没有被设置,并且将 ChallengeResponseAuthentication 指令设为 no。如果您要进行远程连接,而不使用控制台或带外访问,在禁用密码验证前测试基于密钥的登录过程。

  3. 要在 NFS 挂载的主目录中使用基于密钥的验证,启用 use_nfs_home_dirs SELinux 布尔值:

    # setsebool -P use_nfs_home_dirs 1
  4. 重新载入 sshd 守护进程以应用更改:

    # systemctl reload sshd

其他资源

  • sshd(8), sshd_config(5)setsebool(8) 手册页。

1.4. 生成 SSH 密钥对

使用这个步骤在本地系统中生成 SSH 密钥对,并将生成的公钥复制到 OpenSSH 服务器中。如果正确配置了服务器,您可以在不提供任何密码的情况下登录到 OpenSSH 服务器。

重要

如果以 root 用户身份完成以下步骤,则只有 root 用户可以使用密钥。

流程

  1. 为 SSH 协议的版本 2 生成 ECDSA 密钥对:

    $ ssh-keygen -t ecdsa
    Generating public/private ecdsa key pair.
    Enter file in which to save the key (/home/joesec/.ssh/id_ecdsa):
    Enter passphrase (empty for no passphrase):
    Enter same passphrase again:
    Your identification has been saved in /home/joesec/.ssh/id_ecdsa.
    Your public key has been saved in /home/joesec/.ssh/id_ecdsa.pub.
    The key fingerprint is:
    SHA256:Q/x+qms4j7PCQ0qFd09iZEFHA+SqwBKRNaU72oZfaCI joesec@localhost.example.com
    The key's randomart image is:
    +---[ECDSA 256]---+
    |.oo..o=++        |
    |.. o .oo .       |
    |. .. o. o        |
    |....o.+...       |
    |o.oo.o +S .      |
    |.=.+.   .o       |
    |E.*+.  .  . .    |
    |.=..+ +..  o     |
    |  .  oo*+o.      |
    +----[SHA256]-----+

    您还可以通过输入 ssh-keygen -t ed25519 命令,在 ssh-keygen 命令或 Ed25519 密钥对中使用 -t rsa 选项生成 RSA 密钥对。

  2. 要将公钥复制到远程机器中:

    $ ssh-copy-id joesec@ssh-server-example.com
    /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
    joesec@ssh-server-example.com's password:
    ...
    Number of key(s) added: 1
    
    Now try logging into the machine, with: "ssh 'joesec@ssh-server-example.com'" and check to make sure that only the key(s) you wanted were added.

    如果您没有在会话中使用 ssh-agent 程序,上一个命令会复制最新修改的 ~/.ssh/id*.pub 公钥。要指定另一个公钥文件,或在 ssh-agent 内存中缓存的密钥优先选择文件中的密钥,使用带有 -i 选项的 ssh-copy-id 命令。

注意

如果重新安装您的系统并希望保留之前生成的密钥对,备份 ~/.ssh/ 目录。重新安装后,将其复制到主目录中。您可以为系统中的所有用户(包括 root 用户)进行此操作。

验证

  1. 在不提供任何密码的情况下登录到 OpenSSH 服务器:

    $ ssh joesec@ssh-server-example.com
    Welcome message.
    ...
    Last login: Mon Nov 18 18:28:42 2019 from ::1

其他资源

  • ssh-keygen(1)ssh-copy-id(1) 手册页。

1.5. 使用保存在智能卡中的 SSH 密钥

Red Hat Enterprise Linux 可让您使用保存在 OpenSSH 客户端智能卡中的 RSA 和 ECDSA 密钥。使用这个步骤使用智能卡而不是使用密码启用验证。

先决条件

  • 在客户端中安装了 opensc 软件包,pcscd 服务正在运行。

流程

  1. 列出所有由 OpenSC PKCS #11 模块提供的密钥,包括其 PKCS #11 URIs,并将输出保存到 key.pub 文件:

    $ ssh-keygen -D pkcs11: > keys.pub
    $ ssh-keygen -D pkcs11:
    ssh-rsa AAAAB3NzaC1yc2E...KKZMzcQZzx pkcs11:id=%02;object=SIGN%20pubkey;token=SSH%20key;manufacturer=piv_II?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so
    ecdsa-sha2-nistp256 AAA...J0hkYnnsM= pkcs11:id=%01;object=PIV%20AUTH%20pubkey;token=SSH%20key;manufacturer=piv_II?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so
  2. 要使用远程服务器上的智能卡(example.com)启用验证,将公钥传送到远程服务器。使用带有上一步中创建的 key.pubssh-copy-id 命令:

    $ ssh-copy-id -f -i keys.pub username@example.com
  3. 要使用在第 1 步的 ssh-keygen -D 命令输出中的 ECDSA 密钥连接到 example.com,您只能使用 URI 中的一个子集,它是您的密钥的唯一参考,例如:

    $ ssh -i "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so" example.com
    Enter PIN for 'SSH key':
    [example.com] $
  4. 您可以使用 ~/.ssh/config 文件中的同一 URI 字符串使配置持久:

    $ cat ~/.ssh/config
    IdentityFile "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so"
    $ ssh example.com
    Enter PIN for 'SSH key':
    [example.com] $

    因为 OpenSSH 使用 p11-kit-proxy 包装器,并且 OpenSC PKCS #11 模块是注册到 PKCS#11 Kit 的,所以您可以简化前面的命令:

    $ ssh -i "pkcs11:id=%01" example.com
    Enter PIN for 'SSH key':
    [example.com] $

如果您跳过 PKCS #11 URI 的 id= 部分,则 OpenSSH 会加载代理模块中可用的所有密钥。这可减少输入所需的数量:

$ ssh -i pkcs11: example.com
Enter PIN for 'SSH key':
[example.com] $

其他资源

1.6. 使 OpenSSH 更安全

以下提示可帮助您在使用 OpenSSH 时提高安全性。请注意,/etc/ssh/sshd_config OpenSSH 配置文件的更改需要重新载入 sshd 守护进程才能生效:

# systemctl reload sshd
重要

大多数安全强化配置更改会降低与不支持最新算法或密码套件的客户端的兼容性。

禁用不安全的连接协议

  • 要使 SSH 生效,防止使用由 OpenSSH 套件替代的不安全连接协议。否则,用户的密码可能只会在一个会话中被 SSH 保护,可能会在以后使用 Telnet 登录时被捕获。因此,请考虑禁用不安全的协议,如 telnet、rsh、rlogin 和 ftp。

启用基于密钥的身份验证并禁用基于密码的身份验证

  • 禁用密码验证并只允许密钥对可减少安全攻击面,还可节省用户的时间。在客户端上,使用 ssh-keygen 工具生成密钥对,并使用 ssh-copy-id 工具从 OpenSSH 服务器的客户端复制公钥。要在 OpenSSH 服务器中禁用基于密码的验证,请编辑 /etc/ssh/sshd_config,并将 PasswordAuthentication 选项改为 no:

    PasswordAuthentication no

密钥类型

  • 虽然 ssh-keygen 命令会默认生成一组 RSA 密钥,但您可以使用 -t 选项指定它生成 ECDSA 或者 Ed25519 密钥。ECDSA(Elliptic Curve Digital Signature Algorithm)能够在同等的对称密钥强度下,提供比 RSA 更好的性能。它还会生成较短的密钥。Ed25519 公钥算法是 一种变形的 Edwards 曲线的实现,其比 RSA、DSA 和 ECDSA 更安全,也更快。

    如果没有这些密钥,OpenSSH 会自动创建 RSA、ECDSA 和 Ed25519 服务器主机密钥。要在 RHEL 中配置主机密钥创建,请使用 sshd-keygen@.service 实例化服务。例如,禁用自动创建 RSA 密钥类型:

    # systemctl mask sshd-keygen@rsa.service
  • 要排除 SSH 连接的特定密钥类型,注释 /etc/ssh/sshd_config 中的相关行,并重新载入 sshd 服务。例如,只允许 Ed25519 主机密钥:

    # HostKey /etc/ssh/ssh_host_rsa_key
    # HostKey /etc/ssh/ssh_host_ecdsa_key
    HostKey /etc/ssh/ssh_host_ed25519_key

非默认端口

  • 默认情况下,sshd 守护进程侦听 TCP 端口 22。更改此端口可降低系统因自动网络扫描而受到攻击的风险,并可以提高安全性。您可以使用 /etc/ssh/sshd_config 配置文件中的 Port 指令指定端口。

    您还必须更新默认 SELinux 策略以允许使用非默认端口。要做到这一点,使用 policycoreutils-python-utils 软件包中的 semanage 工具:

    # semanage port -a -t ssh_port_t -p tcp port_number

    另外,更新 firewalld 配置:

    # firewall-cmd --add-port port_number/tcp
    # firewall-cmd --runtime-to-permanent

    在前面的命令中,将 port_number 替换为使用 Port 指令指定的新端口号。

root 登录

  • 默认情况下,PermitRootLogin 设置为 prohibit-password。这强制使用基于密钥的身份验证,而不是使用密码以 root 身份登录,并通过防止暴力攻击来降低风险。

    小心

    以 root 用户身份启用登录并非安全的做法,因为管理员无法审核哪些用户运行哪些特权命令。对于 使用管理命令,请改为登录并使用 sudo

使用 X Security 扩展

  • Red Hat Enterprise Linux 客户端中的 X 服务器不提供 X 安全扩展。因此,当连接到带有 X11 转发的不可信 SSH 服务器时,客户端无法请求另一个安全层。大多数应用程序都无法在启用此扩展时运行。

    默认情况下,/etc/ssh/ssh_config.d/05-redhat.conf 文件中的 ForwardX 11Trusted 选项被设置为 yes,且 ssh -X remote_machine (不信任主机)和 ssh -Y remote_machine (可信主机)命令之间没有区别。

    如果您的场景根本不需要 X11 转发功能,请将 /etc/ssh/sshd_config 配置文件中的 X11Forwarding 指令设置为 no

限制对特定用户、组群或者域的访问

  • /etc/ssh/sshd_config 配置文件服务器中的 AllowUsersAllowGroups 指令可让您只允许某些用户、域或组连接到您的 OpenSSH 服务器。您可以组合 AllowUsersAllow Groups 来更准确地限制访问,例如:

    AllowUsers *@192.168.1.*,*@10.0.0.*,!*@192.168.1.2
    AllowGroups example-group

    以上配置行接受来自 192.168.1.* 和 10.0.0.* 子网中所有用户的连接,但 192.168.1.2 地址的系统除外。所有用户都必须在 example-group 组中。OpenSSH 服务器拒绝所有其他连接。

    请注意,使用允许列表(以 Allow 开头的指令)比使用阻止列表(以 Deny 开始的选项)更安全,因为允许列表也会阻止新的未授权的用户或组。

更改系统范围的加密策略

  • OpenSSH 使用 RHEL 系统范围的加密策略,默认的系统范围的加密策略级别为当前的威胁模型提供安全设置。要使您的加密设置更严格,请更改当前的策略级别:

    # update-crypto-policies --set FUTURE
    Setting system policy to FUTURE
  • 要为您的 OpenSSH 服务器选择不使用系统范围的加密策略,请在 /etc/sysconfig/sshd 文件中使用 CRYPTO_POLICY= 变量取消对行的注释。更改后,您在 /etc/ssh/sshd_config 文件中的 CiphersMACKexAlgoritmsGSSAPIKexAlgorithms 部分指定的值不会被覆盖。请注意,此任务需要在配置加密选项方面具有深厚的专业知识。
  • 如需更多信息,请参阅安全强化中的使用系统范围的加密策略

其他资源

  • sshd_config(5)ssh-keygen(1)crypto-policies(7)update-crypto-policies(8) 手册页。

1.7. 使用 SSH 跳过主机连接到远程服务器

使用这个步骤通过中间服务器(也称为跳过主机)将本地系统连接到远程服务器。

先决条件

  • 跳过主机接受来自本地系统的 SSH 连接。
  • 远程服务器只接受来自跳过主机的 SSH 连接。

步骤

  1. 通过编辑本地系统中的 ~/.ssh/config 文件来定义跳板主机,例如:

    Host jump-server1
      HostName jump1.example.com
    • Host 参数定义您可以在 ssh 命令中使用的主机的名称或别名。该值可以匹配真实的主机名,但也可以是任意字符串。
    • HostName 参数设置跳过主机的实际主机名或 IP 地址。
  2. 使用 ProxyJump 指令将远程服务器跳板配置添加到本地系统上的 ~/.ssh/config 文件中,例如:

    Host remote-server
      HostName remote1.example.com
      ProxyJump jump-server1
  3. 使用您的本地系统通过跳过服务器连接到远程服务器:

    $ ssh remote-server

    如果省略了配置步骤 1 和 2,则上一命令等同于 ssh -J skip-server1 remote-server 命令。

注意

您可以指定更多的跳板服务器,您也可以在提供其完整主机名时跳过在配置文件中添加主机定义,例如:

$ ssh -J jump1.example.com,jump2.example.com,jump3.example.com remote1.example.com

如果跳板服务器上的用户名或 SSH 端口与远程服务器上的用户名和端口不同,请只修改上一命令中的主机名表示法,例如:

$ ssh -J johndoe@jump1.example.com:75,johndoe@jump2.example.com:75,johndoe@jump3.example.com:75 joesec@remote1.example.com:220

其他资源

  • ssh_config(5)ssh(1) 手册页.

1.8. 通过 ssh-agent ,使用 SSH 密钥连接到远程机器

为了避免在每次发起 SSH 连接时输入密语,您可以使用 ssh-agent 工具缓存 SSH 私钥。确保私钥和密语安全。

先决条件

  • 您有一个运行 SSH 守护进程的远程主机,并且可通过网络访问。
  • 您知道登录到远程主机的 IP 地址或者主机名以及凭证。
  • 您已用密码生成了 SSH 密钥对,并将公钥传送到远程机器。

步骤

  1. 可选:验证您可以使用密钥向远程主机验证:

    1. 使用 SSH 连接到远程主机:

      $ ssh example.user1@198.51.100.1 hostname
    2. 输入您在创建密钥时设定的密码短语以授予对私钥的访问权限。

      $ ssh example.user1@198.51.100.1 hostname
       host.example.com
  2. 启动 ssh-agent

    $ eval $(ssh-agent)
    Agent pid 20062
  3. 将密钥添加到 ssh-agent

    $ ssh-add ~/.ssh/id_rsa
    Enter passphrase for ~/.ssh/id_rsa:
    Identity added: ~/.ssh/id_rsa (example.user0@198.51.100.12)

验证

  • 可选:使用 SSH 登录主机。

    $ ssh example.user1@198.51.100.1
    
    Last login: Mon Sep 14 12:56:37 2020

    请注意您不必输入密码短语。

1.9. 其他资源

第 2 章 使用 SSH 系统角色配置安全通信

作为管理员,您可以使用 SSHD 系统角色配置 SSH 服务器和 SSH 系统角色,使用 Ansible 核心软件包在任意数量的 RHEL 系统上一致地配置 SSH 客户端。

2.1. SSH 服务器系统角色变量

在 SSH Server 系统角色 playbook 中,您可以根据您的首选项和限制定义 SSH 配置文件的参数。

如果您没有配置这些变量,则系统角色会生成与 RHEL 默认值匹配的 sshd_config 文件。

在所有情况下,布尔值在 sshd 配置中都正确呈现为 yesno。您可以使用 list 来定义多行配置项。例如:

sshd_ListenAddress:
  - 0.0.0.0
  - '::'

呈现为:

ListenAddress 0.0.0.0
ListenAddress ::

SSH 服务器系统角色的变量

sshd_enable
如果设置为 False,则角色将被完全禁用。默认值为 True
sshd_skip_defaults
如果设置为 True,则系统角色不会应用默认值。相反,您可以使用 sshd dict 或 sshd_Key 变量来指定完整的配置默认值集合。默认值为 False
sshd_manage_service
如果设置为 False,则服务不会被管理,这意味着它不会在引导时启用,也不会启动或重新加载。除非在容器内或 AIX 中运行,否则默认为 True,因为 Ansible 服务模块目前不支持对 AIX 的 启用
sshd_allow_reload
如果设置为 False,则sshd 不会在配置更改后重新加载。这可帮助进行故障排除。要应用更改后的配置,请手动重新加载 sshd。默认为与 sshd_manage_service 相同的值,但 AIX 除外,其中 sshd_manage_service 默认为 False,但 sshd_allow_reload 默认为 True
sshd_install_service

如果设置为 True,该角色将为 sshd 服务安装服务文件。这会覆盖操作系统中提供的文件。除非您要配置第二个实例,否则不要设置为 True,您也可以更改 sshd_service 变量,。默认值为 False

该角色使用以下变量指向的文件作为模板:

sshd_service_template_service (default: templates/sshd.service.j2)
sshd_service_template_at_service (default: templates/sshd@.service.j2)
sshd_service_template_socket (default: templates/sshd.socket.j2)
sshd_service
此变量更改 sshd 服务名称,这对于配置第二个 sshd 服务实例非常有用。
sshd

包含配置的字典。例如:

sshd:
  Compression: yes
  ListenAddress:
    - 0.0.0.0
sshd_OptionName

您可以使用由 sshd_ 前缀和选项名称而不是 dict 组成的简单变量来定义选项。简单的变量覆盖 sshd 字典中的值。例如:

sshd_Compression: no
sshd_matchsshd_match_1sshd_match_9
字典列表或 只是匹配部分的字典。请注意,这些变量不会覆盖 sshd 字典中定义的匹配块。所有源都会反映在生成的配置文件中。

SSH 服务器系统角色的辅助变量

您可以使用这些变量来覆盖与每个支持的平台对应的默认值。

sshd_packages
您可以使用此变量来覆盖安装的软件包的默认列表。
sshd_config_ownersshd_config_groupsshd_config_mode
您可以使用这些变量为该角色生成的 openssh 配置文件设置所有权和权限。
sshd_config_file
此角色保存生成的 openssh 服务器配置的路径。
sshd_config_namespace

此变量的默认值为 null,这意味着角色定义配置文件的整个内容,包括系统默认值。或者,您也可以使用此变量从其他角色或从不支随时可访问目录的系统上的单个 playbook 中的多个位置调用此角色。sshd_skip_defaults 变量将被忽略,本例中没有使用系统默认值。

设置此变量时,角色会将您指定的配置放置在给定命名空间下的现有配置段中。如果您的场景需要多次应用角色,您需要为每个应用程序选择不同的命名空间。

注意

openssh 配置文件的限制仍然适用。例如,对大多数配置选项,只有配置文件中指定的第一个选项有效。

从技术上讲,角色会将段放在"Match all"块中,除非它们包含其他匹配块,以确保无论现有配置文件中之前匹配的块如何都将应用它们。这允许从不同角色调用中配置任何不冲突的选项。

sshd_binary
opensshsshd 可执行文件的路径。
sshd_service
sshd 服务的名称。默认情况下,此变量包含目标平台所使用的 sshd 服务的名称。当角色使用 sshd_install_service 变量时,您还可以使用它来设置自定义 sshd 服务的名称。
sshd_verify_hostkeys
默认值为 auto。当设置为 auto 时,这将列出生成的配置文件中存在的所有主机密钥,并生成所有不存在的路径。此外,权限和文件所有者被设置为默认值。如果该角色用于部署阶段来确保服务能够在第一次尝试时启动,则这非常有用。若要禁用此检查,可将此变量设置为空列表 []
sshd_hostkey_owner,sshd_hostkey_group,sshd_hostkey_mode
使用这些变量来设置 sshd_verify_hostkeys 的主机密钥的所有权和权限。
sshd_sysconfig
在基于 RHEL 的系统上,这个变量配置 sshd 服务的其它详细信息。如果设置为 true,则此角色还会根据以下配置来管理 /etc/sysconfig/sshd 配置文件:默认值为 false
sshd_sysconfig_override_crypto_policy
在 RHEL 中,当设为 true 时,这个变量会覆盖系统范围的加密策略。默认值为 false
sshd_sysconfig_use_strong_rng
在基于 RHEL 的系统上,此变量可以强制 sshd 使用给定的字节数作为参数来重新设置 openssl 随机数字生成器的种子。默认值为 0,它会禁用此功能。如果系统没有硬件随机数字生成器,请不要打开此选项。

2.2. 使用 SSH 服务器系统角色配置 OpenSSH 服务器

您可以通过运行 Ansible playbook,使用 SSH 服务器系统角色来配置多个 SSH 服务器。

注意

您可以将 SSH Server 系统角色与其他系统角色结合使用,用于更改 SSH 和 SSHD 配置,如身份管理 RHEL 系统角色。要防止配置被覆盖,请确保 SSH Server 角色使用命名空间(RHEL 8 及更早版本)或置入目录(RHEL 9)。

先决条件

  • 可以访问一个或多个 受管节点,它们是您要使用 SSHD 系统角色来配置的系统。
  • 控制节点 的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。

    在控制节点上:

    • ansible-corerhel-system-roles 软件包已安装 。
重要

RHEL 8.0-8.5 提供对一个独立的 Ansible 存储库的访问权限,该存储库包含基于 Ansible 的自动化 Ansible Engine 2.9。Ansible Engine 包含命令行实用程序,如 ansibleansible-playbook、连接器(如 dockerpodman )以及许多插件和模块。有关如何获取并安装 Ansible Engine 的详情,请参考 如何下载并安装 Red Hat Ansible Engine 知识库文章。

RHEL 8.6 和 9.0 引入了 Ansible Core(作为 ansible-core 软件包提供),其中包含 Ansible 命令行工具、命令以及小型内置 Ansible 插件。RHEL 通过 AppStream 软件仓库提供此软件包,它有一个有限的支持范围。如需更多信息,请参阅 RHEL 9 和 RHEL 8.6 及更新的 AppStream 软件仓库文档中的 Ansible Core 软件包的支持范围

  • 列出受管节点的清单文件。

步骤

  1. 复制 SSH 服务器系统角色的示例 playbook:

    # cp /usr/share/doc/rhel-system-roles/sshd/example-root-login-playbook.yml path/custom-playbook.yml
  2. 使用文本编辑器打开复制的 playbook,例如:

    # vim path/custom-playbook.yml
    
    ---
    - hosts: all
      tasks:
      - name: Configure sshd to prevent root and password login except from particular subnet
        include_role:
          name: rhel-system-roles.sshd
        vars:
          sshd:
            # root login and password login is enabled only from a particular subnet
            PermitRootLogin: no
            PasswordAuthentication: no
            Match:
            - Condition: "Address 192.0.2.0/24"
              PermitRootLogin: yes
              PasswordAuthentication: yes

    playbook 将受管节点配置为 SSH 服务器,以便:

    • 禁用密码和 root 用户登录
    • 只对子网 192.0.2.0/24 启用密码和 root 用户登录

    您可以根据您的偏好修改变量。如需了解更多详细信息,请参阅 SSH 服务器系统角色变量

  3. 可选:验证 playbook 语法。

    # ansible-playbook --syntax-check path/custom-playbook.yml
  4. 在清单文件上运行 playbook:

    # ansible-playbook -i inventory_file path/custom-playbook.yml
    
    ...
    
    PLAY RECAP
    **************************************************
    
    localhost : ok=12 changed=2 unreachable=0 failed=0
    skipped=10 rescued=0 ignored=0

验证

  1. 登录到 SSH 服务器:

    $ ssh user1@10.1.1.1

    其中:

    • user1 是 SSH 服务器上的用户。
    • 10.1.1.1 是 SSH 服务器的 IP 地址。
  2. 检查 SSH 服务器上的 sshd_config 文件的内容:

    $ vim /etc/ssh/sshd_config
    
    # Ansible managed
    HostKey /etc/ssh/ssh_host_rsa_key
    HostKey /etc/ssh/ssh_host_ecdsa_key
    HostKey /etc/ssh/ssh_host_ed25519_key
    AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
    AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
    AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
    AcceptEnv XMODIFIERS
    AuthorizedKeysFile .ssh/authorized_keys
    ChallengeResponseAuthentication no
    GSSAPIAuthentication yes
    GSSAPICleanupCredentials no
    PasswordAuthentication no
    PermitRootLogin no
    PrintMotd no
    Subsystem sftp /usr/libexec/openssh/sftp-server
    SyslogFacility AUTHPRIV
    UsePAM yes
    X11Forwarding yes
    Match Address 192.0.2.0/24
      PasswordAuthentication yes
      PermitRootLogin yes
  3. 检查您是否可以以 root 用户身份从 192.0.2.0/24 子网连接到服务器:

    1. 确定您的 IP 地址:

      $ hostname -I
      192.0.2.1

      如果 IP 地址在 192.0.2.1 - 192.0.2.254 范围内,您可以连接到服务器。

    2. root 用户身份连接到服务器:

      $ ssh root@10.1.1.1

其他资源

  • /usr/share/doc/rhel-system-roles/sshd/README.md 文件。
  • ansible-playbook(1) 手册页

2.3. SSH 客户端系统角色变量

在 SSH 客户端系统角色 playbook 中,您可以根据您的首选项和限制定义客户端 SSH 配置文件的参数。

如果您没有配置这些变量,系统角色会生成与 RHEL 默认值匹配的全局 ssh_config 文件。

在所有情况下,布尔值在 ssh 配置中都正确地呈现为 yesno。您可以使用 list 来定义多行配置项。例如:

LocalForward:
  - 22 localhost:2222
  - 403 localhost:4003

呈现为:

LocalForward 22 localhost:2222
LocalForward 403 localhost:4003
注意

配置选项区分大小写。

SSH 客户端系统角色的变量

ssh_user
您可以定义系统角色修改用户特定配置的现有用户名。用户特定配置保存在给定用户的 ~/.ssh/config 中。默认值为 null,它会修改所有用户的全局配置。
ssh_skip_defaults
默认值为 auto。如果设置为 auto,则系统角色将写入系统范围的配置文件 /etc/ssh/ssh_config,并在其中保留定义 RHEL 的默认值。例如,通过定义 ssh_drop_in_name 变量来创建一个随时可访问的配置文件,将自动禁用 ssh_skip_defaults 变量。
ssh_drop_in_name

定义 drop-in 配置文件的名称,该文件放在系统范围的 drop-in 目录中。该名称在模板 /etc/ssh/ssh_config.d/{ssh_drop_in_name}.conf 中使用,以引用要修改的配置文件。如果系统不支持 drop-in 目录,则默认值为 null。如果系统支持 drop-in 目录,则默认值为 00-ansible

警告

如果系统不支持 drop-in 目录,设置此选项将使 play 失败。

建议的格式是 NN-name,其中 NN 是用于订购配置文件的两位数字,name 是内容或文件所有者的任何描述性名称。

ssh
包含配置选项和其相应值的字典。
ssh_OptionName
您可以使用由 ssh_ 前缀和选项名称而不是字典组成的简单变量来定义选项。简单的变量覆盖 ssh 字典中的值。
ssh_additional_packages
此角色会自动安装 opensshopenssh-clients 软件包,这是最常见用例所需要的。如果您需要安装其他软件包,例如 openssh-keysign 以用于基于主机的身份验证,您可以在此变量中指定它们。
ssh_config_file

角色保存产生的配置文件的路径。默认值:

  • 如果系统有一个 drop-in 目录,则默认值通过模板 /etc/ssh/ssh_config.d/{ssh_drop_in_name}.conf 来定义。
  • 如果系统没有随时可访问的目录,则默认值为 /etc/ssh/ssh_config
  • 如果定义了 ssh_user 变量,则默认值为 ~/.ssh/config
ssh_config_owner,ssh_config_group,ssh_config_mode
所创建的配置文件的所有者、组和模式。默认情况下,文件的所有者是 root:root,模式是 0644。如果定义了 ssh_user,则模式为 0600,所有者和组派生自 ssh_user 变量中指定的用户名。

2.4. 使用 SSH 客户端系统角色配置 OpenSSH 客户端

您可以通过运行 Ansible playbook,使用 SSH 客户端系统角色来配置多个 SSH 客户端。

注意

您可以将 SSH 客户端系统角色用于更改 SSH 和 SSHD 配置的其他系统角色,例如 Identity Management RHEL 系统角色。要防止配置被覆盖,请确保 SSH 客户端角色使用置入目录(默认为 RHEL 8)。

先决条件

  • 访问一个或多个 受管节点 (这是您要使用 SSH 客户端系统角色配置的系统)。
  • 控制节点 的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。

    在控制节点上:

    • ansible-corerhel-system-roles 软件包已安装 。
重要

RHEL 8.0-8.5 提供对一个独立的 Ansible 存储库的访问权限,该存储库包含基于 Ansible 的自动化 Ansible Engine 2.9。Ansible Engine 包含命令行实用程序,如 ansibleansible-playbook、连接器(如 dockerpodman )以及许多插件和模块。有关如何获取并安装 Ansible Engine 的详情,请参考 如何下载并安装 Red Hat Ansible Engine 知识库文章。

RHEL 8.6 和 9.0 引入了 Ansible Core(作为 ansible-core 软件包提供),其中包含 Ansible 命令行工具、命令以及小型内置 Ansible 插件。RHEL 通过 AppStream 软件仓库提供此软件包,它有一个有限的支持范围。如需更多信息,请参阅 RHEL 9 和 RHEL 8.6 及更新的 AppStream 软件仓库文档中的 Ansible Core 软件包的支持范围

  • 列出受管节点的清单文件。

步骤

  1. 使用以下内容创建一个新的 playbook.yml 文件:

    ---
    - hosts: all
      tasks:
      - name: "Configure ssh clients"
        include_role:
          name: rhel-system-roles.ssh
        vars:
          ssh_user: root
          ssh:
            Compression: true
            GSSAPIAuthentication: no
            ControlMaster: auto
            ControlPath: ~/.ssh/.cm%C
            Host:
              - Condition: example
                Hostname: example.com
                User: user1
          ssh_ForwardX11: no

    此 playbook 使用以下配置在受管节点上配置 root 用户的 SSH 客户端首选项:

    • 压缩已启用。
    • ControlMaster 多路复用设置为 auto
    • 连接到 example.com 主机的example 别名是 user1
    • example 主机别名已创建,它表示使用 user1 用户名连接到 example.com 主机。
    • X11 转发被禁用。

    另外,您还可以根据您的偏好修改这些变量。如需了解更多详细信息,请参阅 SSH 系统角色变量

  2. 可选:验证 playbook 语法。

    # ansible-playbook --syntax-check path/custom-playbook.yml
  3. 在清单文件上运行 playbook:

    # ansible-playbook -i inventory_file path/custom-playbook.yml

验证

  • 通过在文本编辑器中打开 SSH 配置文件来验证受管节点是否具有正确的配置,例如:

    # vi ~root/.ssh/config

    在应用了上述示例 playbook 后,配置文件应具有以下内容:

    # Ansible managed
    Compression yes
    ControlMaster auto
    ControlPath ~/.ssh/.cm%C
    ForwardX11 no
    GSSAPIAuthentication no
    Host example
      Hostname example.com
      User user1

2.5. 对非独占配置使用 SSH 服务器系统角色

通常,应用 SSH Server 系统角色会覆盖整个配置。如果您之前调整了配置,例如使用不同的系统角色或 playbook,这可能会出现问题。要仅将 SSH Server 系统角色应用于所选配置选项,同时保留其他选项,您可以使用非排除的配置。

在 RHEL 8 和更早版本中,您可以使用配置段来应用非独占配置。如需更多信息,请参阅 RHEL 8 文档中的 对非独占配置使用 SSH 服务器系统角色

在 RHEL 9 中,您可以使用随时可访问目录中的文件来应用非独占配置。默认配置文件已放入随时可访问的目录中,存为 /etc/ssh/sshd_config.d/00-ansible_system_role.conf

先决条件

  • 访问一个或多个 受管节点 (这是您要使用 SSH Server 系统角色配置的系统)。
  • 控制节点 的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。

    在控制节点上:

    • ansible-core 软件包已安装 。
    • 列出受管节点的清单文件。
    • 不同 RHEL 系统角色的 playbook。如需更多信息,请参阅 应用角色

步骤

  1. 在 playbook 中添加带有 sshd_config_file 变量的配置段:

    ---
    - hosts: all
      tasks:
      - name: <Configure sshd to accept some useful environment variables>
        include_role:
          name: rhel-system-roles.sshd
        vars:
          sshd_config_file: /etc/ssh/sshd_config.d/<42-my-application>.conf
          sshd:
            # Environment variables to accept
            AcceptEnv:
              LANG
              LS_COLORS
              EDITOR

    sshd_config_file 变量中,定义 SSH Server 系统角色在其中写入配置选项的 .conf 文件。

    使用两位前缀,例如 42- 来指定应用配置文件的顺序。

    将 playbook 应用到清单时,角色会将以下配置选项添加到 sshd_config_file 变量定义的文件中。

    # Ansible managed
    #
    AcceptEnv LANG LS_COLORS EDITOR

验证

  • 可选:验证 playbook 语法。

    # ansible-playbook --syntax-check playbook.yml -i inventory_file

其他资源

  • /usr/share/doc/rhel-system-roles/sshd/README.md 文件。
  • ansible-playbook(1) 手册页。

第 3 章 计划并使用 TLS

TLS(传输层安全)是用来保护网络通信的加密协议。在通过配置首选密钥交换协议、身份验证方法和加密算法来强化系统安全设置时,需要记住支持的客户端的范围越广,产生的安全性就越低。相反,严格的安全设置会导致与客户端的兼容性受限,这可能导致某些用户被锁定在系统之外。请确保以最严格的可用配置为目标,并且仅在出于兼容性原因需要时才放宽配置。

3.1. SSL 和 TLS 协议

安全套接字层(SSL)协议最初使由 Netscape 公司开发的,以提供一种在互联网上进行安全通信的机制。因此,该协议被互联网工程任务组(IETF)采纳,并重命名为传输层安全(TLS)。

TLS 协议位于应用协议层和可靠的传输层之间,例如 TCP/IP。它独立于应用程序协议,因此可在很多不同的协议下分层,例如:HTTP、FTP、SMTP 等.

协议版本用法建议

SSL v2

不要使用。具有严重的安全漏洞。从 RHEL 7 开始从核心加密库中删除了。

SSL v3

不要使用。具有严重的安全漏洞。从 RHEL 8 开始从核心加密库中删除了。

TLS 1.0

不建议使用。已知的无法以保证互操作性方式缓解的问题,且不支持现代密码套件。在 RHEL 9 中,在所有加密策略中禁用。

TLS 1.1

在需要时用于互操作性.不支持现代加密套件。在 RHEL 9 中,在所有加密策略中禁用。

TLS 1.2

支持现代 AEAD 密码组合。此版本在所有系统范围的加密策略中启用,但此协议的可选部分包含漏洞,TLS 1.2 也允许过时的算法。

TLS 1.3

推荐的版本。TLS 1.3 删除了已知有问题的选项,通过加密更多协商握手来提供额外的隐私,由于使用了更有效的现代加密算法,所以可以更快。在所有系统范围的加密策略中也启用了 TLS 1.3。

3.2. RHEL 9 中 TLS 的安全注意事项

在 RHEL 9 中,TLS 配置是使用系统范围的加密策略机制执行的。不再支持 1.2 以下的 TLS 版本。DEFAULTFUTURELEGACY 加密策略只允许 TLS 1.2 和 1.3。如需更多信息,请参阅 使用系统范围的加密策略

RHEL 9 中包含的库所提供的默认设置对于大多数部署来说已经足够安全了。TLS 实现尽可能使用安全算法,而不阻止来自或到旧客户端或服务器的连接。在具有严格安全要求的环境中应用强化设置,在这些环境中,不支持安全算法或协议的旧客户端或服务器不应连接或不允许连接。

强化 TLS 配置的最简单方法是使用 update-crypto-policies --set FUTURE 命令将系统范围的加密策略级别切换到 FUTURE

警告

LEGACY 加密策略禁用的算法不符合红帽的 RHEL 9 安全愿景,其安全属性不可靠。考虑放弃使用这些算法,而不是重新启用它们。如果您确实决定重新启用它们(例如,为了与旧硬件的互操作性),请将它们视为不安全的,并应用额外的保护措施,例如将其网络交互隔离到单独的网络段。不要在公共网络中使用它们。

如果您决定不遵循 RHEL 系统范围的加密策略,或根据您的设置创建自定义的加密策略,请在自定义配置中对首选协议、密码套件和密钥长度使用以下建议:

3.2.1. 协议

TLS 的最新版本提供了最佳安全机制。TLS 1.2 现在是最低版本,即使使用 LEGACY 加密策略也是如此。通过选择不使用加密策略或提供自定义策略,可以重新启用旧协议版本,但不支持生成的配置。

请注意,尽管 RHEL 9 支持 TLS 版本 1.3,但 RHEL 9 组件并不完全支持这个协议的所有功能。例如,Apache Web 服务器尚不完全支持可降低连接延迟的 0-RTT(Zero R Trip Time)功能。

3.2.2. 密码套件

现代、更安全的密码套件应该优先于旧的不安全密码套件。一直禁止 eNULL 和 aNULL 密码套件的使用,它们根本不提供任何加密或身份验证。如果有可能,基于 RC4 或 HMAC-MD5 的密码套件也必须被禁用。这同样适用于所谓的出口密码套件,它们被有意地弱化了,因此很容易被破解。

虽然不会立即变得不安全,但提供安全性少于 128 位的密码套件在它们的短使用期中不应该被考虑。使用 128 位或者更高安全性的算法可以预期在至少数年内不会被破坏,因此我们强烈推荐您使用此算法。请注意,虽然 3DES 密码公告使用 168 位但它们实际只提供了 112 位的安全性。

始终首选支持(完美)转发保密(PFS)的密码套件,这样可确保加密数据的机密性,即使服务器密钥遭到破坏。此规则排除了快速 RSA 密钥交换,但允许使用 ECDHE 和 DHE。在两者中,ECDHE 更快,因此是首选。

您还应首选 AEAD 密码,如 AES-GCM,而不是 CBC 模式的密码,因为它们不易受填充或acle 攻击。此外,在很多情况下,在 CBC 模式下,AES-GCM 比 AES 快,特别是当硬件具有 AES 加密加速器时。

另请注意,当使用 ECDSA 证书使用 ECDHE 密钥交换时,交易速度比纯的 RSA 密钥交换更快。为了给旧客户端提供支持,您可以在服务器上安装两对证书和密钥:一对带有 ECDSA 密钥(用于新客户端),另一对带有 RSA 密钥(用于旧密钥)。

3.2.3. 公钥长度

在使用 RSA 密钥时,总是首选使用至少由 SHA-256 签名的 3072 位的密钥长度,对于真实的 128 位安全性来说,这个值已经足够大。

警告

您的系统安全性仅与链中最弱的连接相同。例如,只是一个强大的密码不能保证良好安全性。密钥和证书以及认证机构(CA)用来签署您的密钥的哈希功能和密钥同样重要。

3.3. 在应用程序中强化 TLS 配置

在 RHEL 中,系统范围的加密策略 提供了一种便捷的方法,来确保使用加密库的应用程序不允许已知的不安全协议、密码或算法。

如果要使用自定义加密设置来强化与 TLS 相关的配置,您可以使用本节中描述的加密配置选项,并以最少的需求量覆盖系统范围的加密策略。

无论您选择使用什么配置,请始终确保您的服务器应用程序强制实施 服务器端密码顺序,以便使用的密码套件由您配置的顺序来决定。

3.3.1. 配置 Apache HTTP 服务器

Apache HTTP 服务器 可以使用 OpenSSLNSS 库来满足其 TLS 的需求。RHEL 9 通过 eponymous 软件包提供 mod_ssl 功能:

# dnf install mod_ssl

mod_ssl 软件包将安装 /etc/httpd/conf.d/ssl.conf 配置文件,该文件可用来修改 Apache HTTP 服务器 与 TLS 相关的设置。

安装 httpd-manual 软件包以获取 Apache HTTP 服务器 的完整文档,包括 TLS 配置。/etc/httpd/conf.d/ssl.conf 配置文件中的指令在 /usr/share/httpd/manual/mod_ssl.html 文件中详细介绍。/usr/share/httpd/manual/ssl/ssl_howto.html 文件中描述了各种设置的示例。

修改 /etc/httpd/conf.d/ssl.conf 配置文件中的设置时,请确保至少考虑以下三个指令:

SSLProtocol
使用这个指令指定您要允许的 TLS 或者 SSL 版本。
SSLCipherSuite
使用这个指令来指定您首选的密码套件或禁用您要禁止的密码套件。
SSLHonorCipherOrder
取消注释并将此指令设置为 on,以确保连接的客户端遵循您指定的密码顺序。

例如,只使用 TLS 1.2 和 1.3 协议:

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1

如需更多信息,请参阅 部署 Web 服务器和反向代理 中的 在 Apache HTTP 服务器上配置 TLS 加密 一章。

3.3.2. 配置 Nginx HTTP 和代理服务器

要在 Nginx 中启用 TLS 1.3 支持,请将 TLSv1.3 值添加到 /etc/nginx/nginx.conf 配置文件的 server 部分的 ssl_protocols 选项:

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ....
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers
    ....
}

如需更多信息,请参阅 部署 web 服务器和反向代理 文档中的 向 Nginx web 服务器添加 TLS 加密 一章。

3.3.3. 配置 Dovecot 邮件服务器

要将 Dovecot 邮件服务器的安装配置为使用 TLS,请修改 /etc/dovecot/conf.d/10-ssl.conf 配置文件。您可以在 /usr/share/doc/dovecot/wiki/SSL.DovecotConfiguration.txt 文件中找到其提供的一些基本配置指令的说明,该文件与 Dovecot 的标准安装一起安装。

修改 /etc/dovecot/conf.d/10-ssl.conf 配置文件中的设置时,请确保至少考虑以下三个指令:

ssl_protocols
使用这个指令指定您要允许或者禁用的 TLS 或者 SSL 版本。
ssl_cipher_list
使用这个指令指定您首选的密码套件或禁用您要禁止的密码套件。
ssl_prefer_server_ciphers
取消注释并将此指令设置为 yes,以确保连接的客户端遵循您指定的密码顺序。

例如,/etc/dovecot/conf.d/10-ssl.conf 中的以下行只允许 TLS 1.1 及之后的版本:

ssl_protocols = !SSLv2 !SSLv3 !TLSv1

第 4 章 使用 IPsec 配置 VPN

在 RHEL 9 中,可以使用 IPsec 协议配置虚拟私有网络(VPN),Libreswan 应用程序支持该协议。

4.1. libreswan 作为 IPsec VPN 的实现

在 RHEL 中,可以使用 IPsec 协议配置虚拟专用网络(VPN),该协议由 Libreswan 应用程序支持。Libreswan 是 Openswan 应用程序的延续,并且 Openswan 文档中的许多示例都与 Libreswan 相互交换。

VPN 的 IPsec 协议使用互联网密钥交换(IKE)协议进行配置。术语 IPsec 和 IKE 可互换使用。IPsec VPN 也称为 IKE VPN、IKEv2 VPN、XAUTH VPN、Cisco VPN 或 IKE/IPsec VPN。IPsec VPN 的变量也使用 Level 2 Tunneling Protocol(L2TP)称为 L2TP/IPsec VPN,这需要由 可选 存储库提供的 xl2tpd 软件包。

libreswan 是一个开源用户空间 IKE 实现。IKE v1 和 v2 作为用户级别的守护进程实现。IKE 协议也加密。IPsec 协议由 Linux 内核实施,Libreswan 配置内核以添加和删除 VPN 隧道配置。

IKE 协议使用 UDP 端口 500 和 4500。IPsec 协议由两个协议组成:

  • 封装了安全 Payload(ESP),其协议编号为 50。
  • 经过身份验证的标头(AH),其协议号为 51。

不建议使用 AH 协议。建议将 AH 用户迁移到带有空加密的 ESP。

IPsec 协议提供两种操作模式:

  • 隧道模式(默认)
  • 传输模式.

您可以用没有 IKE 的 IPsec 来配置内核。这称为 手动密钥 。您还可以使用 ip xfrm 命令来配置手动密钥,但为了安全起见,强烈建议您不要这样做。使用 netlink,使用 Linux 内核的 Libreswan 接口。在 Linux 内核中进行数据包加密和解密。

libreswan 使用网络安全服务(NSS)加密库。libreswan 和 NSS 均经过 联邦信息处理标准 (FIPS)publication 140-2 认证。

重要

IKE/IPsec VPN(由 Libreswan 和 Linux 内核)是 RHEL 中唯一推荐的 VPN 技术。在不了解这样做风险的情况下不要使用任何其他 VPN 技术。

在 RHEL 中,Libreswan 默认 遵循系统范围的加密策略。这样可确保 Libreswan 使用安全设置进行当前的威胁模型,包括 IKEv2 作为默认协议。如需更多信息,请参阅 使用系统范围的加密策略

libreswan 不使用术语 "source" 和 "destination" 或 "server" 和 "client",因为 IKE/IPsec 是对等协议的对等协议。相反,它使用术语"左"和"右"来指端点(主机)。这也允许您在大多数情况下在两个端点使用相同的配置。但是,管理员通常选择始终对本地主机使用"左",对远程主机使用"右"。

leftidrightid 选项充当身份验证过程中相应主机的标识。详情请查看 ipsec.conf(5) 手册页。

4.2. Libreswan 中的身份验证方法

Libreswan 支持多种身份验证方法,每种方法适合不同的场景。

预共享密钥(PSK)

预共享密钥 (PSK)是最简单的身份验证方法。出于安全考虑,请勿使用小于 64 个随机字符的 PSK。在 FIPS 模式中,PSK 必须符合最低强度要求,具体取决于所使用的完整性算法。您可以使用 authby=secret 连接来设置 PSK。

原始 RSA 密钥

原始 RSA 密钥 通常用于静态主机到主机或子网到子网 IPsec 配置。每个主机都使用所有其他主机的公共 RSA 密钥手动配置,Libreswan 在每对主机之间建立 IPsec 隧道。对于大量主机,这个方法不能很好地扩展。

您可以使用 ipsec newhostkey 命令在主机上生成原始 RSA 密钥。您可以使用 ipsec showhostkey 命令列出生成的密钥。使用 CKA ID 密钥的连接配置需要 leftrsasigkey= 行。原始 RSA 密钥使用 authby=rsasig 连接选项。

X.509 证书

X.509 证书 通常用于大规模部署连接到通用 IPsec 网关的主机。中心 证书颁发机构 (CA)为主机或用户签署 RSA 证书。此中心 CA 负责中继信任,包括单个主机或用户的撤销。

例如,您可以使用 openssl 命令和 NSS certutil 命令来生成 X.509 证书。因为 Libreswan 使用 leftcert= 配置选项中证书的昵称从 NSS 数据库读取用户证书,所以在创建证书时请提供昵称。

如果使用自定义 CA 证书,则必须将其导入到网络安全服务(NSS)数据库中。您可以使用 ipsec import 命令将 PKCS #12 格式的任何证书导入到 Libreswan NSS 数据库。

警告

Libreswan 需要互联网密钥交换(IKE)对等 ID 作为每个对等证书的主题替代名称(SAN),如 RFC 4945 的 3.1 章节 所述。通过更改 require-id-on-certificated= 选项禁用此检查可能会导致系统容易受到中间人攻击。

使用 authby=rsasig 连接选项,根据使用带 SHA-2 的 RSA 的 X.509 证书进行身份验证。您可以通过将 authby= 设为 ecdsa 以及通过基于 authby=rsa-sha2 的 SHA-2 进行身份验证的 RSA 概率签名方案(RSASSA-PSS)数字签名来进一步限制 ECDSA 数字签名。默认值为 authby=rsasig,ecdsa

证书和 authby= 签名方法应匹配。这可提高互操作性,并在一个数字签名系统中保留身份验证。

NULL 身份验证

NULL 身份验证 用来在没有身份验证的情况下获得网状加密。它可防止被动攻击,但不能防止主动攻击。但是,因为 IKEv2 允许非对称身份验证方法,因此 NULL 身份验证也可用于互联网规模的机会主义 IPsec。在此模型中,客户端对服务器进行身份验证,但服务器不对客户端进行身份验证。此模型类似于使用 TLS 的安全网站。使用 authby=null 进行 NULL 身份验证。

保护量子计算机

除了上述身份验证方法外,您还可以使用 Post-quantum Pre-shared Key (PPK)方法来防止量子计算机可能的攻击。单个客户端或客户端组可以通过指定与带外配置的预共享密钥对应的 PPK ID 来使用它们自己的 PPK。

使用带有预共享密钥的 IKEv1 可防止量子攻击者。重新设计 IKEv2 不会原生提供这种保护。Libreswan 提供使用 Post-quantum Pre-shared Key (PPK)来保护 IKEv2 连接免受量子攻击。

要启用可选的 PPK 支持,请在连接定义中添加 ppk=yes。如需要 PPK,请添加 ppk=insist。然后,可为每个客户端分配一个带有一个 secret 值的 PPK ID,其 secret 值会被传递到带外(最好是使用半字节安全)。PPK 应该具有很强的随机性,而不是基于字典中的单词。PPK ID 和 PPK 数据保存在 ipsec.secrets 中,例如:

@west @east : PPKS "user1" "thestringismeanttobearandomstr"

PPKS 选项指的是静态 PPK。这个实验性功能使用基于一次性平板的动态 PPK。在每个连接中,一次性平板的一个新部件用作 PPK。当使用时,文件中动态 PPK 的那部分被零覆盖,以防止重复使用。如果没有剩下一次性资源,连接会失败。详情请查看 ipsec.secrets(5) 手册页。

警告

动态 PPK 的实现是作为不受支持的技术预览提供的。请谨慎使用。

4.3. 安装 Libreswan

这个步骤描述了安装和启动 Libreswan IPsec/IKE VPN 实现的步骤。

先决条件

  • AppStream存储库已启用。

步骤

  1. 安装 libreswan 软件包:

    # dnf install libreswan
  2. 如果要重新安装 Libreswan,请删除其旧的数据库文件并创建新数据库:

    # systemctl stop ipsec
    # rm /var/lib/ipsec/nss/*db
    # ipsec initnss
  3. 启动 ipsec 服务,并启用该服务,以便其在引导时自动启动:

    # systemctl enable ipsec --now
  4. 通过添加 ipsec 服务,将防火墙配置为允许 IKE、ESP 和 AH 协议的 500 和 4500/UDP 端口:

    # firewall-cmd --add-service="ipsec"
    # firewall-cmd --runtime-to-permanent

4.4. 创建主机到主机的 VPN

要配置 [application]Libreswan 以在两个主机间创建一个主机到主机的 IPsec VPN,请使用原始 RSA 密钥(原始 RSA 密钥)进行身份验证,在两个主机上输入以下命令:

先决条件

  • libreswan 已安装,并在每个节点上启动 ipsec 服务。

步骤

  1. 在每台主机上生成原始 RSA 密钥对:

    # ipsec newhostkey
  2. 上一步返回生成的密钥的 ckaid。在 主机上使用 ckaid 和以下命令,例如:

    # ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857d

    上一命令的输出生成了配置所需的 leftrsasigkey= 行。在第二台主机()上执行相同的操作:

    # ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03
  3. /etc/ipsec.d/ 目录中,创建一个新的 my_host-to-host.conf 文件。将上一步中 ipsec showhostkey 命令的输出中的 RSA 主机密钥写入新文件。例如:

    conn mytunnel
        leftid=@west
        left=192.1.2.23
        leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
        rightid=@east
        right=192.1.2.45
        rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
        authby=rsasig
  4. 导入密钥后,重启 ipsec 服务:

    # systemctl restart ipsec
  5. 加载连接:

    # ipsec auto --add mytunnel
  6. 建立隧道:

    # ipsec auto --up mytunnel
  7. 要在 ipsec 服务启动时自动启动隧道,请在连接定义中添加以下行:

    auto=start

4.5. 配置站点到站点的 VPN

要创建一个站点到站点 IPsec VPN,需要加入两个网络,在两个主机之间创建一个 IPsec 隧道。主机因此充当端点,它们配置为允许来自一个或多个子网的流量通过。因此您可以将主机视为到网络远程部分的网关。

站点到站点 VPN 的配置只能与主机到主机 VPN 不同,同时必须在配置文件中指定一个或多个网络或子网。

先决条件

流程

  1. 将带有主机到主机 VPN 配置的文件复制到新文件中,例如:

    # cp /etc/ipsec.d/my_host-to-host.conf /etc/ipsec.d/my_site-to-site.conf
  2. 在上一步创建的文件中添加子网配置,例如:

    conn mysubnet
         also=mytunnel
         leftsubnet=192.0.1.0/24
         rightsubnet=192.0.2.0/24
         auto=start
    
    conn mysubnet6
         also=mytunnel
         leftsubnet=2001:db8:0:1::/64
         rightsubnet=2001:db8:0:2::/64
         auto=start
    
    # the following part of the configuration file is the same for both host-to-host and site-to-site connections:
    
    conn mytunnel
        leftid=@west
        left=192.1.2.23
        leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
        rightid=@east
        right=192.1.2.45
        rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
        authby=rsasig

4.6. 配置远程访问 VPN

公路勇士是指拥有移动客户端和动态分配的 IP 地址的旅行用户。移动客户端使用 X.509 证书进行身份验证。

以下示例显示了 IKEv2 的配置,并且避免使用 IKEv1 XAUTH 协议。

在服务器中:

conn roadwarriors
    ikev2=insist
    # support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    fragmentation=yes
    left=1.2.3.4
    # if access to the LAN is given, enable this, otherwise use 0.0.0.0/0
    # leftsubnet=10.10.0.0/16
    leftsubnet=0.0.0.0/0
    leftcert=gw.example.com
    leftid=%fromcert
    leftxauthserver=yes
    leftmodecfgserver=yes
    right=%any
    # trust our own Certificate Agency
    rightca=%same
    # pick an IP address pool to assign to remote users
    # 100.64.0.0/16 prevents RFC1918 clashes when remote users are behind NAT
    rightaddresspool=100.64.13.100-100.64.13.254
    # if you want remote clients to use some local DNS zones and servers
    modecfgdns="1.2.3.4, 5.6.7.8"
    modecfgdomains="internal.company.com, corp"
    rightxauthclient=yes
    rightmodecfgclient=yes
    authby=rsasig
    # optionally, run the client X.509 ID through pam to allow or deny client
    # pam-authorize=yes
    # load connection, do not initiate
    auto=add
    # kill vanished roadwarriors
    dpddelay=1m
    dpdtimeout=5m
    dpdaction=clear

在移动客户端(即 road warrior 的设备)上,使用与之前配置稍有不同的配置:

conn to-vpn-server
    ikev2=insist
    # pick up our dynamic IP
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=myname.example.com
    leftid=%fromcert
    leftmodecfgclient=yes
    # right can also be a DNS hostname
    right=1.2.3.4
    # if access to the remote LAN is required, enable this, otherwise use 0.0.0.0/0
    # rightsubnet=10.10.0.0/16
    rightsubnet=0.0.0.0/0
    fragmentation=yes
    # trust our own Certificate Agency
    rightca=%same
    authby=rsasig
    # allow narrowing to the server’s suggested assigned IP and remote subnet
    narrowing=yes
    # support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    # initiate connection
    auto=start

4.7. 配置网格 VPN

网格 VPN 网络(也称为 任何 VPN)是一个网络,所有节点使用 IPsec 进行通信。该配置允许在无法使用 IPsec 的节点发生例外。可使用两种方式配置网格 VPN 网络:

  • 需要 IPsec。
  • 使用 IPsec,但允许回退来清除文本通信。

节点之间的身份验证可以基于 X.509 证书或 DNS 安全扩展(DNSSEC)。

以下流程使用 X.509 证书。这些证书可以使用任何类型的证书颁发机构(CA)管理系统生成,如 Dogtag 证书系统。Dogtag 假定每个节点的证书可用 PKCS #12 格式(.p12 文件)提供,其中包含私钥、节点证书和用于验证其他节点的 X.509 证书的根 CA 证书。

每个节点的配置与其 X.509 证书不同。这允许在不重新配置网络中的任何现有节点的情况下添加新节点。PKCS #12 文件需要一个"友好名称",为此,我们使用名称"节点",这样引用友好名称的配置文件对所有节点都是相同的。

先决条件

  • libreswan 已安装,并在每个节点上启动 ipsec 服务。

步骤

  1. 在每个节点中导入 PKCS #12 文件。此步骤需要用于生成 PKCS #12 文件的密码:

    # ipsec import nodeXXX.p12
  2. IPsec 需要的(专用)、IPsec 可选的 (private-or-clear)和 No IPsec (clear)配置文件创建以下三个连接定义:

    # cat /etc/ipsec.d/mesh.conf
    conn clear
    	auto=ondemand
    	type=passthrough
    	authby=never
    	left=%defaultroute
    	right=%group
    
    conn private
    	auto=ondemand
    	type=transport
    	authby=rsasig
    	failureshunt=drop
    	negotiationshunt=drop
    	# left
    	left=%defaultroute
    	leftcert=nodeXXXX
    	leftid=%fromcert
            leftrsasigkey=%cert
    	# right
    	rightrsasigkey=%cert
    	rightid=%fromcert
    	right=%opportunisticgroup
    
    conn private-or-clear
    	auto=ondemand
    	type=transport
    	authby=rsasig
    	failureshunt=passthrough
    	negotiationshunt=passthrough
    	# left
    	left=%defaultroute
    	leftcert=nodeXXXX
    	leftid=%fromcert
            leftrsasigkey=%cert
    	# right
    	rightrsasigkey=%cert
    	rightid=%fromcert
    	right=%opportunisticgroup
  3. 以适当的类别添加网络的 IP 地址。例如,如果所有节点都驻留在 10.15.0.0/16 网络中,所有节点都应强制使用 IPsec 加密:

    # echo "10.15.0.0/16" >> /etc/ipsec.d/policies/private
  4. 要允许某些节点(如 10.15.34.0/24)使用和不使用 IPsec,请将这些节点添加到 private-or-clear 组中:

    # echo "10.15.34.0/24" >> /etc/ipsec.d/policies/private-or-clear
  5. 要定义一个主机,如 10.15.1.2,它不在明文中,使用:

    # echo "10.15.1.2/32" >> /etc/ipsec.d/policies/clear

    /etc/ipsec.d/policies 目录中的文件可以从每个新节点的模板创建,也可以使用 Puppet 或 Ansible 来提供。

    请注意,每个节点都有相同的异常列表或不同的流量预期。因此,两个节点可能无法进行通信,因为一个节点需要 IPsec,另一个节点无法使用 IPsec。

  6. 重启节点将其添加到配置的网格中:

    # systemctl restart ipsec
  7. 完成添加节点后,ping 命令就足以打开 IPsec 隧道。查看节点已打开的隧道:

    # ipsec trafficstatus

4.8. 部署 FIPS 兼容 IPsec VPN

使用此流程基于 Libreswan 部署 FIPS 兼容 IPsec VPN 解决方案。以下步骤还允许您识别哪些加密算法可用,并在 FIPS 模式的 Libreswan 中禁用了哪些加密算法。

先决条件

  • AppStream存储库已启用。

步骤

  1. 安装 libreswan 软件包:

    # dnf install libreswan
  2. 如果您要重新安装 Libreswan,请删除其旧的 NSS 数据库:

    # systemctl stop ipsec
    
    # rm /var/lib/ipsec/nss/*db
  3. 启动 ipsec 服务,并启用该服务,以便其在引导时自动启动:

    # systemctl enable ipsec --now
  4. 通过添加 ipsec 服务,将防火墙配置为允许 IKE、ESP 和 AH 协议的 500 和 4500/UDP 端口:

    # firewall-cmd --add-service="ipsec"
    # firewall-cmd --runtime-to-permanent
  5. 将系统切换到 FIPS 模式:

    # fips-mode-setup --enable
  6. 重启您的系统以允许内核切换到 FIPS 模式:

    # reboot

验证

  1. 确认 Libreswan 在 FIPS 模式下运行:

    # ipsec whack --fipsstatus
    000 FIPS mode enabled
  2. 或者,检查 systemd 日志中的 ipsec 单元条目:

    $ journalctl -u ipsec
    ...
    Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Mode: YES
  3. 以 FIPS 模式查看可用算法:

    # ipsec pluto --selftest 2>&1 | head -6
    Initializing NSS using read-write database "sql:/var/lib/ipsec/nss"
    FIPS Mode: YES
    NSS crypto library initialized
    FIPS mode enabled for pluto daemon
    NSS library is running in FIPS mode
    FIPS HMAC integrity support [disabled]
  4. 使用 FIPS 模式查询禁用的算法:

    # ipsec pluto --selftest 2>&1 | grep disabled
    Encryption algorithm CAMELLIA_CTR disabled; not FIPS compliant
    Encryption algorithm CAMELLIA_CBC disabled; not FIPS compliant
    Encryption algorithm NULL disabled; not FIPS compliant
    Encryption algorithm CHACHA20_POLY1305 disabled; not FIPS compliant
    Hash algorithm MD5 disabled; not FIPS compliant
    PRF algorithm HMAC_MD5 disabled; not FIPS compliant
    PRF algorithm AES_XCBC disabled; not FIPS compliant
    Integrity algorithm HMAC_MD5_96 disabled; not FIPS compliant
    Integrity algorithm HMAC_SHA2_256_TRUNCBUG disabled; not FIPS compliant
    Integrity algorithm AES_XCBC_96 disabled; not FIPS compliant
    DH algorithm MODP1536 disabled; not FIPS compliant
    DH algorithm DH31 disabled; not FIPS compliant
  5. 在 FIPS 模式中列出所有允许的算法和密码:

    # ipsec pluto --selftest 2>&1 | grep ESP | grep FIPS | sed "s/^.*FIPS//"
    aes_ccm, aes_ccm_c
    aes_ccm_b
    aes_ccm_a
    NSS(CBC)  3des
    NSS(GCM)  aes_gcm, aes_gcm_c
    NSS(GCM)  aes_gcm_b
    NSS(GCM)  aes_gcm_a
    NSS(CTR)  aesctr
    NSS(CBC)  aes
    aes_gmac
    NSS       sha, sha1, sha1_96, hmac_sha1
    NSS       sha512, sha2_512, sha2_512_256, hmac_sha2_512
    NSS       sha384, sha2_384, sha2_384_192, hmac_sha2_384
    NSS       sha2, sha256, sha2_256, sha2_256_128, hmac_sha2_256
    aes_cmac
    null
    NSS(MODP) null, dh0
    NSS(MODP) dh14
    NSS(MODP) dh15
    NSS(MODP) dh16
    NSS(MODP) dh17
    NSS(MODP) dh18
    NSS(ECP)  ecp_256, ecp256
    NSS(ECP)  ecp_384, ecp384
    NSS(ECP)  ecp_521, ecp521

4.9. 使用密码保护 IPsec NSS 数据库

默认情况下,IPsec 服务在第一次启动时使用空密码创建其网络安全服务(NSS)数据库。使用以下命令添加密码保护。

先决条件

  • /var/lib/ipsec/nss/ 目录包含 NSS 数据库文件。

步骤

  1. 为 Libreswan 启用 NSS 数据库的密码保护:

    # certutil -N -d sql:/var/lib/ipsec/nss
    Enter Password or Pin for "NSS Certificate DB":
    Enter a password which will be used to encrypt your keys.
    The password should be at least 8 characters long,
    and should contain at least one non-alphabetic character.
    
    Enter new password:
  2. 创建包含您在上一步中设置的密码的 /etc/ipsec.d/nsspassword 文件,例如:

    # cat /etc/ipsec.d/nsspassword
    NSS Certificate DB:MyStrongPasswordHere

    请注意, nsspassword 文件使用以下语法:

    token_1_name:the_password
    token_2_name:the_password

    默认的 NSS 软件令牌是 NSS 证书 数据库。如果您的系统以 FIPS 模式运行,则令牌的名称为 NSS FIPS 140-2 证书数据库

  3. 根据您的场景,在完成了 nsspassword 文件后,启动或重启 ipsec 服务:

    # systemctl restart ipsec

验证

  1. 在其 NSS 数据库中添加非空密码后,检查 ipsec 服务是否运行:

    # systemctl status ipsec
    ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
       Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable>
       Active: active (running)...
  2. (可选)检查 Journal 日志是否包含确认成功初始化的条目:

    # journalctl -u ipsec
    ...
    pluto[6214]: Initializing NSS using read-write database "sql:/var/lib/ipsec/nss"
    pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS
    pluto[6214]: NSS crypto library initialized
    ...

其他资源

4.10. 配置 IPsec VPN 以使用 TCP

Libreswan 支持 IKE 和 IPsec 数据包的 TCP 封装,如 RFC 8229 所述。有了这个功能,您可以在网络上建立 IPsec VPN,以防止通过 UDP 和封装安全负载(ESP)传输的流量。您可以将 VPN 服务器和客户端配置为使用 TCP 作为回退,或者作为主 VPN 传输协议。由于 TCP 封装的性能成本较高,因此只有在您的场景中需要永久阻止 UDP 时,才使用 TCP 作为主 VPN 协议。

先决条件

步骤

  1. /etc/ipsec.conf 文件的 config setup 部分中添加以下选项:

    listen-tcp=yes
  2. 要在第一次尝试 UDP 失败时使用 TCP 封装作为回退选项,请在客户端的连接定义中添加以下两个选项:

    enable-tcp=fallback
    tcp-remoteport=4500

    另外,如果您知道 UDP 会被永久阻止,请在客户端的连接配置中使用以下选项:

    enable-tcp=yes
    tcp-remoteport=4500

4.11. 配置自动检测和使用 ESP 硬件卸载以加快 IPsec 连接

卸载 Encapsuling Security Payload(ESP)到硬件加速 IPsec 连接。默认情况下,Libreswan 会检测硬件是否支持这个功能,并因此启用 ESP 硬件卸载。这个步骤描述了如何在禁用或显式启用这个功能时启用自动检测。

先决条件

  • 网卡支持 ESP 硬件卸载。
  • 网络驱动程序支持 ESP 硬件卸载。
  • IPsec 连接已配置且可以正常工作。

步骤

  1. 编辑连接的 /etc/ipsec.d/ 目录中的 Libreswan 配置文件,该文件应使用 ESP 硬件卸载支持的自动检测。
  2. 确保连接设置中没有设置 nic-offload 参数。
  3. 如果您删除了 nic-offload,重启 ipsec 服务:

    # systemctl restart ipsec

验证

如果网卡支持 ESP 硬件卸载支持,请按照以下步骤验证结果:

  1. 显示 IPsec 连接使用的以太网设备的 tx_ipsecrx_ipsec 计数器:

    # ethtool -S enp1s0 | egrep "_ipsec"
         tx_ipsec: 10
         rx_ipsec: 10
  2. 通过 IPsec 隧道发送流量。例如,ping 远程 IP 地址:

    # ping -c 5 remote_ip_address
  3. 再次显示 tx_ipsecrx_ipsec 计数器:

    # ethtool -S enp1s0 | egrep "_ipsec"
         tx_ipsec: 15
         rx_ipsec: 15

    如果计数器值增加了,ESP 硬件卸载正常工作。

4.12. 在绑定中配置 ESP 硬件卸载以加快 IPsec 连接

将封装安全负载(ESP)卸载到硬件可加速 IPsec 连接。如果出于故障转移原因而使用网络绑定,配置 ESP 硬件卸载的要求和流程与使用常规以太网设备的要求和流程不同。例如,在这种情况下,您可以对绑定启用卸载支持,内核会将设置应用到绑定的端口。

先决条件

  • 绑定中的所有网卡都支持 ESP 硬件卸载。
  • 网络驱动程序支持对绑定设备的 ESP 硬件卸载。在 RHEL 中,只有 ixgbe 驱动程序支持此功能。
  • 绑定已配置且可以正常工作。
  • 该绑定使用 active-backup 模式。绑定驱动程序不支持此功能的任何其他模式。
  • IPsec 连接已配置且可以正常工作。

步骤

  1. 对网络绑定启用 ESP 硬件卸载支持:

    # nmcli connection modify bond0 ethtool.feature-esp-hw-offload on

    这个命令在对 bond0 连接启用 ESP 硬件卸载支持。

  2. 重新激活 bond0 连接:

    # nmcli connection up bond0
  3. 编辑应使用 ESP 硬件卸载的连接的 /etc/ipsec.d/ 目录中的 Libreswan 配置文件,并将 nic-offload=yes 语句附加到连接条目:

    conn example
        ...
        nic-offload=yes
  4. 重启 ipsec 服务:

    # systemctl restart ipsec

验证

  1. 显示绑定的活动端口:

    # grep "Currently Active Slave" /proc/net/bonding/bond0
    Currently Active Slave: enp1s0
  2. 显示活动端口的 tx_ipsecrx_ipsec 计数器:

    # ethtool -S enp1s0 | egrep "_ipsec"
         tx_ipsec: 10
         rx_ipsec: 10
  3. 通过 IPsec 隧道发送流量。例如,ping 远程 IP 地址:

    # ping -c 5 remote_ip_address
  4. 再次显示活动端口的 tx_ipsecrx_ipsec 计数器:

    # ethtool -S enp1s0 | egrep "_ipsec"
         tx_ipsec: 15
         rx_ipsec: 15

    如果计数器值增加了,ESP 硬件卸载正常工作。

其他资源

4.13. 配置选择不使用系统范围的加密策略的 IPsec 连接

为连接覆盖系统范围的加密策略

RHEL 系统范围的加密策略会创建一个名为 %default 的特殊连接。此连接包含 ikev2espike 选项的默认值。但是,您可以通过在连接配置文件中指定上述选项来覆盖默认值。

例如,以下配置允许使用带有 AES 和 SHA-1 或 SHA-2的 IKEv1 连接,以及带有 AES-GCM 或 AES-CBC 的 IPsec(ESP) 连接:

conn MyExample
  ...
  ikev2=never
  ike=aes-sha2,aes-sha1;modp2048
  esp=aes_gcm,aes-sha2,aes-sha1
  ...

请注意,AES-GCM 可用于 IPsec(ESP)和 IKEv2,但不适用于 IKEv1。

为所有连接禁用系统范围的加密策略

要禁用所有 IPsec 连接的系统范围的加密策略,请在 /etc/ipsec.conf 文件中注释掉以下行:

include /etc/crypto-policies/back-ends/libreswan.config

然后将 ikev2=never 选项添加到连接配置文件。

4.14. IPsec VPN 配置故障排除

与 IPsec VPN 配置相关的问题通常是由于几个主要原因造成的。如果您遇到此类问题,您可以检查问题的原因是否符合一下任何一种情况,并应用相应的解决方案。

基本连接故障排除

VPN 连接的大多数问题都发生在新部署中,管理员使用不匹配的配置选项配置了端点。此外,正常工作的配置可能会突然停止工作,通常是由于新引入的不兼容的值。这可能是管理员更改配置的结果。或者,管理员可能已安装了固件更新,或者使用某些选项的不同默认值(如加密算法)安装了软件包更新。

要确认已建立 IPsec VPN 连接:

# ipsec trafficstatus
006 #8: "vpn.example.com"[1] 192.0.2.1, type=ESP, add_time=1595296930, inBytes=5999, outBytes=3231, id='@vpn.example.com', lease=100.64.13.5/32

如果输出为空或者没有显示具有连接名称的条目,则隧道将断开。

检查连接中的问题:

  1. 重新载入 vpn.example.com 连接:

    # ipsec auto --add vpn.example.com
    002 added connection description "vpn.example.com"
  2. 下一步,启动 VPN 连接:

    # ipsec auto --up vpn.example.com

与防火墙相关的问题

最常见的问题是,其中一个 IPsec 端点或端点之间路由器上的防火墙将所有互联网密钥交换(IKE)数据包丢弃。

  • 对于 IKEv2,类似以下示例的输出说明防火墙出现问题:

    # ipsec auto --up vpn.example.com
    181 "vpn.example.com"[1] 192.0.2.2 #15: initiating IKEv2 IKE SA
    181 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: sent v2I1, expected v2R1
    010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 0.5 seconds for response
    010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 1 seconds for response
    010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 2 seconds for
    ...
  • 对于 IKEv1,启动命令的输出如下:

    # ipsec auto --up vpn.example.com
    002 "vpn.example.com" #9: initiating Main Mode
    102 "vpn.example.com" #9: STATE_MAIN_I1: sent MI1, expecting MR1
    010 "vpn.example.com" #9: STATE_MAIN_I1: retransmission; will wait 0.5 seconds for response
    010 "vpn.example.com" #9: STATE_MAIN_I1: retransmission; will wait 1 seconds for response
    010 "vpn.example.com" #9: STATE_MAIN_I1: retransmission; will wait 2 seconds for response
    ...

由于用于设置 IPsec 的 IKE 协议已经加密,因此您只能使用 tcpdump 工具排除一小部分问题。如果防火墙丢弃了 IKE 或 IPsec 数据包,您可以尝试使用 tcpdump 工具来查找原因。但是,tcpdump 无法诊断 IPsec VPN 连接的其他问题。

  • 捕获eth0 接口上的 VPN 协商以及所有加密数据:

    # tcpdump -i eth0 -n -n esp or udp port 500 or udp port 4500 or tcp port 4500

不匹配的算法、协议和策略

VPN 连接要求端点具有匹配的 IKE 算法、IPsec 算法和 IP 地址范围。如果发生不匹配,连接会失败。如果您使用以下方法之一发现不匹配,请通过匹配算法、协议或策略来修复它。

  • 如果远程端点没有运行 IKE/IPsec,您可以看到一个 ICMP 数据包来指示它。例如:

    # ipsec auto --up vpn.example.com
    ...
    000 "vpn.example.com"[1] 192.0.2.2 #16: ERROR: asynchronous network error report on wlp2s0 (192.0.2.2:500), complainant 198.51.100.1: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    ...
  • 不匹配 IKE 算法示例:

    # ipsec auto --up vpn.example.com
    ...
    003 "vpn.example.com"[1] 193.110.157.148 #3: dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni
  • 不匹配 IPsec 算法示例:

    # ipsec auto --up vpn.example.com
    ...
    182 "vpn.example.com"[1] 193.110.157.148 #5: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_256 group=MODP2048}
    002 "vpn.example.com"[1] 193.110.157.148 #6: IKE_AUTH response contained the error notification NO_PROPOSAL_CHOSEN

    不匹配的 IKE 版本还可导致远程端点在没有响应的情况下丢弃请求。这与丢弃所有 IKE 数据包的防火墙相同。

  • IKEv2 不匹配的 IP 地址范围示例(称为流量选择器 - TS):

    # ipsec auto --up vpn.example.com
    ...
    1v2 "vpn.example.com" #1: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048}
    002 "vpn.example.com" #2: IKE_AUTH response contained the error notification TS_UNACCEPTABLE
  • IKEv1 的不匹配 IP 地址范围示例:

    # ipsec auto --up vpn.example.com
    ...
    031 "vpn.example.com" #2: STATE_QUICK_I1: 60 second timeout exceeded after 0 retransmits.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
  • 当在 IKEv1 中使用预共享密钥(PSK)时,如果双方没有放入相同的 PSK ,则整个 IKE 信息将无法读取:

    # ipsec auto --up vpn.example.com
    ...
    003 "vpn.example.com" #1: received Hash Payload does not match computed value
    223 "vpn.example.com" #1: sending notification INVALID_HASH_INFORMATION to 192.0.2.23:500
  • 在 IKEv2 中,不匹配-PSK 错误会导致 AUTHENTICATION_FAILED 信息:

    # ipsec auto --up vpn.example.com
    ...
    002 "vpn.example.com" #1: IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED

最大传输单元

除防火墙阻止 IKE 或 IPsec 数据包外,网络问题的最常见原因与加密数据包的数据包大小增加有关。网络硬件对于大于最大传输单元(MTU)的数据包进行分片处理,例如 1500 字节。通常,片会丢失,数据包无法重新组装。当使用小数据包的 ping 测试可以正常工作,但其他流量失败时,这会导致间歇性故障。在这种情况下,您可以建立一个 SSH 会话,但是一使用它,终端就会冻结,例如,在远程主机上输入 'ls -al /usr' 命令。

要临时解决这个问题,请通过将 mtu=1400 选项添加到隧道配置文件中来减小 MTU 大小。

另外,对于 TCP 连接,启用更改 MSS 值的 iptables 规则:

# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

如果上一命令没有解决您场景中的问题,请在 set-mss 参数中直接指定较小的数值:

# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380

网络地址转换(NAT)

当 IPsec 主机也充当 NAT 路由器时,可能会意外地重新映射数据包。以下示例配置演示了这个问题:

conn myvpn
    left=172.16.0.1
    leftsubnet=10.0.2.0/24
    right=172.16.0.2
    rightsubnet=192.168.0.0/16
…

地址为 172.16.0.1 的系统有一个 NAT 规则:

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

如果地址为 10.0.2.33 的系统将数据包发送到 192.168.0.1,那么路由器会在应用 IPsec 加密前将源 10.0.2.33 转换为 172.16.0.1。

然后,源地址为 10.0.2.33 的数据包不再与 conn myvpn 配置匹配, IPsec 不会加密此数据包。

要解决这个问题,请在路由器上插入目标 IPsec 子网范围不包含 NAT 的规则,例如:

iptables -t nat -I POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/16 -j RETURN

内核 IPsec 子系统错误

例如,当 bug 导致 IKE 用户空间和 IPsec 内核不同步时,内核 IPsec 子系统可能会失败。检查此问题:

$ cat /proc/net/xfrm_stat
XfrmInError                 0
XfrmInBufferError           0
...

上一命令输出中的任何非零值都表示有问题。如果您遇到这个问题,请开一个新的 支持问题单,并附上上一命令的输出与对应的 IKE 日志。

libreswan 日志

libreswan 默认使用 syslog 协议的日志。您可以使用 journalctl 命令来查找与 IPsec 有关的日志条目。因为日志中相应的条目是由 pluto IKE 守护进程发送的,因此请搜索 "pluto" 关键字,例如:

$ journalctl -b | grep pluto

显示 ipsec 服务的实时日志:

$ journalctl -f -u ipsec

如果默认日志记录级别没有显示您的配置问题,请将 plutodebug=all 选项添加到 /etc/ipsec.conf 文件的 config setup 部分来启用调试日志。

请注意,调试日志记录会生成大量的条目,journaldsyslogd 服务的速率可能会抑制 syslog 消息。要确保您有完整的日志,请将日志记录重定向到文件中。编辑 /etc/ipsec.conf,并在 config setup 部分中添加 logfile=/var/log/pluto.log

其他资源

第 5 章 使用 VPN RHEL 系统角色使用 IPsec 配置 VPN 连接

使用 VPN 系统角色,您可以使用 Red Hat Ansible Automation Platform 在 RHEL 系统上配置 VPN 连接。您可以使用它来设置主机到主机、网络到网络、VPN 远程访问服务器和网格配置。

对于主机到主机连接,角色使用默认参数在 vpn_connections 列表中的每一对主机之间设置 VPN 通道,包括根据需要生成密钥。另外,您还可以将其配置为在列出的所有主机之间创建 机会主义网格配置。该角色假定 hosts 下的主机名称与 Ansible 清单中使用的主机的名称相同,并且您可以使用这些名称来配置通道。

注意

VPN RHEL 系统角色目前只支持 Libreswan(一个 IPsec 实现)作为 VPN 供应商。

5.1. 使用 VPN 系统角色创建带有 IPsec 的主机到主机的 VPN

您可以通过在控制节点上运行 Ansible playbook 来使用 VPN 系统角色配置主机到主机的连接,这将配置清单文件中列出的所有受管节点。

先决条件

  • 对一个或多个 受管节点 的访问和权限,受管节点是您要使用 VPN 系统角色配置的系统。
  • 控制节点 的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。

    在控制节点上:

    • ansible-corerhel-system-roles 软件包已安装 。
重要

RHEL 8.0-8.5 提供对一个独立的 Ansible 存储库的访问权限,该存储库包含基于 Ansible 的自动化 Ansible Engine 2.9。Ansible Engine 包含命令行实用程序,如 ansibleansible-playbook、连接器(如 dockerpodman )以及许多插件和模块。有关如何获取并安装 Ansible Engine 的详情,请参考 如何下载并安装 Red Hat Ansible Engine 知识库文章。

RHEL 8.6 和 9.0 引入了 Ansible Core(作为 ansible-core 软件包提供),其中包含 Ansible 命令行工具、命令以及小型内置 Ansible 插件。RHEL 通过 AppStream 软件仓库提供此软件包,它有一个有限的支持范围。如需更多信息,请参阅 RHEL 9 和 RHEL 8.6 及更新的 AppStream 软件仓库文档中的 Ansible Core 软件包的支持范围

  • 列出受管节点的清单文件。

流程

  1. 使用以下内容创建一个新的 playbook.yml 文件:

    - name: Host to host VPN
      hosts: managed_node1, managed_node2
      roles:
        - rhel-system-roles.vpn
      vars:
        vpn_connections:
          - hosts:
              managed_node1:
              managed_node2:

    此 playbook 使用系统角色自动生成的密钥进行预共享密钥身份验证,来配置 managed_node1-to-managed_node2 的连接。

  2. 可选:通过将以下部分添加到主机的 vpn_connections 列表中,配置从受管主机到清单文件中未列出的外部主机的连接:

        vpn_connections:
          - hosts:
              managed_node1:
              managed_node2:
              external_node:
                hostname: 192.0.2.2

    这将配置另外两个连接:managed_node1-to-external_nodemanaged_node2-to-external_node

注意

连接仅在受管节点上配置,而不在外部节点上配置。

  1. 可选:您可以使用 vpn_connections 中的额外部分为受管节点指定多个 VPN 连接,如控制平面和数据平面:

    - name: Multiple VPN
      hosts: managed_node1, managed_node2
      roles:
        - rhel-system-roles.vpn
      vars:
        vpn_connections:
          - name: control_plane_vpn
            hosts:
              managed_node1:
                hostname: 192.0.2.0 # IP for the control plane
              managed_node2:
                hostname: 192.0.2.1
          - name: data_plane_vpn
            hosts:
              managed_node1:
                hostname: 10.0.0.1 # IP for the data plane
              managed_node2:
                hostname: 10.0.0.2
  2. 可选:您可以根据您的偏好修改变量。详情请查看 /usr/share/doc/rhel-system-roles/vpn/README.md 文件。
  3. 可选:验证 playbook 语法。

    # ansible-playbook --syntax-check /path/to/file/playbook.yml -i /path/to/file/inventory_file
  4. 在清单文件上运行 playbook:

    # ansible-playbook -i /path/to/file/inventory_file /path/to/file/playbook.yml

验证

  1. 在受管节点上,确认连接已成功载入:

    # ipsec status | grep connection.name

    connection.name 替换为来自此节点的连接的名称,如 managed_node1-to-managed_node2

注意

默认情况下,从每个系统的角度来看,角色为其创建的每个连接生成一个描述性名称。例如,当在 managed_node1managed_node2 之间创建连接时,此连接在 managed_node1 上的描述性名称为 managed_node1-to-managed_node2,但在 managed_node2 上,连接的描述性名称为 managed_node2-to-managed_node1

  1. 在受管节点上,确认连接是否成功启动:

    # ipsec trafficstatus | grep connection.name
  2. 可选:如果连接没有成功加载,请输入以下命令来手动添加连接。这将提供更具体的信息,说明连接未能建立的原因:

    # ipsec auto --add connection.name
    注意

    加载和启动连接过程中可能出现的任何错误都会在日志中报告,这些错误可以在 /var/log/pluto.log 中找到。由于这些日志难以解析,因此请尝试手动添加连接来获得日志消息,而不是从标准输出中获得。

5.2. 使用 VPN 系统角色创建带有 IPsec 的机会主义网格 VPN 连接

您可以使用 VPN 系统角色来配置机会主义网格 VPN 连接,该连接通过在控制节点上运行 Ansible playbook 来使用证书进行身份验证,它将配置清单文件中列出的所有受管节点。

通过在 playbook 中定义 auth_method: cert 参数来配置用证书进行身份验证。VPN 系统角色假设 IPsec 网络安全服务(NSS)加密库(在 /etc/ipsec.d 目录中定义)包含必要的证书。默认情况下,节点名称用作证书的昵称。在本例中,这是 managed_node1。您可以使用清单中的 cert_name 属性来定义不同的证书名称。

在以下示例流程中,控制节点(您要从其运行 Ansible playbook 的系统)与两个受管节点(192.0.2.0/24)共享相同的无类别域间路由(CIDR)数,并且 IP 地址为 192.0.2.7。因此,控制节点属于为 CIDR 192.0.2.0/24 自动创建的私有策略。

为防止在操作期间出现 SSH 连接丢失,控制节点的清晰策略包含在策略列表中。请注意,在策略列表中还有一个项 CIDR 等于 default。这是因为此 playbook 覆盖了默认策略中的规则,以使其为私有,而非私有或清晰。

先决条件

  • 对一个或多个 受管节点 的访问和权限,受管节点是您要使用 VPN 系统角色配置的系统。

    • 在所有受管节点上,/etc/ipsec.d 目录中的 NSS 数据库包含对等身份验证所需的所有证书。默认情况下,节点名称用作证书的昵称。
  • 控制节点 的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。

    在控制节点上:

    • ansible-corerhel-system-roles 软件包已安装 。
重要

RHEL 8.0-8.5 提供对一个独立的 Ansible 存储库的访问权限,该存储库包含基于 Ansible 的自动化 Ansible Engine 2.9。Ansible Engine 包含命令行实用程序,如 ansibleansible-playbook、连接器(如 dockerpodman )以及许多插件和模块。有关如何获取并安装 Ansible Engine 的详情,请参考 如何下载并安装 Red Hat Ansible Engine 知识库文章。

RHEL 8.6 和 9.0 引入了 Ansible Core(作为 ansible-core 软件包提供),其中包含 Ansible 命令行工具、命令以及小型内置 Ansible 插件。RHEL 通过 AppStream 软件仓库提供此软件包,它有一个有限的支持范围。如需更多信息,请参阅 RHEL 9 和 RHEL 8.6 及更新的 AppStream 软件仓库文档中的 Ansible Core 软件包的支持范围

  • 列出受管节点的清单文件。

流程

  1. 使用以下内容创建一个新的 playbook.yml 文件:

    - name: Mesh VPN
      hosts: managed_node1, managed_node2, managed_node3
      roles:
        - rhel-system-roles.vpn
      vars:
        vpn_connections:
          - opportunistic: true
            auth_method: cert
            policies:
              - policy: private
                cidr: default
              - policy: private-or-clear
                cidr: 198.51.100.0/24
              - policy: private
                cidr: 192.0.2.0/24
              - policy: clear
                cidr: 192.0.2.7/32
  2. 可选:您可以根据您的偏好修改变量。详情请查看 /usr/share/doc/rhel-system-roles/vpn/README.md 文件。
  3. 可选:验证 playbook 语法。

    # ansible-playbook --syntax-check playbook.yml
  4. 在清单文件上运行 playbook:

    # ansible-playbook -i inventory_file /path/to/file/playbook.yml

5.3. 其他资源

  • 有关 VPN 系统角色使用的参数详情以及角色的附加信息,请查看 /usr/share/doc/rhel-system-roles/vpn/README.md 文件。
  • 有关 ansible-playbook 命令的详情,请查看 ansible-playbook(1) 手册页。

第 6 章 保护网络服务

Red Hat Enterprise Linux 9 支持很多不同类型的网络服务器。其网络服务可能会暴露系统安全性,以面临各种攻击的风险,如拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)、脚本漏洞攻击和缓冲区溢出攻击。

要提高系统安全攻击,务必要监控您使用的活跃网络服务。例如,当网络服务在计算机上运行时,其守护进程侦听网络端口上的连接,这可以降低安全性。为限制网络攻击的风险,应关闭所有未使用的服务。

6.1. 保护 rpcbind 服务

rpcbind 服务是用于远程过程调用(RPC)服务的动态端口转发守护进程,如网络信息服务(NIS)和网络文件系统(NFS)。因为它具有较弱的身份验证机制,并可为它控制的服务分配广泛的端口,因此保护 rpcbind 非常重要。

您可以通过限制访问所有网络并使用服务器上的防火墙规则定义特定例外来保护 rpcbind

注意
  • NFSv3 服务器上需要 rpcbind 服务。
  • NFSv4 不需要 rpcbind 服务来侦听网络。

先决条件

  • 已安装 rpcbind 软件包。
  • 已安装 firewalld 软件包且 服务正在运行。

流程

  1. 添加防火墙规则,例如:

    • 限制 TCP 连接,并只接受来自 192.168.0.0/24 主机 111 端口的包:

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
    • 限制 TCP 连接,并只接受来自本地主机 111 端口的包:

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
    • 限制 UDP 连接,并只接受来自 192.168.0.0/24 主机 111 端口的包:

      # firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'

      要使防火墙设置永久化,请在添加防火墙规则时使用 --permanent 选项。

  2. 重新载入防火墙以应用新规则:

    # firewall-cmd --reload

验证步骤

  • 列出防火墙规则:

    # firewall-cmd --list-rich-rule
    rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop
    rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept
    rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop

其他资源

6.2. 保护 rpc.mountd 服务

rpc.mountd 守护进程实现 NFS 挂载协议的服务器端。NFS 版本 3(RFC 1813)使用 NFS 挂载协议。

您可以通过对服务器添加防火墙规则来保护 rpc.mountd 服务。您可以限制对所有网络的访问,并使用防火墙规则来定义特定的例外。

先决条件

  • 已安装 rpc.mountd 软件包。
  • 已安装 firewalld 软件包且 服务正在运行。

流程

  1. 在服务器中添加防火墙规则,例如:

    • 接受来自 192.168.0.0/24 主机的mountd 连接:

      # firewall-cmd --add-rich-rule 'rule family="ipv4" service name="mountd" source address="192.168.0.0/24" invert="True" drop'
    • 接受来自本地主机的 mountd 连接:

      # firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="127.0.0.1" service name="mountd" accept'

      要使防火墙设置永久化,请在添加防火墙规则时使用 --permanent 选项。

  2. 重新载入防火墙以应用新规则:

    # firewall-cmd --reload

验证步骤

  • 列出防火墙规则:

    # firewall-cmd --list-rich-rule
    rule family="ipv4" service name="mountd" source address="192.168.0.0/24" invert="True" drop
    rule family="ipv4" source address="127.0.0.1" service name="mountd" accept

6.3. 保护 NFS 服务

您可以使用 Kerberos 验证和加密所有文件系统操作来保护网络文件系统版本 4(NFSv4)。当使用带有网络地址转换(NAT)或防火墙的 NFSv4 时,您可以通过修改 /etc/default/nfs 文件来关闭委托。委派是一种技术,服务器将文件的管理委派给客户端。

相反,NFSv3 不使用 Kerberos 锁定和挂载文件。

NFS 服务使用所有版本的 NFS 中的 TCP 发送流量。该服务支持 Kerberos 用户和组身份验证,作为 RPCSEC_GSS 内核模块的一部分。

NFS 允许远程主机通过网络挂载文件系统,并与这些文件系统进行交互,就像它们被挂载到本地一样。您可以在集中式服务器上合并资源,并在共享文件系统时在 /etc/nfsmount.conf 文件中自定义 NFS 挂载选项。

6.3.1. 保护 NFS 服务器的导出选项

NFS 服务器确定要导出到 /etc/exports 文件中哪些文件系统的目录和文件列表结构。

警告

导出文件的语法的额外空格可能会导致配置中的重大更改。

在以下示例中,/tmp/nfs/ 目录与 bob.example.com 主机共享,并具有读取和写入权限。

/tmp/nfs/     bob.example.com(rw)

以下示例与前一个示例相同,但与 bob.example.com 主机共享同一目录,并具有只读权限,并将其共享给 世界,其具有在主机名后面的单个空格字符所拥有读取和写入权限。

/tmp/nfs/     bob.example.com (rw)

您可以通过输入 showmount -e <hostname > 命令检查系统中的共享目录。

/etc/exports 文件中使用以下导出选项:

警告

要导出整个文件系统,因为导出文件系统的子目录不安全。攻击者可以访问部分导出的文件系统中的未导出部分。

ro
使用 ro 选项,以只读方式导出 NFS 卷。
rw

使用 rw 选项,允许在 NFS 卷上读取和写入请求。请谨慎使用这个选项,因为允许写入访问会增加攻击风险。

注意

如果您的场景需要使用 rw 选项挂载目录,请确保这些用户不可写入,以减少可能的风险。

root_squash
使用 root_squash 选项,将 uid/gid 0 的请求映射到匿名 uid/gid。这不适用于任何可能同样敏感的其他 uidgid,如 bin 用户或 staff 组。
no_root_squash
使用 no_root_squash 选项关闭 root squashing。默认情况下,NFS 共享将 root 用户更改为 nobody 用户,这是一个非特权用户帐户。这会将所有 root 创建的文件的所有者改为 nobody,这样可以防止上传设置了 setuid 位的程序。使用 no_root_squash 选项时,远程 root 用户可以更改共享文件系统上的任何文件,并且让 trojans 为其他用户选择的应用程序。
secure
使用 secure 选项将导出限制为保留端口。默认情况下,服务器仅允许客户端通过保留的端口进行通信。但是,对于在很多网络上的客户端上成为 root 用户来说,任何用户很容易成为 root 用户,因此服务器很难通过保留的端口来假定通信是特权。因此,对保留端口的限制具有有限的值;最好根据 Kerberos、防火墙和对特定客户端的导出限制来决定。

另外,在导出 NFS 服务器时请考虑以下最佳实践:

  • 导出主目录的风险是一个风险,因为某些应用程序以纯文本或更弱的加密格式存储密码。您可以通过检查并改进应用代码来降低风险。
  • 有些用户不会在 SSH 密钥中设置密码,这样可再次导致主目录的风险。您可以通过强制使用密码或使用 Kerberos 来降低这些风险。
  • 仅将 NFS 导出限制为所需的客户端。在 NFS 服务器上使用 showmount -e 命令来检查服务器正在导出什么。不要导出不需要的任何内容。
  • 不允许不必要的用户登录到服务器,以减少攻击风险。您可以定期检查谁以及什么可以访问该服务器。

其他资源

6.3.2. 保护 NFS 客户端的挂载选项

您可以将以下选项传递给 挂载命令,以增加基于 NFS 的客户端的安全性:

nosuid
使用 nosuid 选项禁用 set-user-identifierset-group-identifier 位。这可防止远程用户通过运行 setuid 程序获得更高权限,您可以使用这个选项与 setuid 选项相反。
noexec
使用 noexec 选项禁用客户端上的所有可执行文件。使用此功能可以防止用户意外执行存储在共享文件系统中的文件。
nodev
使用 nodev 选项来防止客户端将设备文件处理为硬件设备。
resvport
使用 resvport 选项限制到保留端口的通信,您可以使用特权源端口与服务器通信。保留的端口为特权用户和进程保留,如 root 用户。
在 NFS 服务器上使用 sec 选项,选择 RPCGSS 安全类别来访问挂载点上的文件。有效的安全类别为 nonesys、krb5、krb5 ikrb5p
重要

krb5-libs 软件包提供的 MIT Kerberos 库不支持新部署中的数据加密标准(DES)算法。由于安全性和兼容性的原因,在 Kerberos 库中默认禁用 DES。除非您的环境需要 DES 的原因,请使用更新且更安全的算法而不是 DES。

6.3.3. 使用防火墙保护 NFS

要在 NFS 服务器上保护防火墙,请仅保持打开所需的端口。不要将 NFS 连接端口号用于任何其他服务。

先决条件

  • 已安装 nfs-utils 软件包。
  • firewalld 软件包已安装并运行。

流程

  • 在 NFSv4 上,防火墙必须打开 TCP 端口 2049
  • 在 NFSv3 上,使用 2049 打开四个额外的端口:

    1. rpcbind 服务动态分配 NFS 端口,这可能会在创建防火墙规则时导致问题。要简化这个过程,使用 /etc/nfs.conf 文件指定要使用哪些端口:

      1. mountd 设置 TCP 和 UDP 端口(rpc.mountd),以 port= <value> 格式在 [mountd] 部分中。
      2. port= <value & gt; 格式的 [statd] 部分中,为 statd 设置 TCP 和 UDP 端口(rpc.statd)。
    2. /etc/nfs.conf 文件中为 NFS 锁定管理器(nlockmgr)设置 TCP 和 UDP 端口:

      1. 使用 port=value 格式的 [lockd] 部分,为 nlockmgr 设置 TCP 端口(rpc.statd)。或者,您可以使用 /etc/modprobe.d/lockd.conf 文件中的 nlm_tcpport 选项。
      2. udp-port=value 格式的 [lockd] 部分中,为 nlockmgr (rpc.statd)设置 UDP 端口。或者,您可以使用 /etc/modprobe.d/lockd.conf 文件中的 nlm_udpport 选项。

验证步骤

  • 列出 NFS 服务器中的活跃端口和 RPC 程序:

    $ rpcinfo -p

其他资源

6.4. 保护 FTP 服务

您可以使用文件传输协议(FTP)通过网络传输文件。因为所有与服务器的 FTP 事务(包括用户身份验证)都是未加密的,因此您应该安全地对其进行配置。

RHEL 9 提供两个 FTP 服务器:

  • Red Hat Content Accelerator(tux)- 一个具有 FTP 功能的内核空间 web 服务器。
  • 非常安全的 FTP 后台程序(vsftpd)- FTP 服务的独立、以安全为导向的实施。

以下安全指南是用于设置 vsftpd FTP 服务:

6.4.1. 保护 FTP 聚合横幅

当用户连接到 FTP 服务时,FTP 会显示一个问候标题,默认情况下,包含可用于识别系统中弱点的版本信息。您可以通过更改默认的横幅来防止攻击者访问此信息。

您可以通过编辑 /etc/banners/ftp.msg 文件来定义自定义横幅,可以直接包含单行消息,或者引用单独的文件,该文件可包含多行消息。

流程

  • 要定义单行消息,请在 /etc/vsftpd/vsftpd.conf 文件中添加以下选项:

    ftpd_banner=Hello, all activity on ftp.example.com is logged.
  • 在单独的文件中定义消息:

    • 创建包含横幅消息的 .msg 文件,如 /etc/banners/ftp.msg

      ######### Hello, all activity on ftp.example.com is logged. #########

      为了简化多横幅管理,将所有横幅放在 /etc/banners/ 目录中。

    • 将横幅文件的路径添加到 /etc/vsftpd/vsftpd.conf 文件中的 banner_file 选项:

      banner_file=/etc/banners/ftp.msg

验证

  • 显示修改后的横幅:

    $ ftp localhost
    Trying ::1…
    Connected to localhost (::1).
    Hello, all activity on ftp.example.com is logged.

6.4.2. 防止匿名访问并在 FTP 中上传

默认情况下,安装 vsftpd 软件包会为对目录具有只读权限的匿名用户创建 /var/ftp/ 目录和目录树。由于匿名用户可以访问数据,因此请勿在这些目录中存储敏感数据。

要提高系统的安全性,您可以将 FTP 服务器配置为允许匿名用户上传文件到特定目录,并阻止匿名用户读取数据。在以下步骤中,匿名用户可以上传文件到 root 用户拥有的目录中,但不能更改该文件。

流程

  • /var/ftp/pub/ 目录中创建只写目录:

    # mkdir /var/ftp/pub/upload
    # chmod 730 /var/ftp/pub/upload
    # ls -ld /var/ftp/pub/upload
    drwx-wx---. 2 root ftp 4096 Nov 14 22:57 /var/ftp/pub/upload
  • /etc/vsftpd/vsftpd.conf 文件中添加以下行:

    anon_upload_enable=YES
    anonymous_enable=YES
  • 可选:如果您的系统启用了 SELinux 并强制实施,请启用 SELinux 布尔值属性 allow_ftpd_anon_writeallow_ftpd_full_access
警告

允许匿名用户在目录中读取和写入,可能会导致服务器成为 stolen 软件的存储库。

6.4.3. 为 FTP 保护用户帐户

FTP 通过不安全的网络传输用户名和密码以进行身份验证。您可以通过拒绝系统用户从其用户帐户访问服务器来提高 FTP 安全性。

与现有具体步骤一样执行,适用于您的配置。

流程

  • 通过在 /etc/ vsftpd /vsftpd.conf 文件中添加以下行来禁用 vsftpd 服务器中的所有用户帐户:

    local_enable=NO
  • 通过在 /etc/pam.d/vsftpd PAM 配置文件中添加用户名到 /etc/pam.d/vsftpd PAM 配置文件,以禁用特定帐户或特定帐户组的 FTP 访问权限,如 root 用户和具有 sudo 特权的用户。
  • 通过在 /etc/vsftpd/ftpusers 文件中添加用户名来禁用用户帐户。

6.4.4. 其他资源

  • ftpd_selinux(8) 手册页

6.5. 保护 HTTP 服务器

6.5.1. httpd.conf 中的安全增强

您可以通过在 /etc/httpd/conf/httpd.conf 文件中配置安全选项来提高 Apache HTTP 服务器的安全性。

始终验证系统上运行的所有脚本在投入生产之前是否正确工作。

确保只有 root 用户对包含脚本或通用网关接口(CGI)的任何目录具有写入权限。要将目录所有权改为具有写入权限的 root 用户,请输入以下命令:

# chown root directory-name
# chmod 755 directory-name

/etc/httpd/conf/httpd.conf 文件中,您可以配置以下选项:

FollowSymLinks
这个指令默认是启用的,遵循目录中的符号链接。
索引
这个指令默认是启用的。禁用该指令,以防止 visitor 用户浏览服务器上的文件。
UserDir
默认情况下禁用此指令,因为它可以确认系统上是否存在用户帐户。要激活用户目录浏览 /root/ 以外的所有目录,请使用 UserDir enabledUserDir disabled root 指令。要将用户添加到禁用帐户列表中,请在 UserDir disabled 行中添加一个以空格分隔的用户列表。
ServerTokens

这个指令控制回客户端的服务器响应标头字段。您可以使用以下参数自定义信息:

ServerTokens Full

提供所有可用信息,如 web 服务器版本号、服务器操作系统详情、已安装的 Apache 模块,例如:

Apache/2.4.37 (Red Hat Enterprise Linux) MyMod/1.2
ServerTokens Full-Release

使用发行版本提供所有可用信息,例如:

Apache/2.4.37 (Red Hat Enterprise Linux) (Release 41.module+el8.5.0+11772+c8e0c271)
ServerTokens Prod / ServerTokens ProductOnly

提供 Web 服务器名称,例如:

Apache
ServerTokens Major

提供 Web 服务器主发行版本版本,例如:

Apache/2
ServerTokens Minor

提供 Web 服务器次要版本版本,例如:

Apache/2.4
ServerTokens Min / ServerTokens Minimal

提供 Web 服务器最小发行版本,例如:

Apache/2.4.37
ServerTokens OS

提供 Web 服务器发行版本和操作系统,例如:

Apache/2.4.37 (Red Hat Enterprise Linux)

使用 ServerTokens Prod 选项降低攻击者获取系统的任何宝贵信息的风险。

重要

不要删除 IncludesNoExec 指令。默认情况下,服务器 Side Includes(SSI)模块无法执行命令。通过更改此功能,攻击者可以在系统中输入命令。

删除 httpd 模块

您可以删除 httpd 模块来限制 HTTP 服务器的功能。为此,请编辑 /etc/httpd/conf.modules.d//etc/httpd/conf.d/ 目录中的配置文件。例如,要删除 proxy 模块:

echo '# All proxy modules disabled' > /etc/httpd/conf.modules.d/00-proxy.conf

6.5.2. 保护 Nginx 服务器配置

nginx 是一个高性能 HTTP 和代理服务器。您可以使用以下配置选项强化 Nginx 配置。

流程

  • 要禁用版本字符串,修改 server_tokens 配置选项:

    server_tokens off;

    这个选项停止显示其他详细信息,如服务器版本号。此配置仅显示 Nginx 提供的所有请求中的服务器名称,例如:

    $ curl -sI http://localhost | grep Server
    Server: nginx
  • 添加额外的安全标头,用于缓解特定 /etc/nginx/ conf 文件中的某些已知 Web 应用程序漏洞:

    • 例如,X-Frame-Options 标头选项拒绝域外的任何页面以帧 Nginx 提供的任何内容,从而缓解点击攻击:

      add_header X-Frame-Options "SAMEORIGIN";
    • 例如,x-content-type 标头会阻止在某些较旧的浏览器中进行 MIME 类型 sniffing:

      add_header X-Content-Type-Options nosniff;
    • 例如,X-XSS-Protection 标头启用跨域脚本(XSS)过滤,这可防止浏览器在 Nginx 响应中包含潜在的恶意内容:

      add_header X-XSS-Protection "1; mode=block";
  • 您可以限制公开给公共的服务并限制从 visitors 执行的操作,例如:

    limit_except GET {
        allow 192.168.1.0/32;
        deny  all;
    }

    该代码片段将限制对除 GETHEAD 以外的所有方法的访问。

  • 您可以禁用 HTTP 方法,例如:

    # Allow GET, PUT, POST; return "405 Method Not Allowed" for all others.
    if ( $request_method !~ ^(GET|PUT|POST)$ ) {
        return 405;
    }
  • 您可以配置 SSL 来保护 Nginx web 服务器提供的数据,请考虑只通过 HTTPS 提供它。另外,您可以使用 Mozilla SSL Configuration Generator 生成在 Nginx 服务器中启用 SSL 的安全配置配置文件。生成的配置可确保禁用已知存在安全漏洞的协议(如 SSLv2 和 SSLv3、密码和哈希算法(如 3DES 和 MD5)。您还可以使用 SSL 服务器测试验证您的配置是否满足现代安全要求。

6.6. 通过限制对经过身份验证的本地用户的访问来保护 PostgreSQL

PostgreSQL 是一个对象关联的数据库管理系统(DBMS)。在 Red Hat Enterprise Linux 中,PostgreSQL 由 postgresql-server 软件包提供。

您可以通过配置客户端身份验证来降低攻击风险。pg_hba.conf 配置文件存储在数据库集群的数据目录中用来控制客户端身份验证。按照以下步骤为基于主机的身份验证配置 PostgreSQL。

流程

  1. 安装 PostgreSQL:

    # yum install postgresql-server
  2. 使用以下选项之一初始化数据库存储区域:

    1. 使用 initdb 工具:

      $ initdb -D /home/postgresql/db1/

      带有 -D 选项的 initdb 命令创建您指定的目录(如果尚未存在),例如 /home/postgresql/db1/。此目录随后包含数据库中存储的所有数据,以及客户端身份验证配置文件。

    2. 使用 postgresql-setup 脚本:

      $ postgresql-setup --initdb

      默认情况下,该脚本使用 /var/lib/pgsql/data/ 目录。此脚本可帮助系统管理员具有基本数据库集群管理。

  3. 要允许任何通过身份验证的本地用户使用的用户名访问任何数据库,请在 pg_hba.conf 文件中修改以下行:

    local   all             all                                     trust

    当使用创建数据库用户的层次应用程序且没有本地用户时,这可能会出现问题。如果您不想显式控制系统上的所有用户名,请从 pg_hba.conf 文件中删除 本地 行条目。

  4. 重启数据库以应用更改:

    # systemctl restart postgresql

    上一命令更新数据库,并且验证配置文件的语法。

6.7. 保护 Memcached 服务

Memcached 是一个开源、高性能、分布式内存对象缓存系统。它可通过降低数据库负载来提高动态 Web 应用程序的性能。

Memcached 是一个内存中键值存储,用于用于包括数据库调用、API 调用或页面渲染的小块数据,如字符串和对象。Memcached 允许将内存从未被充分利用的区域分配给需要更多内存的应用程序。

在 2018 年,发现了 DDoS amplification 攻击的漏洞。这些攻击利用了使用 UDP 协议进行传输的 Memcached 通信。攻击是有效的,因为具有几百字节的请求可以生成几兆字节甚至几百 MB 的请求。

在大多数情况下,memcached 服务不需要公开给公共互联网。此类暴露可能存在自己的安全问题,允许远程攻击者泄漏或修改 Memcached 中存储的信息。

按照 部分,使用 Memcached 服务强化系统免受可能的 DDoS 攻击。

6.7.1. 针对 DDoS 强化 Memcached

要缓解安全风险,请根据您的配置执行以下步骤。

流程

  • 在 LAN 中配置防火墙。如果您的 Memcached 服务器应该只在本地网络访问,请不要将外部流量路由到 memcached 服务使用的端口。例如,从允许的端口列表中删除默认端口 11211

    # firewall-cmd --remove-port=11211/udp
    # firewall-cmd --runtime-to-permanent
  • 如果您在与应用程序相同的机器上使用单个 Memcached 服务器,请将 memcached 设置为仅侦听 localhost 流量。修改 /etc/sysconfig/memcached 文件中的 OPTIONS 值:

    OPTIONS="-l 127.0.0.1,::1"
  • 启用简单身份验证和安全层(SASL)身份验证:

    1. 修改或添加 /etc/sasl2/memcached.conf 文件:

      sasldb_path: /path.to/memcached.sasldb
    2. 在 SASL 数据库中添加帐户:

      # saslpasswd2 -a memcached -c cacheuser -f /path.to/memcached.sasldb
    3. 确保可通过 memcached 用户和组访问数据库:

      # chown memcached:memcached /path.to/memcached.sasldb
    4. 通过在 /etc/sysconfig/memcached 文件中的 OPTIONS 参数中添加 -S 值来启用 Memcached 中的 SASL 支持:

      OPTIONS="-S"
    5. 重启 Memcached 服务器以应用更改:

      # systemctl restart memcached
    6. 将 SASL 数据库中创建的用户名和密码添加到应用程序的 Memcached 客户端配置中。
  • 使用 TLS 加密 Memcached 客户端和服务器之间的通信:

    1. 通过将 -Z 值添加到 /etc/sysconfig/memcached 文件中的 OPTIONS 参数,启用 Memcached 客户端和服务器之间的加密通信:

      OPTIONS="-Z"
    2. 使用 -o ssl_chain_cert 选项,以 PEM 格式添加证书链文件路径。
    3. 使用 -o ssl_key 选项添加私钥文件路径。

第 7 章 使用 MACsec 加密同一物理网络中的第 2 层流量

您可以使用 MACsec 来保护两个设备(点到点)之间的通信。例如,您的分支办公室通过带中央办公室的自治区连接连接,您可以在连接办公室的两个主机上配置 MACsec,以提高安全性。

介质访问控制安全(MACsec)是一种第 2 层的协议,用于保护以太网链路上的不同的流量类型,包括:

  • 动态主机配置协议(DHCP)
  • 地址解析协议(ARP)
  • 互联网协议版本 4 / 6(IPv4 / IPv6)以及
  • 任何使用 IP的流量(如 TCP 或 UDP)

MACsec 默认使用 GCM-AES-128 算法加密并验证 LAN 中的所有流量,并使用预共享密钥在参与的主机之间建立连接。如果要更改预共享密钥,您需要更新网络中使用 MACsec 的所有主机上的 NM 配置。

MACsec 连接将以太网设备(如以太网网卡、VLAN 或隧道设备)用作父设备。您可以只在 MACsec 设备上设置 IP 配置,以便只使用加密连接与其他主机进行通信,也可以在父设备上设置 IP 配置。在后者的情况下,您可以使用父设备使用未加密连接和 MACsec 设备加密连接与其他主机通信。

macsec 不需要任何特殊硬件。例如,您可以使用任何交换机,除非您只想在主机和交换机之间加密流量。在这种情况下,交换机还必须支持 MACsec。

换句话说,有两种常用的方法来配置 MACsec:

  • 主机到主机,和
  • 主机到交换机,然后交换机到其他主机
重要

您只能在相同(物理或虚拟)LAN 的主机间使用 MACsec。

7.1. 使用 nmcli 配置 MACsec 连接

您可以使用 nmcli 实用程序将以太网接口配置为使用 MACsec。这个步骤描述了如何在通过以太网连接的两个主机之间创建 MACsec 连接。

流程

  1. 在配置 MACsec 的第一个主机上:

    • 为预共享密钥创建连接关联密钥(CAK)和连接密钥名称(CKN):

      1. 创建一个 16 字节十六进制 CAK:

        # dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
        50b71a8ef0bd5751ea76de6d6c98c03a
      2. 创建一个 32 字节十六进制 CKN:

        # dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
        f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
  2. 在您要通过 MACsec 连接连接的两个主机上:
  3. 创建 MACsec 连接:

    # nmcli connection add type macsec con-name macsec0 ifname macsec0 connection.autoconnect yes macsec.parent enp1s0 macsec.mode psk macsec.mka-cak 50b71a8ef0bd5751ea76de6d6c98c03a macsec.mka-ckn f2b4297d39da7330910a7abc0449feb45b5c0b9fc23df1430e1898fcf1c4550

    macsec.mka-cakmacsec.mka-ckn 参数中使用上一步生成的 CAK 和 CKN。在 MACsec-protected 网络的每个主机上,这些值必须相同。

  4. 配置 MACsec 连接中的 IP 设置。

    1. 配置 IPv4 设置。例如,要为 macsec0 连接设置静态 IPv4 地址、网络掩码、默认网关和 DNS 服务器,请输入:

      # nmcli connection modify macsec0 ipv4.method manual ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253'
    2. 配置 IPv6 设置。例如,要为 macsec0 连接设置静态 IPv6 地址、网络掩码、默认网关和 DNS 服务器,请输入:

      # nmcli connection modify macsec0 ipv6.method manual ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd'
  5. 激活连接:

    # nmcli connection up macsec0

验证步骤

  1. 验证流量是否已加密:

    # tcpdump -nn -i enp1s0
  2. 可选:显示未加密的流量:

    # tcpdump -nn -i macsec0
  3. 显示 MACsec 统计:

    # ip macsec show
  4. 显示在每种保护类型中的各个计数器:完整性 -only(加密)和加密(加密)

    # ip -s macsec show

7.2. 其他资源