6.9. Protéger la base de données IPsec NSS par un mot de passe

Procédure

1. Activer la protection par mot de passe de la base de données NSS pour Libreswan :

   # certutil -N -d sql:/var/lib/ipsec/nss
   Enter Password or Pin for "NSS Certificate DB":
   Enter a password which will be used to encrypt your keys.
   The password should be at least 8 characters long,
   and should contain at least one non-alphabetic character.
   
   Enter new password:

2. Créez le fichier /etc/ipsec.d/nsspassword contenant le mot de passe que vous avez défini à l'étape précédente, par exemple :

   # cat /etc/ipsec.d/nsspassword
   NSS Certificate DB:MyStrongPasswordHere

   Notez que le fichier nsspassword utilise la syntaxe suivante :

   token_1_name:the_password
   token_2_name:the_password

   Le jeton par défaut du logiciel NSS est NSS Certificate DB. Si votre système fonctionne en mode FIPS, le nom du jeton est NSS FIPS 140-2 Certificate DB.

3. Selon votre scénario, démarrez ou redémarrez le service ipsec après avoir terminé le fichier nsspassword:

   # systemctl restart ipsec

Vérification

1. Vérifiez que le service ipsec fonctionne après avoir ajouté un mot de passe non vide à sa base de données NSS :

   # systemctl status ipsec
   ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
      Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable>
      Active: active (running)...

2. En option, vérifiez que le journal Journal contient des entrées confirmant la réussite de l'initialisation :

   # journalctl -u ipsec
   ...
   pluto[6214]: Initializing NSS using read-write database "sql:/var/lib/ipsec/nss"
   pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS
   pluto[6214]: NSS crypto library initialized
   ...