Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

6.9. Protéger la base de données IPsec NSS par un mot de passe

Par défaut, le service IPsec crée sa base de données NSS (Network Security Services) avec un mot de passe vide lors du premier démarrage. Ajoutez une protection par mot de passe en suivant les étapes suivantes.

Conditions préalables

  • Le répertoire /var/lib/ipsec/nss/ contient les fichiers de la base de données NSS.

Procédure

  1. Activer la protection par mot de passe de la base de données NSS pour Libreswan : 

    # certutil -N -d sql:/var/lib/ipsec/nss
Enter Password or Pin for "NSS Certificate DB":
Enter a password which will be used to encrypt your keys.
The password should be at least 8 characters long,
and should contain at least one non-alphabetic character.

Enter new password:
    Copy to Clipboard Toggle word wrap

  2. Créez le fichier /etc/ipsec.d/nsspassword contenant le mot de passe que vous avez défini à l'étape précédente, par exemple : 

    # cat /etc/ipsec.d/nsspassword
NSS Certificate DB:MyStrongPasswordHere
    Copy to Clipboard Toggle word wrap

    Notez que le fichier nsspassword utilise la syntaxe suivante : 

    token_1_name:the_password
token_2_name:the_password
    Copy to Clipboard Toggle word wrap

    Le jeton par défaut du logiciel NSS est NSS Certificate DB. Si votre système fonctionne en mode FIPS, le nom du jeton est NSS FIPS 140-2 Certificate DB.

  3. Selon votre scénario, démarrez ou redémarrez le service ipsec après avoir terminé le fichier nsspassword: 

    # systemctl restart ipsec
    Copy to Clipboard Toggle word wrap

Vérification

  1. Vérifiez que le service ipsec fonctionne après avoir ajouté un mot de passe non vide à sa base de données NSS : 

    # systemctl status ipsec
● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
   Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable>
   Active: active (running)...
    Copy to Clipboard Toggle word wrap

  2. En option, vérifiez que le journal Journal contient des entrées confirmant la réussite de l'initialisation : 

    # journalctl -u ipsec
...
pluto[6214]: Initializing NSS using read-write database "sql:/var/lib/ipsec/nss"
pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS
pluto[6214]: NSS crypto library initialized
...
    Copy to Clipboard Toggle word wrap
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat