ホーム
製品
Red Hat Enterprise Linux
10
ネットワークの設定および管理
6.7. パスワードによる IPsec NSS データベースの保護

6.7. パスワードによる IPsec NSS データベースの保護

デフォルトでは、/var/lib/ipsec/nss/ ディレクトリー内の IPsec ネットワークセキュリティーサービス (NSS) データベースにアクセスできるのは root ユーザーのみです。さらに、このデータベースをパスワードで保護することもできます。これは RHEL を Federal Information Processing Standards (FIPS) モードで実行する場合に必要です。

前提条件

/var/lib/ipsec/nss/ ディレクトリーに NSS データベースが含まれている。

手順

Libreswan NSS データベースのパスワード保護を有効にします。
```
# certutil -W -d /var/lib/ipsec/nss/
```
現在のパスワードを入力します。
```
Enter Password or Pin for "NSS Certificate DB": <password>
```
現在データベースがパスワードで保護されていない場合は、Enter を押します。

新しいパスワードを入力します。

Enter new password: <new_password>
Re-enter password: <new_password>

データベースのロックを解除するために、ipsec サービスに /etc/ipsec.d/nsspassword ファイルが必要です。次の内容のファイルを作成します。
- ホストが FIPS モードで実行されていない場合:
  NSS Certificate DB:<password>
- ホストが FIPS モードで実行されている場合:
  NSS FIPS 140-2 Certificate DB:<password>

/etc/ipsec.d/nsspassword ファイルにセキュアな権限を設定します。

# chmod 600 /etc/ipsec.d/nsspassword
# chown root:root /etc/ipsec.d/nsspassword

ipsec サービスを再起動します。
```
# systemctl restart ipsec
```

検証

ipsec サービスが実行されていることを確認します。
```
# systemctl is-active ipsec
```
コマンドで active が返された場合、サービスはパスワードファイルを使用して NSS データベースのロックを正常に解除します。
NSS データベースでパスワードを必要とするアクションを実行します。たとえば、秘密鍵を表示します。
```
# certutil -K -d /var/lib/ipsec/nss/
certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
Enter Password or Pin for "NSS Certificate DB":
```
コマンドによってパスワードが要求されることを確認します。

6.7. パスワードによる IPsec NSS データベースの保護

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links