6.10. Libreswan でのレガシー暗号およびアルゴリズムの有効化
RHEL はシステム全体の暗号化ポリシーを使用して、Libreswan を含むすべてのアプリケーションに対して一貫性のあるセキュアなベースラインを適用します。このポリシーにより、IPsec と Internet Key Exchange (IKE) で、強力で最新の暗号化暗号とアルゴリズムのみがデフォルトで使用されるようになります。しかし、場合によっては、他の IPsec ピアとの下位互換性を保つために、セキュリティーを意図的に下げる必要があります。
RHEL のシステム全体の暗号化ポリシーでは、%default
と呼ばれる特別な接続が作成されます。この接続により、keyexchange
、esp
、および ike
パラメーターのデフォルト値が設定されます。
前提条件
- Libreswan がインストールされている。
手順
RHEL システム全体の暗号化ポリシーによって設定されたデフォルトをオーバーライドするには、接続設定に
keyexchange
、esp
、およびike
パラメーターを追加し、必要な値に設定します。以下に例を示します。conn <connection_name> keyexchange=ikev1 ike=aes-sha2,aes-sha1;modp2048 esp=aes-sha2,aes-sha1 ...
conn <connection_name> keyexchange=ikev1 ike=aes-sha2,aes-sha1;modp2048 esp=aes-sha2,aes-sha1 ...
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec
サービスを再起動します。systemctl restart ipsec
# systemctl restart ipsec
Copy to Clipboard Copied! Toggle word wrap Toggle overflow