6.9. パスワードによる IPsec NSS データベースの保護

手順

1. Libreswan の NSS データベースのパスワード保護を有効にします。

   # certutil -N -d sql:/var/lib/ipsec/nss
   Enter Password or Pin for "NSS Certificate DB":
   Enter a password which will be used to encrypt your keys.
   The password should be at least 8 characters long,
   and should contain at least one non-alphabetic character.
   
   Enter new password:

   Copy to Clipboard Toggle word wrap

2. 前の手順で設定したパスワードを含む /etc/ipsec.d/nsspassword ファイルを作成します。以下はその例です。

   # cat /etc/ipsec.d/nsspassword
   NSS Certificate DB:_<password>_

   Copy to Clipboard Toggle word wrap

   nsspassword ファイルは次の構文を使用します。

   <token_1>:<password1>
   <token_2>:<password2>

   Copy to Clipboard Toggle word wrap

   デフォルトの NSS ソフトウェアトークンは NSS Certificate DB です。システムが FIPS モードで実行し場合は、トークンの名前が NSS FIPS 140-2 Certificate DB になります。

3. 選択したシナリオに応じて、nsspassword ファイルの完了後に ipsec サービスを起動または再起動します。

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

検証

1. NSS データベースに空でないパスワードを追加した後に、ipsec サービスが実行中であることを確認します。

   # systemctl status ipsec
   ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
      Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable>
      Active: active (running)...

   Copy to Clipboard Toggle word wrap

2. Journal ログに初期化が成功したことを確認するエントリーが含まれていることを確認します。

   # journalctl -u ipsec
   ...
   pluto[6214]: Initializing NSS using read-write database "sql:/var/lib/ipsec/nss"
   pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS
   pluto[6214]: NSS crypto library initialized
   ...

   Copy to Clipboard Toggle word wrap