5.9. 암호로 IPsec NSS 데이터베이스 보호

프로세스

1. Libreswan에 대한 NSS 데이터베이스에 대한 암호 보호를 활성화합니다.

   # certutil -N -d sql:/etc/ipsec.d
   Enter Password or Pin for "NSS Certificate DB":
   Enter a password which will be used to encrypt your keys.
   The password should be at least 8 characters long,
   and should contain at least one non-alphabetic character.
   
   Enter new password:

   Copy to Clipboard Toggle word wrap

2. 이전 단계에서 설정한 암호가 포함된 /etc/ipsec.d/nsspassword 파일을 만듭니다. 예를 들면 다음과 같습니다.

   # cat /etc/ipsec.d/nsspassword
   NSS Certificate DB:_<password>_

   Copy to Clipboard Toggle word wrap

   nsspassword 파일은 다음 구문을 사용합니다.

   <token_1>:<password1>
   <token_2>:<password2>

   Copy to Clipboard Toggle word wrap

   기본 NSS 소프트웨어 토큰은 NSS Certificate DB 입니다. 시스템이 FIPS 모드에서 실행 중인 경우 토큰 이름은 NSS FIPS 140-2 Certificate DB 입니다.

3. 시나리오에 따라 nsspassword 파일을 완료한 후 ipsec 서비스를 시작하거나 다시 시작합니다.

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

검증

1. NSS 데이터베이스에 비어 있지 않은 암호를 추가한 후 ipsec 서비스가 실행 중인지 확인합니다.

   # systemctl status ipsec
   ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
      Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable>
      Active: active (running)...

   Copy to Clipboard Toggle word wrap

2. 저널 로그에 초기화에 성공했는지 확인하는 항목이 포함되어 있는지 확인합니다.

   # journalctl -u ipsec
   ...
   pluto[6214]: Initializing NSS using read-write database "sql:/etc/ipsec.d"
   pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS
   pluto[6214]: NSS crypto library initialized
   ...

   Copy to Clipboard Toggle word wrap