Red Hat Summit6.7. 암호로 IPsec NSS 데이터베이스 보호
기본적으로 root 사용자만 /var/lib/ipsec/nss/ 디렉터리의 IPsec Network Security Services(NSS) 데이터베이스에 액세스할 수 있습니다. 원하는 경우 암호로 데이터베이스를 추가로 보호할 수 있습니다. 예를 들어 FIPS(Federal Information Processing Standard) 모드에서 RHEL을 실행하는 경우 필요합니다.
사전 요구 사항
-
/var/lib/ipsec/nss/디렉터리에는 NSS 데이터베이스가 포함되어 있습니다.
프로세스
Libreswan NSS 데이터베이스에 대한 암호 보호를 활성화합니다.
certutil -W -d /var/lib/ipsec/nss/
# certutil -W -d /var/lib/ipsec/nss/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 현재 암호를 입력합니다.
Enter Password or Pin for "NSS Certificate DB": <password>
Enter Password or Pin for "NSS Certificate DB": <password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 데이터베이스가 현재 암호로 보호되지 않은 경우 Enter 키를 누릅니다.
새 암호를 입력합니다.
Enter new password: <new_password> Re-enter password: <new_password>
Enter new password: <new_password> Re-enter password: <new_password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 데이터베이스 잠금을 해제하려면
ipsec서비스에/etc/ipsec.d/nsspassword파일이 필요합니다. 다음 콘텐츠를 사용하여 파일을 생성합니다.호스트가 FIPS 모드에서 실행되지 않는 경우:
NSS Certificate DB:<password>
NSS Certificate DB:<password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 호스트가 FIPS 모드에서 실행되는 경우:
NSS FIPS 140-2 Certificate DB:<password>
NSS FIPS 140-2 Certificate DB:<password>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
/etc/ipsec.d/nsspassword파일에 대한 보안 권한을 설정합니다.chmod 600 /etc/ipsec.d/nsspassword chown root:root /etc/ipsec.d/nsspassword
# chmod 600 /etc/ipsec.d/nsspassword # chown root:root /etc/ipsec.d/nsspasswordCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipsec서비스를 다시 시작하십시오.systemctl restart ipsec
# systemctl restart ipsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
ipsec서비스가 실행 중인지 확인합니다.systemctl is-active ipsec
# systemctl is-active ipsecCopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령이
활성을 반환하면 서비스는 암호 파일을 성공적으로 사용하여 NSS 데이터베이스의 잠금을 해제합니다.암호가 필요한 NSS 데이터베이스에서 작업을 수행합니다. 예를 들어 개인 키를 표시합니다.
certutil -K -d /var/lib/ipsec/nss/
# certutil -K -d /var/lib/ipsec/nss/ certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services" Enter Password or Pin for "NSS Certificate DB":Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령이 암호를 입력하라는 메시지를 표시하는지 확인합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}