7.9. 使用密码保护 IPsec NSS 数据库
默认情况下,IPsec 服务在第一次启动时使用空密码创建其网络安全服务(NSS)数据库。要提高安全性,您可以添加密码保护。
先决条件
-
/var/lib/ipsec/nss/
目录包含 NSS 数据库文件。
流程
为 Libreswan 的
NSS
数据库启用密码保护:# certutil -N -d sql:/var/lib/ipsec/nss Enter Password or Pin for "NSS Certificate DB": Enter a password which will be used to encrypt your keys. The password should be at least 8 characters long, and should contain at least one non-alphabetic character. Enter new password:
创建
/etc/ipsec.d/nsspassword
文件,其包含您在之前步骤中设置的密码,例如:# cat /etc/ipsec.d/nsspassword NSS Certificate DB:_<password>_
nsspassword
文件使用以下语法:<token_1>:<password1> <token_2>:<password2>
默认的 NSS 软件令牌是
NSS 证书 数据库
。如果您的系统以 FIPS 模式运行,则令牌的名称为NSS FIPS 140-2 证书数据库
。根据您的场景,在完成了
nsspassword
文件后,启动或重启ipsec
服务:# systemctl restart ipsec
验证
在其 NSS 数据库中添加非空密码后,检查
ipsec
服务是否运行:# systemctl status ipsec ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable> Active: active (running)...
验证
检查
Journal
日志是否包含确认成功初始化的条目:# journalctl -u ipsec ... pluto[6214]: Initializing NSS using read-write database "sql:/var/lib/ipsec/nss" pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS pluto[6214]: NSS crypto library initialized ...
其他资源
-
在您的系统中的
certutil (1)
man page - 合规性活动和政府标准 知识库文章中的 FIPS 140-2 和 FIPS 140-3。