Безопасность и оптимизация Linux.Редакция для Red Hat

       

Настройка файла “/etc/ipsec.secrets”


В файле “ipsec.secrets” хранятся секреты используемые демоном pluto для установления подлинности передачи между шлюзами. Может быть настроено два типа секретов preshared секреты и приватные ключи RSA. Вы должны проверить, чтобы владельцем файла был “root” и только он должен иметь право доступа к файлу.

Шаг 1

Пример секрета поставляется в файле “ipsec.secrets” по умолчанию. Вы должны изменить его на свой собственный. С автоматической поддержкой ключей вы можете разделять секрет до 256 бит, которые затем используются во время обмена ключами, чтобы не происходили атаки man-in-the-middle.

Для создания общего секрета используйте команду:

[root@deep /]# ipsec ranbits 256 > temp

Сейчас будут созданы случайные ключи при помощи утилиты ranbits(8) в файл с именем “temp”. Утилита ranbits может приостанавливаться на несколько секунд если не было доступно немедленно достаточно энтропии.

ЗАМЕЧАНИЕ. Не забудьте удалить временный файл как только закончите все манипуляции с ним.

Шаг 2

Сейчас, наш общий секретный ключ созданный в файле “temp”, мы должны положить в файл “/etc/ipsec.secrets”. Когда вы редактируете файл “ipsec.secrets” вы должны видеть нечто подобное в вашем текстовом редакторе. Каждая строка содержит IP адреса двух шлюзов и секрет:

# Этот файл хранит общий секрет, который сейчас используется только для # внутреннего механизма аутентификации Pluto. Смотрите страницу # руководства ipsec_pluto(8). Каждый секрет (немного упрощенный) для одной # пары договаривающихся хостов. Общий секрет это длинная и сложная для # угадывания произвольная символьная строка # Заметим, что все секреты должны быть заключены в кавычки, даже если они # не имеют в своем составе пробелов. 10.0.0.1 11.0.0.1 “jxVS1kVUTTulkVRRTnTujSm444jRuU1mlkklku2nkW3nnVuV2 WjjRRnulmlkmU1Run5VSnnRT"

Редактируйте файл ipsec.secrets (vi /etc/ipsec.secrets) и измените секретный ключ принятый по умолчанию:

10.0.0.1 11.0.0.1 "jxVS1kVUTTulkVRRTnTujSm444jRuU1mlkklku2nkW3nnVuV2WjjRRnulmlkmU1Run5VSnnRT"


Должен быть:

208.164.186.1 208.164.186.2 "0x9748cc31_2e99194f_d230589b_cd846b57_dc070b01_74b66f34_19c40a1a_804906ed"

где “208.164.186.1" и “208.164.186.2" IP адреса двух шлюзов и "0x9748cc31_2e99194f_d230589b_cd846b57_dc070b01_74b66f34_19c40a1a_8049 06ed" (кавычки обязательно нужны) – общий ключ, который мы создали командой “ipsec ranbits 256 > temp” в файле “temp”.

Шаг 3

Файлы “ipsec.conf” и “ipsec.secrets” должны быть скопированы на второй шлюз, так, чтобы они были идентичны на обоих концах. Только одно исключение может быть в секции с меткой config setup, где должен быть указан правильный интерфейс. Файл “ipsec.secrets” должен иметь абсолютно одинаковые секреты на обоих шлюзах.

ЗАМЕЧАНИЕ. Файл “/etc/ipsec.secrets” должен иметь права доступа rw------- (600) и его владельцем должен быть пользователь “root”. Файл “/etc/ipsec.conf” инсталлируется с правами rw-r--r— (644) и его владельцем также является суперпользователь “root”.


Содержание раздела