Безопасность и оптимизация Linux.Редакция для Red Hat


Настройка файла “/etc/ipsec.secrets”


В файле “ipsec.secrets” хранятся секреты используемые демоном pluto для установления подлинности передачи между шлюзами. Может быть настроено два типа секретов preshared секреты и приватные ключи RSA. Вы должны проверить, чтобы владельцем файла был “root” и только он должен иметь право доступа к файлу.

Шаг 1

Пример секрета поставляется в файле “ipsec.secrets” по умолчанию. Вы должны изменить его на свой собственный. С автоматической поддержкой ключей вы можете разделять секрет до 256 бит, которые затем используются во время обмена ключами, чтобы не происходили атаки man-in-the-middle.

Для создания общего секрета используйте команду:

[root@deep /]# ipsec ranbits 256 > temp

Сейчас будут созданы случайные ключи при помощи утилиты ranbits(8) в файл с именем “temp”. Утилита ranbits может приостанавливаться на несколько секунд если не было доступно немедленно достаточно энтропии.

ЗАМЕЧАНИЕ. Не забудьте удалить временный файл как только закончите все манипуляции с ним.

Шаг 2

Сейчас, наш общий секретный ключ созданный в файле “temp”, мы должны положить в файл “/etc/ipsec.secrets”. Когда вы редактируете файл “ipsec.secrets” вы должны видеть нечто подобное в вашем текстовом редакторе. Каждая строка содержит IP адреса двух шлюзов и секрет:

# Этот файл хранит общий секрет, который сейчас используется только для # внутреннего механизма аутентификации Pluto. Смотрите страницу # руководства ipsec_pluto(8). Каждый секрет (немного упрощенный) для одной # пары договаривающихся хостов. Общий секрет это длинная и сложная для # угадывания произвольная символьная строка # Заметим, что все секреты должны быть заключены в кавычки, даже если они # не имеют в своем составе пробелов. 10.0.0.1 11.0.0.1 “jxVS1kVUTTulkVRRTnTujSm444jRuU1mlkklku2nkW3nnVuV2 WjjRRnulmlkmU1Run5VSnnRT"

Редактируйте файл ipsec.secrets (vi /etc/ipsec.secrets) и измените секретный ключ принятый по умолчанию:

10.0.0.1 11.0.0.1 "jxVS1kVUTTulkVRRTnTujSm444jRuU1mlkklku2nkW3nnVuV2WjjRRnulmlkmU1Run5VSnnRT"




- Начало -  - Назад -  - Вперед -



Книжный магазин