Неможливо створити Асоціацію безпеки в CentOS 7.4 за допомогою Setkey

1

Мене попросили перейти з CentOS 6.8 на 7.4 на всіх наших Linux-пристроях. У мене виникає проблема із завантаженням Асоціацій безпеки в ядро ​​Linux. Для цього я використовую ipsec-tools setkey. Спочатку в CentOS 6.8 це добре працювало з визначеним ключем та алгоритмом (192-бітний ключ 3des-cbc) у файлі setkey.conf. Я міг би ввести "setkey -D" і побачити перелічені там SA.

У CentOS 7.4 він не завантажує SA. В обох випадках у мене є параметр "fips = 1" в командному рядку Grub під час завантаження, який повинен примусити відповідати FIPS. Я виявив, що якщо я видаляю параметр "fips = 1" у виписці командного рядка grub з мого вікна під керуванням CentOS 7.4, він успішно завантажить SA. Це змушує мене думати, що відповідність FIPS змінилася між CentOS 6.8 і CentOS 7.4 і що 3des-cbc вже не є затвердженим алгоритмом.

Я намагався відійти від використання ipsec-інструментарію setkey і замість цього використовую ip xfrm для його завантаження, але отримую ті самі результати. Я ще не намагався використовувати openswan, але вважаю, що він намагається виконати те саме, завантаживши SA в ядро ​​і; тому я розраховую натрапити на ту ж проблему.

Ось додаткові деталі:

СЦЕНАРІЯ 1:

  • CentOS 6.8
  • Ядро: 2.6.32-642.6.2.el6.x86_64
  • ipsec-інструменти 0.8.2-1
  • Операційний командний рядок Grub включає фіпс = 1

Файл setkey.conf містить:

# Flush the SAD and SPD
flush;
spdflush;

# ESP SAs using 192 bit long keys (168 + 24 parity)
add 0.0.0.0 192.168.121.138 esp 0x201 -E 3des-cbc
<OUR KEY>;

# Security policies
spdadd 0.0.0.0/0 [any] 192.168.121.138 [1960] any -P in ipsec
esp/transport//require;

СЦЕНАРІЯ 2:

  • CentOS 7.4
  • Ядро: 3.10.0-693.11.1.el7.x86_64
  • ipsec-інструменти 0.8.2-1
  • Операційний командний рядок Grub включає фіпс = 1
  • Файл setkey.conf такий же, як і вище.

У цій конфігурації setkey -D повертає помилку, кажучи: "Немає записів SAD". Якщо я спробую прочитати файл setkey.conf в ядро ​​за допомогою "setkey -f /etc/setkey.conf", то я отримаю помилку, сказавши: "The результат рядка 10: (NULL). "

Чи є кращий спосіб завантажити SA в ядро ​​Linux? Чи 3des-cbc більше не вважається сумісним з FIPS? Чи слід переходити до іншого алгоритму шифрування, сумісного з FIPS? Якщо так, то який алгоритм, як очікується, залишиться сумісним у майбутньому?

linux  centos  linux-kernel  ipsec 
dutsnekcirf
джерело

Відповіді:

0

Відсутність підтримки у світі дистрибутивів RHEL / CentOS є навмисною. Redhat вирішив зняти підтримку ipsec-toolsі згадує про це на своїх головних сторінках для RHEL 6/7:

Пакет ipsec-інструментів був застарілий на користь openswan. Наразі немає активної розробки чи обслуговування для проекту ipsec-інструментів.

ПРИМІТКА. Це стосується і CentOS 6/7.

Я б запропонував використовувати один із * SWAN-проектів, таких як OpenSWAN, LibreSWAN або StrongSWAN.

слм
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.