1

Меня попросили перейти с CentOS 6.8 на 7.4 на всех наших устройствах Linux. У меня проблема с загрузкой ассоциаций безопасности в ядро Linux. Я использую реализацию setkey для ipsec-tools. Первоначально в CentOS 6.8 это работало нормально с ключом и определенным алгоритмом (192-битный ключ 3des-cbc) в файле setkey.conf. Я мог бы ввести "setkey -D" и увидеть там SA.

В CentOS 7.4 не удается загрузить SA. В обоих случаях у меня установлен параметр "fips = 1" в операторе командной строки Grub при загрузке, который должен обеспечивать соответствие FIPS. Я обнаружил, что если я удаляю параметр «fips = 1» в операторе командной строки grub на моем компьютере под управлением CentOS 7.4, он успешно загружает SA. Это заставляет меня думать, что соответствие FIPS изменилось между CentOS 6.8 и CentOS 7.4 и что 3des-cbc больше не является утвержденным алгоритмом.

Я попытался отказаться от использования setkey в ipsec-tools и вместо этого использовать ip xfrm для его загрузки, но я получаю те же результаты. Я еще не пытался использовать openswan, но полагаю, что он пытается сделать то же самое, загрузив SA в ядро и; поэтому я ожидаю столкнуться с той же проблемой.

Вот дальнейшие детали:

СЦЕНАРИЙ 1:

  • CentOS 6,8
  • Ядро: 2.6.32-642.6.2.el6.x86_64
  • ipsec-tools 0.8.2-1
  • Оператор командной строки Grub включает в себя fips = 1

Файл setkey.conf содержит:

# Flush the SAD and SPD
flush;
spdflush;

# ESP SAs using 192 bit long keys (168 + 24 parity)
add 0.0.0.0 192.168.121.138 esp 0x201 -E 3des-cbc
<OUR KEY>;

# Security policies
spdadd 0.0.0.0/0 [any] 192.168.121.138 [1960] any -P in ipsec
esp/transport//require;

СЦЕНАРИЙ 2:

  • CentOS 7.4
  • Ядро: 3.10.0-693.11.1.el7.x86_64
  • ipsec-tools 0.8.2-1
  • Оператор командной строки Grub включает в себя fips = 1
  • Файл setkey.conf такой же, как указано выше.

В этой конфигурации setkey -D возвращает сообщение об ошибке: "Нет записей SAD". Если я пытаюсь прочитать файл setkey.conf в ядро с помощью «setkey -f /etc/setkey.conf», то получаю сообщение об ошибке: « результат строки 10: (NULL). "

Есть ли лучший способ загрузить SA в ядро Linux? 3des-cbc больше не считается FIPS-совместимым? Должны ли мы перейти на другой алгоритм шифрования, совместимый с FIPS? Если да, то какой алгоритм должен оставаться совместимым в обозримом будущем?

1 ответ1

0

Отсутствие поддержки в мире дистрибутивов RHEL/CentOS является преднамеренным. Redhat решил отказаться от поддержки ipsec-tools и упоминает об этом на своих основных страницах для RHEL 6/7:

Пакет ipsec-tools устарел в пользу openswan. В настоящее время не ведется активная восходящая разработка или сопровождение проекта ipsec-tools.

ПРИМЕЧАНИЕ. Это относится и к CentOS 6/7.

Я бы предложил использовать один из проектов * SWAN, например OpenSWAN, LibreSWAN или StrongSWAN.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .