Невозможно создать ассоциацию безопасности в CentOS 7.4 с помощью Setkey

264
dutsnekcirf

Меня попросили перейти с CentOS 6.8 на 7.4 на всех наших устройствах Linux. У меня проблема с загрузкой ассоциаций безопасности в ядро ​​Linux. Я использую реализацию setkey для ipsec-tools. Первоначально в CentOS 6.8 это работало нормально с ключом и определенным алгоритмом (192-битный ключ 3des-cbc) в файле setkey.conf. Я мог бы ввести "setkey -D" и увидеть там SA.

В CentOS 7.4 не удается загрузить SA. В обоих случаях у меня установлен параметр "fips = 1" в операторе командной строки Grub при загрузке, который должен обеспечивать соответствие FIPS. Я обнаружил, что если я удаляю параметр «fips = 1» в операторе командной строки grub на моем компьютере под управлением CentOS 7.4, он успешно загружает SA. Это заставляет меня думать, что соответствие FIPS изменилось между CentOS 6.8 и CentOS 7.4 и что 3des-cbc больше не является утвержденным алгоритмом.

Я попытался отказаться от использования setkey в ipsec-tools и вместо этого использовать ip xfrm для его загрузки, но я получаю те же результаты. Я еще не пытался использовать openswan, но полагаю, что он пытается сделать то же самое, загрузив SA в ядро ​​и; поэтому я ожидаю столкнуться с той же проблемой.

Вот дальнейшие детали:

СЦЕНАРИЙ 1:

  • CentOS 6,8
  • Ядро: 2.6.32-642.6.2.el6.x86_64
  • ipsec-tools 0.8.2-1
  • Оператор командной строки Grub включает в себя fips = 1

Файл setkey.conf содержит:

# Flush the SAD and SPD flush; spdflush;  # ESP SAs using 192 bit long keys (168 + 24 parity) add 0.0.0.0 192.168.121.138 esp 0x201 -E 3des-cbc <OUR KEY>;  # Security policies spdadd 0.0.0.0/0 [any] 192.168.121.138 [1960] any -P in ipsec esp/transport//require;

СЦЕНАРИЙ 2:

  • CentOS 7.4
  • Ядро: 3.10.0-693.11.1.el7.x86_64
  • ipsec-tools 0.8.2-1
  • Оператор командной строки Grub включает в себя fips = 1
  • Файл setkey.conf такой же, как указано выше.

В этой конфигурации setkey -D возвращает сообщение об ошибке: «Нет записей SAD». Если я пытаюсь прочитать файл setkey.conf в ядро ​​с помощью «setkey -f /etc/setkey.conf», то получаю сообщение об ошибке: « результат строки 10: (NULL). "

Есть ли лучший способ загрузить SA в ядро ​​Linux? 3des-cbc больше не считается FIPS-совместимым? Должны ли мы перейти на другой алгоритм шифрования, совместимый с FIPS? Если да, то какой алгоритм должен оставаться совместимым в обозримом будущем?

1

1 ответ на вопрос

0
slm

Отсутствие поддержки в мире дистрибутивов RHEL / CentOS является преднамеренным. Redhat решил отказаться от поддержки ipsec-toolsи упоминает об этом на своих основных страницах для RHEL 6/7:

Пакет ipsec-tools устарел в пользу openswan. В настоящее время не ведется активная восходящая разработка или сопровождение проекта ipsec-tools.

ПРИМЕЧАНИЕ. Это относится и к CentOS 6/7.

Я бы предложил использовать один из проектов * SWAN, например OpenSWAN, LibreSWAN или StrongSWAN.

Похожие вопросы