マニュアルキープログラム

ipsecesp(7P) ネットワークセキュリティサービスと ipsecah(7P) ネットワークセキュリティサービスでセキュリティアソシエーションデータベースを手動で操作するには、ipseckey(1M) コマンドを使用します。また、自動キー管理が無効な場合に、通信パーティ間のセキュリティアソシエーションをセットアップするときも、ipseckey コマンドを使用します。

ipseckey コマンドには少数の一般オプションしかありませんが、多くのコマンド言語をサポートしています。マニュアルキー操作に固有のプログラムインタフェースで要求を配信するように指定することもできます。詳細については、pf_key(7P) のマニュアルページを参照してください。引数なしで ipseckey を呼び出すと、対話モードになり、エントリを入力できるプロンプトが表示されます。コマンドによっては、明示的なセキュリティアソシエーション (SA) タイプが必要ですが、それ以外は、ユーザーが SA を指定すれば、すべての SA タイプで動作します。

セキュリティについて

ipseckey コマンドでは、微妙な暗号キー情報を扱います。特権ユーザーは暗号キー情報を入力できます。場合によっては、不正にこの情報をアクセスして IPsec トラフィックを損なうことも可能です。ipseckey コマンドを使用するときは、次のことに注意してください。

1. TTY がネットワークに接続されているか (対話モードになっているか)。

   • 接続されている場合は、キー情報のセキュリティは、TTY のトラフィックに対応するネットワークパスのセキュリティになります。clear-text telnet や rlogin セッションでは、ipseckey(1M) を使用しないでください。

   • ローカルウィンドウでも、ウィンドウを読み取ることのできる隠密プログラムからの侵害には無防備です。

2. ファイルがネットワーク経由でアクセス状態にあるか、または外部から読み取り可能な状態になっているか (-f オプション)。

   • ネットワークマウントファイルの読み取り時に、不正に読み取ることができます。外部から読み取れるファイルにキー情報を保存して使用しないでください。

   • ネットワークで参照できるホストがソースアドレスで、指定システム自体の安全性に問題がある場合、使用される名前は信用できません。

セキュリティの弱点は、ツール自体ではなく、ツールの使用方法にあります。ipseckey を使用するときは注意が必要です。各操作の最も安全なモードでコンソールを使用するか、ハード接続の TTY を使用してください。