IKE(Internet 密钥交换)协议提供自动执行的 IPv4 和 IPv6 地址密钥管理。有关如何设置 IKE 的说明,请参见第 23 章。手动加密实用程序是 ipseckey 命令,在 ipseckey(1M) 手册页中对其进行了介绍。
可使用 ipseckey 命令手动填充安全关联数据库 (security associations database, SADB)。通常,由于某种原因而无法使用 IKE 时,会使用手动 SA 生成。但是,如果 SPI 值是唯一的,可以同时使用手动 SA 生成和 IKE。
ipseckey 命令可用于查看系统识别的所有 SA,无论密钥是手动添加的还是由 IKE 添加的。从 Solaris 10 4/09 发行版开始,借助 -c 选项,ipseckey 命令可检查作为参数提供的密钥文件的语法。
由 ipseckey 命令添加的 IPsec SA 在系统重新引导后不会保留。在当前发行版中,要在系统引导时启用手动添加的 SA,请将相应的项添加到 /etc/inet/secret/ipseckeys 文件,然后启用 svc:/network/ipsec/manual-key:default 服务。有关过程,请参见如何手动创建 IPsec 安全关联。
虽然 ipseckey 命令只有有限的常规选项,但是此命令支持丰富的命令语言。您可以指定使用专用于手动加密的程序接口发送请求。有关其他信息,请参见 pf_key(7P) 手册页。
超级用户或拥有网络安全或网络 IPsec 管理权限配置文件的角色可以使用 ipseckey 命令输入敏感的密钥加密信息。如果入侵者获得对此文件的访问权,便会威胁 IPsec 通信的安全。
当处理加密材料和使用 ipseckey 命令时,您应该考虑以下问题:
是否已更新加密材料?定期更新密钥是一项基本的安全措施。密钥更新可以防止遭到潜在的算法和密钥漏洞攻击,并且限制对已公开的密钥的破坏。
TTY 是否联网?ipseckey 命令是否处于交互模式?
在交互模式下,加密材料的安全即为此 TTY 通信的网络路径的安全。应该避免在明文 telnet 或 rlogin 会话中使用 ipseckey 命令。
甚至本地窗口也可能受到读取窗口事件的隐藏程序的攻击。
是否已使用 -f 选项?是否通过网络访问文件?此文件是否完全公开?
安全漏洞通常是由工具使用不当造成的,而并非由工具本身引起。应慎用 ipseckey 命令。请将控制台或其他硬连接的 TTY 用作最安全的操作模式。