この手順では、リブートすることなく、一定の間隔で既存の事前共有鍵を置き換えたい場合を想定しています。3DES や Blowfish などの強力な暗号化アルゴリズムを使用するときは、両方のシステムのリブート時に鍵を変更するようスケジュールしたほうがよい場合もあります。
システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。
リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システム全体のセキュリティがリモートログインセッションレベルに低下します。
ランダム鍵を生成して、それらのいずれか 1 つを選択します。
Solaris システムでは、od コマンドを使用できます。たとえば、次のコマンドを入力すると、16 進数の数値が 2 行に渡って表示されます。
# od -X -A n /dev/random | head -2 03efe016 216e60ac e316f663 a2f073e0 7f90d069 316d99b5 00f8384c 2142610a |
コマンドの説明については、乱数を生成する方法と od(1) のマニュアルページを参照してください。
システムごとに /etc/inet/secret/ike.preshared ファイルを編集して、現在の鍵を新しい鍵に変更します。
たとえば、ホスト enigma と partym で、key の値をそれと同じ長さの新しい数値で置き換えます。
in.iked デーモンがキー情報の変更を許可するかどうか確認します。
# /usr/sbin/ikeadm get priv Current privilege level is 0x2, access to keying material enabled |
コマンドから 0x1 または 0x2 の権限レベルが戻された場合には、キー情報を変更できます。レベル 0x0 の場合には、キー情報を操作できません。デフォルトでは、in.iked デーモンは 0x0 の権限レベルで実行されます。
in.iked デーモンがキー情報の変更を許可する場合は、ike.preshared ファイルの新しいバージョンを読み込みます。
たとえば、次のように指定します。
# ikeadm read preshared |
in.iked デーモンがキー情報の変更を許可しない場合は、デーモンを強制終了してから再起動します。
デーモンは起動時に ike.preshared ファイルの新しいバージョンを読み込みます。
# pkill in.iked # /usr/lib/inet/in.iked |