ipsecinit.conf 파일

Oracle Solaris를 시작할 때 IPsec 보안 정책을 사용으로 설정하려면 구성 파일을 만들어 특정 IPsec 정책 항목으로 IPsec를 초기화합니다. 이 파일에 대한 기본 이름은 /etc/inet/ipsecinit.conf입니다. 정책 항목 및 해당 형식에 대한 자세한 내용은 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오. 정책이 구성된 후 svcadm refresh ipsec/policy 명령으로 정책을 새로 고칠 수 있습니다.

샘플 ipsecinit.conf 파일

Oracle Solaris 소프트웨어에는 샘플 IPsec 정책 파일 ipsecinit.sample이 포함되어 있습니다. 이 파일을 템플리트로 사용하여 자신의 ipsecinit.conf 파일을 만들 수 있습니다. ipsecinit.sample 파일에는 다음 예가 포함되어 있습니다.

# In the following simple example, outbound network traffic between the local
# host and a remote host will be encrypted. Inbound network traffic between
# these addresses is required to be encrypted as well.
# This example assumes that is the IPv4 address of this host (laddr)
# and is the IPv4 address of the remote host (raddr).

{laddr raddr} ipsec
    {encr_algs aes encr_auth_algs sha256 sa shared}

# The policy syntax supports IPv4 and IPv6 addresses as well as symbolic names.
# Refer to the ipsecconf(1M) man page for warnings on using symbolic names and
# many more examples, configuration options and supported algorithms.
# This example assumes that is the IPv4 address of this host (laddr)
# and is the IPv4 address of the remote host (raddr).
# The remote host will also need an IPsec (and IKE) configuration that mirrors
# this one.
# The following line will allow ssh(1) traffic to pass without IPsec protection:

{lport 22 dir both} bypass {}

# {laddr dir in} drop {}
# Uncommenting the above line will drop all network traffic to this host unless
# it matches the rules above. Leaving this rule commented out will allow
# network packets that does not match the above rules to pass up the IP
# network stack. ,,,

ipsecinit.conf ipsecconf에 대한 보안 고려 사항

IPsec 정책은 설정된 연결에 대해 변경할 수 없습니다. 정책을 변경할 수 없는 소켓을 잠긴 소켓이라고 합니다. 새 정책 항목은 이미 잠긴 소켓을 보호하지 않습니다. 자세한 내용은 connect(3SOCKET)accept(3SOCKET) 매뉴얼 페이지를 참조하십시오. 의심스러운 경우 연결을 다시 시작하십시오.

이름 지정 시스템을 보호합니다. 다음 두 조건이 충족될 경우 호스트 이름을 더 이상 신뢰할 수 없습니다.

보안 취약성은 실제 도구가 도구의 오용으로 인해 발생하기도 합니다. ipsecconf 명령을 사용할 때는 주의해야 합니다. 가장 안전한 작업 모드를 위해서는 ssh 또는 콘솔 또는 기타 하드 연결된 TTY를 사용합니다.