Fui solicitado a migrar do CentOS 6.8 para 7.4 em todos os nossos dispositivos Linux. Eu estou correndo em um problema com o carregamento de associações de segurança no kernel do Linux. Estou usando a implementação de setkey do ipsec-tools para fazer isso. Originalmente no CentOS 6.8, isso funcionava bem com a chave e o algoritmo definidos (chave 3des-cbc de 192 bits) no arquivo out setkey.conf. Eu poderia inserir "setkey -D" e ver o SA listado lá.
No CentOS 7.4, ele não consegue carregar o SA. Em ambos os casos, eu tenho o parâmetro "fips = 1" definido na instrução da linha de comando do Grub na inicialização, que deve forçar a conformidade com o FIPS. Descobri que, se eu remover o parâmetro "fips = 1" na instrução da linha de comando do grub na minha caixa executando o CentOS 7.4, ele carregará a SA com êxito. Isso faz com que eu pense que a conformidade com o FIPS mudou entre o CentOS 6.8 e o CentOS 7.4 e que o 3des-cbc não é mais um algoritmo aprovado.
Eu tentei me afastar da implementação do setkey pelo ipsec-tools e, em vez disso, use ip xfrm para carregá-lo, mas obtive os mesmos resultados. Eu não tentei usar o openswan ainda, mas acho que ele tenta fazer o mesmo carregando o SA no kernel e; portanto, espero encontrar o mesmo problema.
Aqui estão mais detalhes:
setkey.conf contém:
# Flush the SAD and SPD
flush;
spdflush;
# ESP SAs using 192 bit long keys (168 + 24 parity)
add 0.0.0.0 192.168.121.138 esp 0x201 -E 3des-cbc
<OUR KEY>;
# Security policies
spdadd 0.0.0.0/0 [any] 192.168.121.138 [1960] any -P in ipsec
esp/transport//require;
Nesta configuração setkey -D retorna um erro dizendo: "No SAD Entries" Se eu tentar ler o arquivo setkey.conf no kernel com "setkey -f /etc/setkey.conf" então recebo um erro dizendo : "O resultado da linha 10: (NULL)."
Existe uma maneira melhor de carregar as SAs no Kernel do Linux? O 3des-cbc não é mais considerado compatível com FIPS? Devemos mudar para um algoritmo de criptografia diferente que seja compatível com FIPS? Em caso afirmativo, qual algoritmo deverá permanecer compatível no futuro previsível?
A falta de apoio no mundo das distros do RHEL / CentOS é intencional. A Redhat decidiu descontinuar o suporte a ipsec-tools e mencionou isso nas páginas principais do RHEL 6/7:
The ipsec-tools package was deprecated in favor of openswan. There is currently no active upstream development or maintenance for the ipsec-tools project.
NOTA: Isso também se aplica ao CentOS 6/7.
Sugiro fazer uso de um dos projetos * SWAN, como o OpenSWAN, LibreSWAN ou StrongSWAN.
Tags ipsec linux centos linux-kernel