Beyond Linux® From Scratch (System V Utgave) - Versjon -wip

Kapittel 4. Sikkerhet

NSS-3.106

Introduksjon til NSS

Nettverkssikkerhetstjenester (NSS) pakken er et sett med biblioteker designet for å støtte utvikling på tvers av plattformer med sikkerhetsaktiverte klient- og serverapplikasjoner. Applikasjoner bygget med NSS kan støtte SSL v2 og v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 sertifikater og andre sikkerhetsstandarder. Dette er nyttig for implementering av SSL og S/MIME eller andre Internett sikkerhetsstandarder inn i en applikasjon.

[Notat]

Notat

Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen pakker riktig hvis LFS eller avhengigheter har blitt oppdatert siden den siste stabile versjonene av bøkene.

Pakkeinformasjon

Ytterligere Nedlastinger

NSS Avhengigheter

Påkrevd

NSPR-4.36

Anbefalt

SQLite-3.47.0 og p11-kit-0.25.5 (kjøretid)

Redaktørens notater: https://wiki.linuxfromscratch.org/blfs/wiki/nss

Installasjon av NSS

Installer NSS ved å kjøre følgende kommandoer: 

patch -Np1 -i ../nss-standalone-1.patch &&

cd nss &&

make BUILD_OPT=1                  \
  NSPR_INCLUDE_DIR=/usr/include/nspr  \
  USE_SYSTEM_ZLIB=1                   \
  ZLIB_LIBS=-lz                       \
  NSS_ENABLE_WERROR=0                 \
  $([ $(uname -m) = x86_64 ] && echo USE_64=1) \
  $([ -f /usr/include/sqlite3.h ] && echo NSS_USE_SYSTEM_SQLITE=1)

For å kjøre testene, kjør følgende kommandoer: 

cd tests &&
HOST=localhost DOMSUF=localdomain ./all.sh
cd ../
[Notat]

Notat

Litt informasjon om testene:

  • HOST=localhost og DOMSUF=localdomain er påkrevd. Uten disse variablene kreves er en FQDN spesifisert og denne generiske måten bør fungere for alle, gitt localhost.localdomain er definert i /etc/hosts, som gjort i LFS boken.

  • Testene tar lang tid å kjøre. Om ønskelig er det informasjon i all.sh skriptet om kjøring av delsett av total testpakke.

  • Når du avbryter testene, testpakken klarer ikke å avslutte testservere som kjøres. Dette fører til en uendelig løkke i testene der testpakken prøver å drepe en server som ikke eksisterer lenger fordi den bruker feil PID.

  • Testresultater (i HTML-format!) finner du på ../../test_results/security/localhost.1/results.html

  • Noen få tester kan mislykkes på noen Intel maskiner av ukjente årsaker.

Nå, som root bruker: 

cd ../dist                                                          &&

install -v -m755 Linux*/lib/*.so              /usr/lib              &&
install -v -m644 Linux*/lib/{*.chk,libcrmf.a} /usr/lib              &&

install -v -m755 -d                           /usr/include/nss      &&
cp -v -RL {public,private}/nss/*              /usr/include/nss      &&

install -v -m755 Linux*/bin/{certutil,nss-config,pk12util} /usr/bin &&

install -v -m644 Linux*/lib/pkgconfig/nss.pc  /usr/lib/pkgconfig

Parameterforklaringer

BUILD_OPT=1: Dette alternativet sendes til make slik at byggingen utføres uten feilsøkingssymboler innebygd i binærfiler og standard kompilatoroptimaliseringer er brukt.

NSPR_INCLUDE_DIR=/usr/include/nspr: Dette alternativet angir plasseringen av nspr deklarasjonene.

USE_SYSTEM_ZLIB=1: Dette alternativet sendes til make for å sikre at libssl3.so biblioteket er knyttet til systemets installerte zlib i stedet for versjon i pakken.

ZLIB_LIBS=-lz: Dette alternativet gir linkerflagg som trengs for å koble til systemets zlib.

$([ $(uname -m) = x86_64 ] && echo USE_64=1): USE_64=1 alternativet er påkrevd på x86_64, ellers vil make prøve (og mislykkes) å lage 32-bits objekter. [ $(uname -m) = x86_64 ] testen sikrer at det ikke har noe effekt på et 32-bitssystem.

([ -f /usr/include/sqlite3.h ] && echo NSS_USE_SYSTEM_SQLITE=1): Dette tester om sqlite er installert og i så fall echoer det valget NSS_USE_SYSTEM_SQLITE=1 til make sånn at libsoftokn3.so vil lenke mot systemversjonen av sqlite.

NSS_DISABLE_GTESTS=1: Hvis du ikke trenger å kjøre NSS testpakken, legg til dette alternativet til make kommandoen, for å forhindre kompilering av tester og spare litt byggetid.

Konfigurere NSS

Hvis p11-kit-0.25.5 er installert, p11-kit tillitsmodul (/usr/lib/pkcs11/p11-kit-trust.so) kan brukes som en erstatning for /usr/lib/libnssckbi.so for å gjøre systems CA tilgjengelig på en transparent måte for NSS bevisste applikasjoner, snarere enn de statiske bibliotekene levert av /usr/lib/libnssckbi.so. Somm root bruker, utføre følgende kommando: 

ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so

I tillegg for avhengige applikasjoner som ikke bruker den interne databasen (/usr/lib/libnssckbi.so), /usr/sbin/make-ca skriptet inkludert på make-ca-1.14 siden kan generere en systemomfattende NSS DB med -n bryteren, eller ved å endre /etc/make-ca/make-ca.conf filen.

Innhold

Installerte Programmer: certutil, nss-config, og pk12util
Installerte Biblioteker: libcrmf.a, libfreebl3.so, libfreeblpriv3.so, libnss3.so, libnssckbi.so, libnssckbi-testlib.so, libnssdbm3.so, libnsssysinit.so, libnssutil3.so, libpkcs11testmodule.so, libsmime3.so, libsoftokn3.so, og libssl3.so
Installerte Mapper: /usr/include/nss

Korte Beskrivelser

certutil

er Mozilla Certificate Database Tool. Det er et kommandolinje verktøy som kan opprette og endre Netscape Communicator cert8.db og key3.db databasefiler. Den kan også liste, generere, endre eller slette sertifikater i cert8.db-filen og opprette eller endre passordet, generer nye offentlige og private nøkkelpar, vise innholdet i nøkkeldatabasen, eller slette nøkkelpar innenfor filen key3.db

nss-config

brukes til å bestemme NSS bibliotekinnstillingene for de installerte NSS bibliotekene

pk12util

er et verktøy for å importere sertifikater og nøkler fra pkcs #12 filer inn i NSS eller eksportere dem. Den kan også liste sertifikater og nøkler i slike filer