25.3. 重新配置并安装带有 FreeS/WAN VPN 支持的内核
现在,我们必须返回到/usr/src/linux目录并执行以下命令以重新配置内核,启用 FreeS/WAN 支持
[root@deep ]/freeswan-1.3# cd /usr/src/linux [root@deep ]/linux# make config |
: 与我们之前使用的 make config 命令不同的是,现在我们的内核配置中包含了一个与 FreeS/WAN 相关的新部分,因此我们必须重新配置内核以自定义 IPSec 选项,使其成为内核的一部分。
您需要做的第一件事是确保您的内核已构建并启用了 FreeS/WAN 支持。在 2.2.14 内核版本中,在您按照上述说明使用 FreeS/WAN 程序修补内核后,内核配置中应该会出现一个名为IPSec options (FreeS/WAN)的与 frees/WAN VPN 支持相关的新部分。您需要确保您已回答Y以回答新部分IPSec options (FreeS/WAN)
IPSec options (FreeS/WAN) IP Security Protocol (FreeS/WAN IPSEC) (CONFIG_IPSEC) [Y/n/?] IPSEC: IP-in-IP encapsulation (CONFIG_IPSEC_IPIP) [Y/n/?] IPSEC: PF_KEYv2 kernel/user interface (CONFIG_IPSEC_PFKEYv2) [Y/n/?] IPSEC: Enable ICMP PMTU messages (CONFIG_IPSEC_ICMP) [Y/n/?] IPSEC: Authentication Header (CONFIG_IPSEC_AH) [Y/n/?] HMAC-MD5 authentication algorithm (CONFIG_IPSEC_AUTH_HMAC_MD5) [Y/n/?] HMAC-SHA1 authentication algorithm (CONFIG_IPSEC_AUTH_HMAC_SHA1) [Y/n/?] IPSEC: Encapsulating Security Payload (CONFIG_IPSEC_ESP) [Y/n/?] 3DES encryption algorithm (CONFIG_IPSEC_ENC_3DES) [Y/n/?] IPSEC Debugging Option (DEBUG_IPSEC) [Y/n/?] |
下的以下问题。
: 您第一次运行 make config、make dep 和 make clean 命令时对内核所做的所有自定义设置都将被保留,因此您无需重新配置内核的每个部分;只需要 FreeS/WAN 添加的新部分IPSec options (FreeS/WAN),如上所示。
一些网络选项会被自动开启,即使您之前关闭了它们,这是因为 IPSEC 需要它们。无论您使用哪种配置程序,都应仔细注意以下几个问题。特别是,不要禁用Networking Options 下的任何选项。:
Kernel/User netlink socket (CONFIG_NETLINK) [Y/n/?] Netlink device emulation (CONFIG_NETLINK_DEV) [Y/n/?] |
您需要编译并安装带有 FreeS/WAN 的新内核,现在我们已经在内核中包含了对 FreeS/WAN VPN 的支持,返回到/usr/src/linux目录并再次运行以下命令
[root@deep ]/linux# make dep; make clean; make bzImage |
在执行上述命令后,按照本书 Linux 内核部分的其余说明 配置和构建安全的优化内核 正常安装内核。此时,在您复制并安装了新的内核镜像、system.map 或模块(如果需要)并设置 lilo.conf 文件以加载新内核后,您必须编辑和自定义与 FreeS/WAN 相关的配置文件ipsec.conf和ipsec.secrets才能重启系统。
请不要忘记稍后清理
[root@deep] /# cd /usr/src [root@deep ]/src# rm -rf freeswan-version/ freeswan-version.tar.gz |