Руководство администратора Linux по безопасности



Два сервера с защищенным соединением - часть 3


Lilo.conf должен выглядеть примерно так:

boot=/dev/hda

map=/boot/map

install=/boot/boot.b

prompt

timeout=100

image=/boot/vmlinuz-2.2.10-ipsec

label=linux-ipsec

root=/dev/hda1

read-only

image=/boot/vmlinuz-2.2.10

label=linux

root=/dev/hda1

read-only

При запуске lilo должен вывести нечто вроде:

linux-ipsec *

linux

После перезагрузки Вы получите ядро 2.2.10 с поддержкой IPSec. При перезагрузке будут сообщения об ошибках. Дело в том, что по умолчанию IPSEC установлен так, чтобы использовать интерфейс eth999, который конечно не существует. Вы должны также добавить /usr/local/lib/ipsec к Вашей инструкции path, или Вы будете должны каждый раз набирать полный путь.

Настройка IPSec

Мы первоначально используем ручной режим (то есть, пока мы игнорируем pluto IKE daemon) поскольку это делает жизнь более простой. Вы должны отредактировать файлы ipsec.conf и ipsec.conf. Эти два файла затем должны быть скопированы на другой сервер безопасным способом (ssh, гибким диском и т.д.).

Диаграмма сети:

Вы должны отредактировать файл ipsec.conf, большинство значений по умолчанию прекрасно, но Вы должны изменить следующее:

conn sample

type=tunnel

# left security gateway (public-network address)

left=

# next hop to reach right

leftnexthop=

# subnet behind left (omit if there is no subnet)

leftsubnet=

# right s.g., subnet behind it, and next hop to reach left

right=

rightnexthop=

rightsubnet=

#

spibase=0x200

# (manual) encryption/authentication algorithm and parameters to it

esp=3des-md5-96

espenckey=

espauthkey=

Замените espenckey и espauthkey на новые ключи (используя ranbits для генерации чисел, не забудьте вписать префикс 0x, который указывает, что число шестнадцатиричное):

conn my-tunnel

type=tunnel

# left security gateway (public-network address)

left=1.2.3.4

# next hop to reach right

leftnexthop=1.2.3.1

# subnet behind left (omit if there is no subnet)

leftsubnet=10.0.0.0/24

# right s.g., subnet behind it, and next hop to reach left

right=5.6.7.8

rightnexthop=5.6.7.1

rightsubnet=192.168.0.0/24

#

spibase=0x200

# (manual) encryption/authentication algorithm and parameters to it

esp=3des-md5-96

espenckey=some_auth_key_here (ranbits 192)

espauthkey=some_other_key_here (ranbits 128)

<


Содержание  Назад  Вперед