diff options
| author | Fukang Chen <loader@FreeBSD.org> | 2008-05-09 14:04:32 +0000 |
|---|---|---|
| committer | Fukang Chen <loader@FreeBSD.org> | 2008-05-09 14:04:32 +0000 |
| commit | 8e1ea443972fa147d574770744307f400da2f75b (patch) | |
| tree | e2d802506cdbffc88ba4c5489015f46240b25328 /zh_CN.GB2312/books/handbook/security | |
| parent | 7872e6bbf4e242ba01d915a9d99db3adff862ff2 (diff) | |
Notes
Diffstat (limited to 'zh_CN.GB2312/books/handbook/security')
| -rw-r--r-- | zh_CN.GB2312/books/handbook/security/chapter.sgml | 30 |
1 files changed, 16 insertions, 14 deletions
diff --git a/zh_CN.GB2312/books/handbook/security/chapter.sgml b/zh_CN.GB2312/books/handbook/security/chapter.sgml index e592aa73de..46838d7fb8 100644 --- a/zh_CN.GB2312/books/handbook/security/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/security/chapter.sgml @@ -2,7 +2,7 @@ The FreeBSD Documentation Project The FreeBSD Simplified Chinese Project - Original Revision: 1.320 + Original Revision: 1.321 $FreeBSD$ --> @@ -2617,11 +2617,10 @@ define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting> 是准备用来在本地保存证书和密钥的位置。 最后, 需要重新生成本地的 <filename>.cf</filename> 文件。 这一工作可以简单地通过在 - <filename class="directory">/etc/mail</filename> 目录中执行 <command>make</command> - <parameter>install</parameter> 来完成。 + <maketarget>install</maketarget> 来完成。 接下来, 可以使用 <command>make</command> - <parameter>restart</parameter> 来重新启动 + <maketarget>restart</maketarget> 来重新启动 <application>Sendmail</application> 服务程序。</para> <para>如果一切正常的话, 在 @@ -3218,8 +3217,8 @@ options IPSEC_ESP 类似。</para> <para>在 FreeBSD 上可供选择的用于管理安全关联的服务程序有很多。 - 这篇文章将介绍其中的一种, racoon —。 它可以从 - &os; 的 Ports collection 中的 + 这篇文章将介绍其中的一种, <application>racoon</application> —。 + 它可以从 &os; 的 Ports collection 中的 <filename role="package">security/ipsec-tools</filename> 安装。</para> <indexterm> @@ -3235,13 +3234,13 @@ options IPSEC_ESP 它们定期地改变密钥, 因此即使供给者破解了一个密钥 (虽然这在理论上并不十分可行) 他也得不到什么 -- 破解密钥的时候, 已经产生一组新的密钥了。</para> - <para>racoon 的配置文件是存放在 + <para><application>racoon</application> 的配置文件是存放在 <filename>${PREFIX}/etc/racoon</filename> 目录中的。 在那里应该能够找到一个配置文件, 不需要修改太多的设置。 - raccon 配置的另一部分, 也就是需要修改的内容, + <application>raccon</application> 配置的另一部分,也就是需要修改的内容, 是 <quote>预先配置的共享密钥</quote>。</para> - <para>默认的 racoon 配置应该可以在 + <para>默认的 <application>racoon</application> 配置应该可以在 <filename>${PREFIX}/etc/racoon/psk.txt</filename> 这个文件中找到。 需要强调的是, 这个密钥 <emphasis>并非</emphasis> 用于加密 VPN 连接的密钥, 他们只是密钥管理服务程序用以信任对方的一种凭据。</para> @@ -3266,9 +3265,10 @@ options IPSEC_ESP <para>也就是说, 对面端的公网 IP 地址, 以及同样的密钥。 <filename>psk.txt</filename> 的权限必须是 <literal>0600</literal> (也就是说, 只有 - <username>root</username> 能够读写) 否则 racoon 将不能运行。</para> + <username>root</username> 能够读写) 否则 + <application>racoon</application> 将不能运行。</para> - <para>两边的机器上都必须执行 racoon。 + <para>两边的机器上都必须执行 <application>racoon</application>。 另外, 还需要增加一些防火墙规则来允许 IKE 通讯通过, 它是通过 UDP 在 ISAKMP (Internet 安全关联密钥管理协议) 端口上运行的协议。 再次强调, 这个规则应该在规则集尽可能早的位置出现。</para> @@ -3277,10 +3277,12 @@ options IPSEC_ESP ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp </programlisting> - <para>一旦 racoon 开始运行, 就可以开始测试让网关进行相互的 ping 了。 + <para>一旦 <application>racoon</application> 开始运行, + 就可以开始测试让网关进行相互的 ping 了。 此时连接还没有进行加密, 但 racoon 将在两个主机之间建立安全关联 -- - 这可能需要一段时间, 对您来说, 具体的现象则是在 ping 命令开始响应之前会有短暂的延迟。</para> + 这可能需要一段时间, 对您来说, + 具体的现象则是在 ping 命令开始响应之前会有短暂的延迟。</para> <para>一旦安全关联建立之后, 就可以使用 &man.setkey.8; 来查看它了。 在两边的网关上执行</para> @@ -3471,7 +3473,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D </mediaobject> <para>当 VPN 数据被远端接到时, 它将首先被解密 - (使用 racoon 协商得到的安全关联)。 + (使用 <application>racoon</application> 协商得到的安全关联)。 然后它们将进入 <devicename>gif</devicename> 接口, 并在那里展开第二层, 直到只剩下最里层的包, 并将其转发到内网上。</para> |