2.1 Cỏc yờu cầu
• Mỏy tớnh cài đặt bản Linux Red Hat 6.2 (phiờn bản nhõn 2.2.14-5.0).
• Thư mục chứa mó nguồn (file cryplink-3.0.tar.gz) là /usr/src.
• Sử dụng phiờn làm việc với người dựng root (siờu người dựng).
• Phải đảm bảo đó cài đặt gúi kernel-source-2.2.14-5.0.i386.rpm và gúi kernel-
headers-2.2.14-5.0.i386.rpm. Ngoài ra cỏc gúi phục vụ quỏ trỡnh biờn dịch cũng phải được cài đặt.
• Người biờn dịch phải biết cỏch cài đặt và chạy thử nhõn mới khụng cú hỗ trợ CrypLink trước khi thực hiện quỏ trỡnh này.
Sau khi copy file mó nguồn cryplink-3.0.tar.fz vào thư mục /usr/src chỳng ta phải giải nộn file này:
[root@pvkh /]# cp cryplink-3.0.tar.gz /usr/src/ [root@pvkh /]# tar -xzvf /usr/src/cryplink-3.0.tar.gz
Sau khi giải nộn chỳng ta sẽ cú thư mục cryplink-1.0 trong /usr/src. Ở đõy, chỳng tụi sẽ trỡnh bày hai phương phỏp biờn dịch để cài đặt phần mềm CrypLink. Phương phỏp thứ nhất là cài đặt ở chế độ kernel. Toàn bộ KNMS được gắn trực tiếp vào trong mó nguồn của nhõn. Phương phỏp thứ hai là cài đặt ở chế độ module. KNMS được dịch ở dạng module và được gắn vào nhõn khi CrypLink khởi động.
2.2 Cài đặt ở chế độ kernel
• Bước 1:
Chuyển vào thư mục cryplink-3.0 sau khi đó giải nộn. Sau đú thực hiện cỏc lệnh sau:
[root@pvkh /]# cd /usr/src/cryplink-3.0 [root@pvkh /cryplink-3.0]# make insert [root@pvkh /cryplink-3.0]# make programs [root@pvkh /cryplink-3.0]# make install
Lệnh make insert thực hiện việc patch cỏc file cần thiết vào mó nguồn của
nhõn để nhõn hỗ trợ IPSEC; tạo ra thư mục ipsec trong /usr/src/linux-2.2.14-5.0/net/ cú cỏc file và thư mục liờn kết đến cỏc file mó nguồn của cryplink. Lần đầu tiờn, lệnh này cũng tạo ra file /dev/ipsec để trao đổi với KNMS.
• Bước 2:
Cấu hỡnh và cài đặt nhõn mới cú hỗ trợ CrypLink. Chỳng ta phải vào thư mục mó nguồn của nhõn /usr/src/linux-2.2.14-5.0 chạy cỏc lệnh sau đõy để cấu hỡnh và cài
đặt nhõn mới cú hỗ trợ CrypLink:
[root@pvkh /cryplink-3.0] cd /usr/src/linux [root@pvkh /linux] make menuconfig
Lệnh make menuconfig sẽ đưa ra một danh sỏch cỏc menu để lựa chọn cỏc
tham số cấu hỡnh nhõn. Ta chỉ quan tõm đến tuỳ chọn Networking options. Cỏc tham số cho CrypLink bao gồm:
• CONFIG_IPSEC: Nếu chọn ‘y’ thỡ sẽ được link tĩnh vào kernel, nếu chọn ‘m’ thỡ cú thể đưa vào nhõn ở dạng module, chọn ‘n’ thỡ sẽ bỏ tất cả.
• CONFIG_IPSEC_PFKEYv2: PF_KEYv2 kernel/user interface
Tham số này cung cấp cho RFC2367 định nghĩa ra PF_KEYv2 sockets đến
• CONFIG_IPSEC_IPIP: IP-in-IP encapsulation
Hỗ trợ chế độ đường ngầm (tunnel). Nếu bạn thiết lập IPSEC để bảo vệ thụng tin giữa hai mạng con qua hai gateway thỡ lựa chọn này phải được thiết lập.
• CONFIG_IPSEC_ICMP: Enable ICMP PMTU messages
• CONFIG_IPSEC_ESP: Encapsulating Security Payload
Tuỳ chọn này cung cấp việc bảo mật và xỏc thực nội dung gúi tin.
• CONFIG_AUTH_HMAC_MD5
Tuỳ chọn này cung cấp việc xỏc thực gúi tin theo phương phỏp HMAC_MD5.
• CONFIG_IPSEC_ENC_BLICKCIPHER
Tuỳ chọn này cung cấp việc mó hoỏ gúi tin theo thuật toỏn mó khối MK1 hoặc GOST.
• DEBUG_IPSEC: IPSEC Debugging Option
Thiết lập thụng tin gỡ rối khi chạy IPSEC.
Sau khi đó ghi lại cấu hỡnh vừa thay đổi, chạy cỏc lệnh sau để tạo và cài đặt
nhõn mới.
[root@pvkh /linux] make dep; make clean; make install
hoặc:
[root@pvkh /linux] make dep; make clean; make bzImage
[root@pvkh /linux] copy arch/i386/boot/bzImage /boot/kernel-cryplink
Thờm cỏc dũng sau vào cuối file /etc/lilo.conf:
image = /boot/kernel-cryplink label = cryplink
read-only root = /dev/hda1
Chạy lệnh:
[root@pvkh /linux] lilo
Đến đõy, quỏ trỡnh biờn dịch và cài đặt đó hồn thành. Nếu khởi động lại mỏy thỡ
chỳng ta sẽ cú một nhõn mới hỗ trợ CrypLink. Nhưng để chạy được thỡ phải thiết lập cấu hỡnh cho hai file ipsec.conf và ipsec.private của CrypLink. Phần này được trỡnh bày ở mục 4.2.
2.3 Cài đặt ở chế độ module
• Bước 1:
Giống Bước 1 ở chế độ kernel.
• Bước 2:
[root@pvkh /cryplink-3.0] cd /usr/src/linux [root@pvkh /linux] make menuconfig
Đỏnh dấu M vào tuỳ chọn IP Security Protocol (CrypLink IPSEC) trong
menu Networking options. M cú nghĩa là biờn dịch phần CrypLink trong nhõn thành một module. Khi CrypLink khởi động, nhõn sẽ tự động nạp module này. Cỏc tham số sau được lựa chọn tương tự.
Sau khi ghi lại cấu hỡnh, thực hiện cỏc bước sau để tạo module ipsec.o:
[root@pvkh /linux] make dep; make clean
[root@pvkh /linux] make modules; make modules_install
Sau bước make modules, nếu thành cụng, chỳng ta tạo được module ipsec.o trong
thư mục /usr/src/linux/net/ipsec. Lệnh make modules_install sẽ cài đặt module này vào thư mục /lib/modules/2.2.14-5.0/misc để nhõn nạp khi CrypLink khởi động. Lệnh
make modules_install cú thể khụng cần thiết. Thay lệnh này bằng việc copy file
ipsec.o tạo được vào thư mục /lib/modules/2.2.14-5.0/misc.
Đến đõy quỏ trỡnh biờn dịch và cài đặt đó hồn thành. Cú một điều cần chỳ ý là
chỳng ta vẫn sử dụng nhõn cũ và nú phải được dịch mà khụng cú phần hỗ trợ
CrypLink hoặc một phần mềm tương tự.
Nhận xột
Quỏ trỡnh biờn dịch ở chế độ module tiện lợi hơn khi dịch ở chế độ kernel. Bởi vỡ ở chế độ kernel, chỳng ta phải dịch và cài đặt lại nhõn mới mỗi khi cài đặt
CrypLink. Trong chế độ module chỳng tụi đó thay đổi Makefile để quỏ trỡnh biờn dịch module chỉ dịch riờng một module ipsec.o, khi đú quỏ trỡnh biờn dịch và cài đặt CrypLink sẽ nhanh lờn rất nhiều.