前面我们在CentOS中安装了strongSwan(对比华三设备配置,讲解Linux主机如何配置strongSwan),可惜现在CentOS停服了(CentOS 7停服之后该怎么安装软件呢?),使用变得不那么方便了,临时的替换方案可以是使用Ubuntu系统(准备搞OpenStack了,先装一台最新的Ubuntu 23.10)。
如果我们在Ubuntu系统中安装strongSwan,我们会得到ipsec命令。ipsec是调用IPsec的实用程序,ipsec实用程序可以调用控制和监视IPsec加密/身份验证系统所涉及的几个实用程序中的任何一个,使用指定的参数和选项运行指定的命令,就像直接调用一样。这在很大程度上消除了与其他软件可能发生的名称冲突,还允许一些集中式服务。
我们安装的是5.9.5版本的strongSwan,在Ubuntu中对应的手册为2013年10月29日的5.9.2dr1版本;如果在Kali系统中(如何将Kali系统部署到U盘?),对应的则是2013年10月29日的5.9.7版本,文档内容目测没有差异。
本手册页中描述的所有命令都是内置的,用于控制和监视IPsec连接以及IKE守护进程。ipsec命令的用法如下:
ipsec command [arguments] [options]
对于其他命令,ipsec为调用的命令提供了一个合适的PATH环境变量,还提供了ENVIRONMENT(环境变量)章节列出的环境变量。
控制命令
start [starter options]
调用starter,后者依次解析ipsec.conf并启动IKE守护进程charon。
update
向启动器发送HUP信号,启动器依次确定ipsec.conf中的任何更改,并更新正在运行的IKE守护进程charon上的配置。
reload
向启动器发送USR1信号,启动器继而基于实际ipsec.conf重新加载正在运行的IKE守护进程charon的整个配置。
restart
相当于在守护2秒后停止然后启动。
stop
终止所有IPsec连接,并通过向启动器发送TERM信号来停止IKE守护进程charon。
up [name]
告诉IKE守护进程启动连接[name]。
down [name]
告诉IKE后台进程终止连接[name]。
down name{n}
终止连接[name]的IKEv1快速模式和IKEv2 CHILD SA实例n。
down name{*}
终止连接[name]的所有IKEv1快速模式和IKEv2 CHILD SA实例。
down name[n]
终止连接[name]的IKE SA实例n。
down name[*]
终止连接[name]的所有IKE SA实例。
down-srcip []
终止所有IKE SA实例,其中客户端的虚拟IP位于范围起始端内。
route [name]
告诉IKE守护进程在内核中为连接[name]插入IPsec策略,与IPsec策略匹配的第一个有效负载数据包将自动触发IKE连接设置。
unroute [name]
在内核中删除连接[name]的IPsec策略。
status [name]
返回关于连接[name]的简明状态信息,或者如果缺少参数,则返回关于所有连接的简要状态信息。
statusall [name]
返回连接[name]的详细状态信息,如果缺少参数,则返回所有连接的详细状态。
LIST命令
leases [ []]
返回所有或所选IP地址池(甚至单个虚拟IP地址)的状态。
listalgs
返回可用于IKE的支持的加密算法列表及其相应的插件。
listpubkeys [–utc]
返回以原始密钥格式加载或从X.509和|或OpenPGP证书中提取的RSA公钥的列表。
listcerts [–utc]
返回由IKE守护进程本地加载或通过IKE协议接收的X.509和|或OpenPGP证书的列表。
listcacerts [–utc]
返回由IKE守护进程从/etc/ipsec.d/cacerts/目录本地加载或通过IKE协议接收的X.509证书颁发机构(Certification Authority,CA)证书的列表。
listaacerts [–utc]
返回由IKE守护进程从/etc/ipsec.d/aacerts/目录本地加载的X.509授权机构(Authorization Authority,AA)证书的列表。
listocspcerts [–utc]
返回由IKE守护进程从/etc/ipsec.d/ocspcerts/目录本地加载或由OCSP服务器发送的X.509 OCSP签名者证书的列表。
listacerts [–utc]
返回IKE守护进程从/etc/ipsec.d/acerts/目录本地加载的X.509属性证书的列表。
listgroups [–utc]
返回用于定义用户授权配置文件的组列表。
listcainfos [–utc]
返回ipsec.conf中CA部分定义的证书颁发机构信息(CRL分发点、OCSP URI、LDAP服务器)。
listcrls [–utc]
返回由IKE守护进程从/etc/ipsec.d/crls目录加载或从基于HTTP或LDAP的CRL分发点获取的证书吊销列表(Certificate Revocation Lists,CRL)的列表。
listocsp [–utc]
返回从OCSP服务器获取的吊销信息。
listplugins
返回所有加载的插件功能的列表。
listcounters [name]
返回自后台进程启动以来收集的全局或特定于连接的IKE计数器值的列表。
listall [–utc]
返回以上列表命令生成的所有信息。每个list命令都可以使用–utc选项调用,该选项以utc而不是本地时间显示所有日期。
REREAD命令
rereadsecrets
刷新并重新读取ipsec.secrets中定义的所有密钥。
rereadcacerts
删除以前加载的CA证书,读取/etc/ipsec.d/cacerts目录中包含的所有证书文件,并将它们添加到证书颁发机构(Certification Authority,CA)证书列表中。这不会影响ipsec.conf配置文件ca部分中明确定义的证书,该部分可以使用update命令单独更新。
rereadaacerts
删除以前加载的AA证书,读取/etc/ipsec.d/aacerts目录中包含的所有证书文件,并将它们添加到授权机构(Authorization Authority,AA)证书列表中。
rereadocspcerts
读取/etc/ipsec.d/ocspcerts/目录中包含的所有证书文件,并将它们添加到OCSP签名者证书列表中。
rereadacerts
读取/etc/ipsec.d/acerts/目录中包含的所有证书文件,并将它们添加到属性证书列表中。
rereadcrls
读取/etc/ipsec.d/crls/目录中包含的所有证书吊销列表(Certificate Revocation Lists,CRL),并将它们添加到CRL列表中。
rereadall
执行上面列出的所有reread命令。
RESET命令
resetcounters [name]
重置全局计数器或特定于连接[name]的计数器。
PURGE命令
purgecerts
清除所有缓存的证书。
purgecrls
清除所有缓存的CRL。
purgeike
清除没有快速模式或子SA的IKE SA。
purgeocsp
清除所有缓存的OCSP信息记录。
INFO命令
–help
返回ipsec命令的使用信息。
–version
如果strongSwan使用其运行的Linux内核的本机NETKEY IPsec堆栈,则以以下形式返回版本信息:
Linux strongSwan U<strongSwan用户版本>/K<Linux内核版本>
–versioncode
如果strongSwan使用其运行的Linux内核的本机NETKEY IPsec堆栈,则以以下形式返回版本号:
U<strongSwan用户版本>/K<Linux内核版本>
–copyright
返回版权信息。
–directory
返回由配置选项定义的LIBEXECDIR目录。
–confdir
返回由配置选项定义的SYSCONFDIR目录。
–piddir
返回由配置选项定义的PIDDIR目录。
文件
/usr/libexec/ipsec实用程序目录。
环境变量
当调用其他命令时,ipsec命令提供以下环境变量。
IPSEC_DIR:包含ipsec程序和实用程序的IPSEC脚本;
IPSEC_BINDIR:包含pki命令的目录;
IPSEC_SBINDIR:包含ipsec命令的目录;
IPSEC_CONFDIR:包含配置文件的目录;
IPSEC_PIDDIR:包含PID/套接字文件的目录;
IPSEC_SCRIPT:ipsec脚本的名称;
IPSEC_NAME:IPsec发行版的名称;
IPSEC_VERSION:IPsec用户和内核的版本号;
IPSEC_STARTER_PID:IPsec启动器的PID文件;
IPSEC_CHARON_PID:IKE键控后台进程的PID文件。
参考信息
ipsec.conf(strongSwan之ipsec.conf配置手册), ipsec.secrets(strongSwan之ipsec.secrets配置手册)。
声明:文中观点不代表本站立场。本文传送门:https://eyangzhen.com/418720.html
