StrongSwan 6.0.0在Ubuntu 24上编译时的常见问题解析

问题背景

在从StrongSwan 5.9.14升级到6.0.0版本，并将操作系统从Ubuntu 20迁移到Ubuntu 24的过程中，开发者在编译过程中遇到了"stack-use-after-return"错误。这个错误发生在执行make check时，与地址消毒器(AddressSanitizer)的检测机制有关。

错误分析

该错误具体表现为在library.c文件的check_memwipe函数中检测到了栈内存使用后返回的问题。这是StrongSwan的一个测试函数，专门设计用来验证memwipe()函数是否按预期工作。当启用地址消毒器(--enable-asan)时，这种故意的内存访问会被报告为错误。

解决方案

针对这个问题，有两个可行的解决方法：

1. 禁用地址消毒器：在configure配置时移除--enable-asan选项。地址消毒器主要用于开发和测试环境，生产环境中通常不需要启用。

2. 禁用内存擦除检查：在编译时添加-DNO_CHECK_MEMWIPE标志到CFLAGS中，这样可以跳过特定的内存擦除测试函数。

需要注意的是，如果在编译过程中修改了配置选项，建议先执行make clean清除之前的编译结果，然后再重新编译。

StrongSwan 6.0.0的插件变化

在解决编译问题后，还需要注意StrongSwan 6.0.0版本的一个重要变化：一些传统插件如aes、sha1、sha2等不再是默认插件。这些功能现在主要由openssl插件提供。因此：

• 如果启用了openssl插件，就不再需要单独启用这些加密算法插件
• 在strongswan.conf配置文件中，不应再使用load选项加载这些已被移除的插件
• gcrypt插件在openssl存在的情况下通常也是多余的

最佳实践建议

1. 生产环境编译：建议使用精简的配置选项，避免启用不必要的开发工具如地址消毒器。

2. 插件选择：根据实际安全需求选择插件，openssl插件通常能满足大多数加密需求。

3. 配置清理：升级到6.0.0后，应检查并清理旧的配置文件，移除对已废弃插件的引用。

4. 编译顺序：修改配置后，遵循make clean->configure->make->make install的标准流程。

通过理解这些变化和采取适当的配置调整，可以确保StrongSwan 6.0.0在Ubuntu 24系统上顺利编译和运行。