Introduzione a Stunnel
Il pacchetto Stunnel contiene un programma che permette la cifratura di connessioni TCP arbitrarie dentro SSL (Secure Sockets Layer), così da poter facilmente comunicare con client su canali sicuri. Stunnel può essere usata per aggiungere funzionalità SSL a demoni comunemente usati da Inetd come POP-2, POP-3, e i server IMAP a demoni standalone come NNTP, SMTP e HTTP, e nel fare il tunneling PPP su network sockets senza cambiamenti al codice sorgente del pacchetto server.
-
Download (HTTP): http://www.stunnel.org/download/stunnel/src/stunnel-4.07.tar.gz
-
Download (FTP): ftp://ftp.fu-berlin.de/unix/linux/mirrors/gentoo/distfiles/stunnel-4.07.tar.gz
-
Download MD5 sum: 7d53af550a1c2e01e146b936e58b8860
-
Dimensione del download: 486 KB
-
Stima dello spazio su disco richiesto: 3.9 MB
-
Stima del tempo di costruzione: 0.11 SBU
Installazione di Stunnel
Il demone stunnel verrà eseguito in una gabbia chroot da un utente senza privilegi. Creare il nuovo utente, gruppo e fare chroot sulla struttura della home directory usando i seguenti comandi come utente root:
groupadd stunnel &&
useradd -c "Stunnel Daemon" -d /var/lib/stunnel \
-g stunnel -s /bin/false stunnel &&
install -d -m 700 -o stunnel -g stunnel /var/lib/stunnel/run
![[Nota]](../images/note.png)
Nota
E' necessario un certificato SSL firmato e una chiave privata per eseguire il demone stunnel. Se si possiede, o si è già creato un Certificato SSL firmato che si vorrebbe usare copiarlo in tools/stunnel.pem nella directory dei sorgenti prima di avviare la costruzione, altrimenti verrà richiesto di crearne uno. Il file .pem deve essere formattato come mostrato di seguito:
-----BEGIN RSA PRIVATE KEY----- [many encrypted lines of unencrypted key] -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- [many encrypted lines of certificate] -----END CERTIFICATE-----
Installare Stunnel eseguendo i seguenti comandi:
./configure --prefix=/usr --sysconfdir=/etc \
--localstatedir=/var/lib/stunnel &&
make
Ora, come utente root:
make install
Spiegazioni dei comandi
--sysconfdir=/etc: questo parametro forza la directory di configurazione in /etc invece che /usr/etc.
--localstatedir=/var/lib/stunnel: questo parametro fa sì che il processo di installazione crei /var/lib/stunnel/stunnel invece di /usr/var/stunnel.
make: questo comando costruisce il pacchetto e, se non si copia un file stunnel.pem nella directory dei sorgenti tools/, richiederà le informazioni necessarie a crearne uno. Assicurarsi di rispondere al prompt
Common Name (FQDN of your server) [localhost]:
con il nome o l'indirizzo IP che si userà per accedere al servizio.
Configurazione di Stunnel
Creare un file di configurazion /etc/stunnel/stunnel.conf di base usando i seguenti comandi:
cat >/etc/stunnel/stunnel.conf << "EOF" # File: /etc/stunnel/stunnel.conf pid = /run/stunnel.pid chroot = /var/lib/stunnel client = no setuid = stunnel setgid = stunnel EOF
Successivamente è necessario aggiungere il servizio che si vuole cifrare al file di configurazione. Il formato è il seguente:
[[service]] accept = [hostname:portnumber] connect = [hostname:portnumber]
Se si usa Stunnel per crittografare un demone avviato da [x]inetd si potrebbe avere la necessità di disabilitare questo demone nel file /etc/[x]inetd.conf e abilitare un corrispondente servizio [service]_stunnel. Si potrebbe dover aggiungere anche un campo appropriato in /etc/services.
Per una spiegazione completa dei comandi e della sintassi usata nel file di configurazione eseguire man stunnel. Per vedere un esempio BLFS di un setup di un servizio crittografato di stunnel leggere la sezione chiamata “Configurazione di SWAT” nelle istruzioni Samba.
Per avviare automaticamente il demone stunnel quando il sistema è riavviato installare lo script di avvio /etc/rc.d/init.d/stunnel dal pacchetto blfs-bootscripts-6.0.
make install-stunnel
Contenuti
Last updated on