Чтобы защищенный обмен по POP и IMAP заработал, обе стороны должны уметь передавать данные по каналам SSL. Однако это не всегда так. У некоторых клиентов нет stunnel; у других вообще нет SSL. По этой причине серверы обычно предоставляют стандартный доступ к службам POP и IMAP через широко известные порты, а SSL-доступ к тем же службам - через другие порты. При работе через stunnel служба POP называется pops и использует порт TCP 995; IMAP называется imaps и получает порт TCP 993. pops и imaps - это не специальные протоколы, а просто имена служб из файла /etc/ services, связанные с номерами портов 995 и 993. Следующая команда загрузочного сценария организует доступ к POP через туннель SSL и порт 995:
stunnel -d 995 -1 /usr/sbin/ipop3d -- ipop3d
Как вариант, stunnel может выполняться демоном inetd. Чтобы это происходило, следует создать соответствующую запись в файле inetd.conf. Например, следующая запись организует доступ к POP через туннель SSL - по запросам клиентов:
pops stream tcp nowait root /usr/sbin/stunnel -1 /usr/sbin/ipop3d — ipop3d
Если используется демон xinetd, работу stunnel следует настраивать в файле xinetd.conf. Следующая запись xinetd выполняет настройку imaps:
service imaps
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/stunnel
server_args = -1 /usr/sbin/imapd -- imapd
log_on_failure += USERID
}
Приложение stunnel никоим образом не связано именно с POP или IMAP, оно может применяться для обеспечения безопасности многих демонов. Если необходимо защитить демон, выполняемый inetd или xinetd, команда stunnel размещается в файле inetd.conf или xinetd.conf, как и должно быть. Если демон стартует по команде в загрузочном файле, там же должна размещаться и команда stunnel.
Несмотря на серьезные возможности инструментов вроде stunnel и ssh, шифрование не является заменой для качественной компьютерной безопасности. Оно способно защитить чувствительную или частную информацию от просмотра, но никогда не должно быть единственным средством защиты важной информации. Системы шифрования подвержены взломам, а зашифрованные данные - удалению и повреждениям, точно так же, как любые другие данные. Пусть шифрование не смущает вас ложным ощущением защищенности. Некоторая информация настолько чувствительна и важна, что ее не следует хранить на подключенных к сети компьютерах даже в закодированном виде. Шифрование - лишь небольшой фрагмент полноценной системы безопасности.
- << Назад
- Вперёд
