Stunnel

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

Программа stunnel шифрует - при помощи SSL - трафик демонов, не обладающих способностями к шифрованию, stunnel делает преимущества шифрования с открытым ключом доступными широкому спектру сетевых приложений. stunnel входит в состав пакета OpenSSL и устанавливается вместе с OpenSSL.

Подобно прочим приложениям, работающим с SSL, stunnel для нормальной работы требует наличия сертификата. Простейший способ создать сертификат stunnel: перейти в каталог сертификатов SSL и выполнить команду make, как показано в следующем примере:

» cd /usr/share/ssl/certs
B make stunnel.pem
umask 77 ; \
PEM1=7bin/mktemp /tmp/openssl.XXXXXX' ; \
PEM2='/bin/mktemp /tmp/openssl.XXXXXX1 ; \
/usr/bin/openssl req -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2
; \
cat $PEM1 > stunnel.pem ; \
echo "" » stunnel.pem ; \
cat $PEM2 » stunnel.pem ; \
rm -f $PEM1 SPEM2
Using configuration from /usr/share/ssl/openssl.cnf
Generating a 1024 bit RSA private key
.....++++++
l........++++++
writing new private key to '/tmp/openssl.3Wjex'
You are about to be asked to enter information that will be incorporated
into your certificate request. What you are about to enter is what is
called a Distinguished Name or a DN. There are quite a few fields but you
can leave some blank. If you enter the field will be left blank. For
some fields there will be a default value.
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Maryland
Locality Name (eg. city) [] Gaithersburg
Organization Name (eg, company) [Internet Widgits LtdJ.WroteTheBook.com
Organizational Unit Name (eg, section) []:Books
Common Name (eg. your name or your server's hostname) []:Craig Hunt
Email Address []:craig.huntewrotethebook.com

По умолчанию при установке openssl создается каталог /usr/share/ssl/certs, предназначенный для хранения сертификатов, и stunnel по умолчанию ищет в этом каталоге сертификат с именем stunnel.pem.1 Как и для всех других новых сертификатов, openssl необходимо предоставить информацию, однозначным образом определяющую сертификат.

После создания сертификата программа stunnel готова к применению. Отличными примерами служб, работающих через защищенный канал stunnel, могут послужить POP и IMAP. Главной причиной совместного использования POP, IMAP и stunnel является защита паролей пользователей, передаваемых в ходе сеансов POP и IMAP. stunnel шифрует все: регистрацию на сервере и передаваемые почтовые сообщения. Последнее защищает содержимое сообщения от перехвата в процессе передачи от сервера клиента, хотя с точки зрения системного администратора важно защитить именно пароль.


Чтобы защищенный обмен по POP и IMAP заработал, обе стороны должны уметь передавать данные по каналам SSL. Однако это не всегда так. У некоторых клиентов нет stunnel; у других вообще нет SSL. По этой причине серверы обычно предоставляют стандартный доступ к службам POP и IMAP через широко известные порты, а SSL-доступ к тем же службам - через другие порты. При работе через stunnel служба POP называется pops и использует порт TCP 995; IMAP называется imaps и получает порт TCP 993. pops и imaps - это не специальные протоколы, а просто имена служб из файла /etc/ services, связанные с номерами портов 995 и 993. Следующая команда загрузочного сценария организует доступ к POP через туннель SSL и порт 995:

stunnel -d 995 -1 /usr/sbin/ipop3d -- ipop3d

Как вариант, stunnel может выполняться демоном inetd. Чтобы это происходило, следует создать соответствующую запись в файле inetd.conf. Например, следующая запись организует доступ к POP через туннель SSL - по запросам клиентов:

pops stream tcp nowait root /usr/sbin/stunnel -1 /usr/sbin/ipop3d — ipop3d

Если используется демон xinetd, работу stunnel следует настраивать в файле xinetd.conf. Следующая запись xinetd выполняет настройку imaps:

service imaps
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/stunnel
server_args = -1 /usr/sbin/imapd -- imapd
log_on_failure += USERID
}

Приложение stunnel никоим образом не связано именно с POP или IMAP, оно может применяться для обеспечения безопасности многих демонов. Если необходимо защитить демон, выполняемый inetd или xinetd, команда stunnel размещается в файле inetd.conf или xinetd.conf, как и должно быть. Если демон стартует по команде в загрузочном файле, там же должна размещаться и команда stunnel.

Несмотря на серьезные возможности инструментов вроде stunnel и ssh, шифрование не является заменой для качественной компьютерной безопасности. Оно способно защитить чувствительную или частную информацию от просмотра, но никогда не должно быть единственным средством защиты важной информации. Системы шифрования подвержены взломам, а зашифрованные данные - удалению и повреждениям, точно так же, как любые другие данные. Пусть шифрование не смущает вас ложным ощущением защищенности. Некоторая информация настолько чувствительна и важна, что ее не следует хранить на подключенных к сети компьютерах даже в закодированном виде. Шифрование - лишь небольшой фрагмент полноценной системы безопасности.