传输信道加密Stunnel配置
接着上一节的OSSIM加密传输信道继续讲解,这里我们选用开源工具
Stunnel
,它用于提供全局的
TLS/SSL
服务,其关键的配置如下
:
Acl safe_port port 443 # https
访问原始服务器的
443
端口
stunnel4
是用来建立
ssl
通道,以实现加密传输,默认
OSSIM4.3
系统中,
stunnel
是关闭的,当配置好
stunnel
后,就可以用
foxmail
或者
outlook
之类的邮件客户端就可以使用加密的通道访问邮箱了。
注:
Ossim 4.15
之后的版本取消了
stunnel
包。
实现思路
:利用
Stunnel
给
Squid
加密,要用
Stunnel
加密,所以只允许本地访问传统的
POP3
、
SMTP
、
Samba
、
Syslog
等服务,都是不加密的协议,这样传输不安全,通过
Stunnel
可以将访问这些服务的数据,通过一个加密的管道传输,这样更加安全。
图
使用
Stunel
加密流程
1.
启用
Stunnel
#vi /etc/default/stunnel4
将
enabled=0
,改成
enabled=1
然后,保存退出。
2.
配置
SSL
#cd /etc/ssl
#openssl req -new -x509 -days 365 -nodes -config openssl.cnf -out stunnel.pem -keyout stunnel.pem
#cp stunnel.pem /etc/ssl/certs/
#/etc/init.d/stunnel4 start
Stunnel
服务方式需要一个证书文件。通过
openssl.exe
来创建服务器证书。
这将会创建一个自己给自己签名的证书。参数的含义:
-days 365
使这个证书的有效期是
1
年,之后它将不能再用。
-new
创建一个新的证书
-x509
创建一个
X509
证书(自己签名的)
-nodes
这个证书没有密码
-config openssl.cnf
OpenSSL
使用的配置文件(可能需要修改的有
[CA_default]
和
[req_distinguished_name]
这两个
section
)。
-out stunnel.pem
把
SSL
证书写到哪里
-keyout stunnel.pem
把
SSL
证书放到这个文件中这个命令将会问以下问题:
Country name PL, UK, US, CA
State or Province name Illinois, Ontario
Locality Chicago, Toronto
Organization Name Bill’s Meats, Acme Anvils
Organizational Unit Name Ecommerce Division
Common Name (FQDN) www.example.com
注意
:
Common Name (FQDN)
应该是运行
stunnel
机器的主机名。如果能通过不同的主机名访问这台机器,有些
SSL
客户会警告这个主机的证书有问题,所以最好是使它和用户访问的主机名匹配。
openssl gendh 512>> stunnel.pem
这将生成
Diffie-Hellman
部分,追加到
pem
文件中。这个只有在指定
stunnel
使用
DH
才需要,但默认是不用的。
除了使用
stunnel
加密以外,还可以使用
rsyslog-gnutls
加密
syslog
连接。
#apt-get install rsyslog-gnutls
具体设置大家可参考
encrypting syslog traffic with TLS
文档。大家想了解完整的OSSIM技术,请继续关注2015年11月出版的《开源安全运维平台OSSIM最佳实践》一书,该书为您揭秘更多OSSIM底层技术,这些内容在我的博客里也未曾出现过的哦!