table of contents
other versions
- jessie 3:5.06-2+deb8u1
- jessie-backports 3:5.30-1~bpo8+1
- stretch 3:5.39-2
- testing 3:5.50-2
- stretch-backports 3:5.50-1~bpo9+1
- unstable 3:5.50-3
STUNNEL.PL(8) | stunnel4 | STUNNEL.PL(8) |
NAZWA¶
stunnel - uniwersalny tunel protokołu SSLSKŁADNIA¶
- Unix:
- stunnel [PLIK] | -fd N | -help | -version | -sockets | -options
- WIN32:
- stunnel [ [-install | -uninstall | -start | -stop ] | -exit]
[-quiet] [PLIK] ] | -help | -version | -sockets | -options
OPIS¶
Program stunnel został zaprojektowany do opakowywania w protokół SSL połączeń pomiędzy zdalnymi klientami a lokalnymi lub zdalnymi serwerami. Przez serwer lokalny rozumiana jest aplikacja przeznaczona do uruchamiania przy pomocy inetd. Stunnel pozwala na proste zestawienie komunikacji serwerów nie posiadających funkcjonalności SSL poprzez bezpieczne kanały SSL. stunnel pozwala dodać funkcjonalność SSL do powszechnie stosowanych demonów inetd, np. pop3 lub imap, do samodzielnych demonów, np. nntp, smtp lub http, a nawet tunelować ppp poprzez gniazda sieciowe bez zmian w kodzie źródłowym.OPCJE¶
- PLIK
- użyj podanego pliku konfiguracyjnego
- -fd N (tylko Unix)
- wczytaj konfigurację z podanego deskryptora pliku
- -help
- drukuj listę wspieranych opcji
- -version
- drukuj wersję programu i domyślne wartości parametrów
- -sockets
- drukuj domyślne opcje gniazd
- -options
- drukuj wspierane opcje SSL
- -install (tylko Windows NT lub nowszy)
- instaluj serwis NT
- -uninstall (tylko Windows NT lub nowszy)
- odinstaluj serwis NT
- -start (tylko Windows NT lub nowszy)
- uruchom serwis NT
- -stop (tylko Windows NT lub nowszy)
- zatrzymaj serwis NT
- -exit (tylko Win32)
- zatrzymaj uruchomiony program
- -quiet (tylko Win32)
- nie wyświetlaj okienek z komunikatami
PLIK KONFIGURACYJNY¶
Linia w pliku konfiguracyjnym może być:- •
- pusta (ignorowana)
- •
- komentarzem rozpoczynającym się znakiem ';' (ignorowana)
- •
- parą 'nazwa_opcji = wartość_opcji'
- •
- tekstem '[nazwa_usługi]' wskazującym początek definicji usługi
- •
- numerem portu
- •
- oddzieloną średnikiem parą adresu (IPv4, IPv6, lub nazwą domenową) i numeru portu
- •
- ścieżką do gniazda Unix (tylko Unix)
OPCJE GLOBALNE¶
- chroot = KATALOG (tylko Unix)
- katalog roboczego korzenia systemu plików Opcja określa katalog, w którym uwięziony zostanie proces programu stunnel tuż po jego inicjalizacji, a przed rozpoczęciem odbierania połączeń. Ścieżki podane w opcjach CApath, CRLpath, pid oraz exec muszą być umieszczone wewnątrz katalogu podanego w opcji chroot i określone względem tego katalogu. Niektóre funkcje systemu operacyjnego mogą wymagać dodatkowych plików umieszczonych w katalogu podanego w parametrze chroot:
- •
- opóźnione rozwinięcie adresów DNS typowo wymaga /etc/nsswitch.conf i /etc/resolv.conf
- •
- lokalizacja strefy czasowej w logach wymaga pliku /etc/timezone
- •
- niektóre inne pliki mogą potrzebować plików urządzeń, np. /dev/zero lub /dev/null
- compression = deflate | zlib | rle
- wybór algorytmu kompresji przesyłanych danych domyślnie: bez kompresji Algorytm deflate jest standardową metodą kompresji zgodnie z RFC 1951. Kompresja zlib zaimplementowana w OpenSSL 0.9.8 i nowszych nie jest kompatybilna implementacją OpenSSL 0.9.7. Kompresja rle nie jest zaimplementowana w aktualnych wersjach OpenSSL.
- debug = POZIOM[.PODSYSTEM]
- szczegółowość logowania Poziom logowania można określić przy pomocy jednej z nazw lub liczb: emerg (0), alert (1), crit (2), err (3), warning (4), notice (5), info (6) lub debug (7). Zapisywane są komunikaty o poziomie niższym (numerycznie) lub równym podanemu. Do uzyskania najwyższego poziomu szczegółowości można użyć opcji debug = debug lub debug = 7. Domyślnym poziomem jest notice (5). O ile nie wyspecyfikowano podsystemu użyty będzie domyślny: daemon. Podsystemy nie są wspierane przez platformę Win32. Wielkość liter jest ignorowana zarówno dla poziomu jak podsystemu.
- EGD = ŚCIEŻKA_DO_EGD (tylko Unix)
- ścieżka do gniazda programu Entropy Gathering Daemon Opcja pozwala określić ścieżkę do gniazda programu Entropy Gathering Daemon używanego do zainicjalizowania generatora ciągów pseudolosowych biblioteki OpenSSL. Opcja jest dostępna z biblioteką OpenSSL 0.9.5a lub nowszą.
- engine = auto | IDENTYFIKATOR_URZĄDZENIA
- wybór sprzętowego urządzenia kryptograficznego
domyślnie: bez wykorzystania urządzeń kryptograficznych
Przykładowa konfiguracja umożliwiająca odczytanie
klucza prywatnego z urządzenia zgodnego z OpenSC:
engine=dynamic engineCtrl=SO_PATH:/usr/lib/opensc/engine_pkcs11.so engineCtrl=ID:pkcs11 engineCtrl=LIST_ADD:1 engineCtrl=LOAD engineCtrl=MODULE_PATH:/usr/lib/pkcs11/opensc-pkcs11.so engineCtrl=INIT [service] engineNum=1 key=id_45
- engineCtrl = KOMENDA[:PARAMETR]
- konfiguracja urządzenia kryptograficznego Specjalne komendy "LOAD" i "INIT" pozwalają na załadowanie i inicjalizację modułu kryptograficznego urządzenia.
- engineDefault = LISTA_ZADAŃ
- lista zadań OpenSSL oddelegowanych do bieżącego urządzenia Parametrem jest lista oddzielonych przecinkami zadań OpenSSL, które mają zostać oddelegowane do bieżącego urządzenia kryptograficznego. W zależności od konkretnego urządzenia dostępne mogą być następujące zadania: ALL, RSA, DSA, ECDH, ECDSA, DH, RAND, CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1.
- fips = yes | no
- tryb FIPS 140-2 Opcja pozwala wyłączyć wejście w tryb FIPS, jeśli stunnel został skompilowany ze wsparciem dla FIPS 140-2. domyślnie: no (od wersji 5.00)
- foreground = yes | no (tylko Unix)
- tryb pierwszoplanowy Użycie tej opcji powoduje, że stunnel nie przechodzi w tło logując swoje komunikaty na konsolę zamiast przez syslog (o ile nie użyto opcji output).
- iconActive = PLIK_Z_IKONKĄ (tylko GUI)
- ikonka wyświetlana przy obecności aktywnych połączeń do usługi W systemie Windows ikonka to plik .ico zawierający obrazek 16x16 pikseli.
- iconError = PLIK_Z_IKONKĄ (tylko GUI)
- ikonka wyświetlana, jeżeli nie został załadowany poprawny plik konfiguracyjny W systemie Windows ikonka to plik .ico zawierający obrazek 16x16 pikseli.
- iconIdle = PLIK_Z_IKONKĄ (tylko GUI)
- ikonka wyświetlana przy braku aktywnych połączeń do usługi W systemie Windows ikonka to plik .ico zawierający obrazek 16x16 pikseli.
- log = append | overwrite
- log file handling This option allows to choose whether the log file (specified with the output option) is appended or overwritten when opened or re-opened. domyślnie: append
- output = PLIK
- plik, do którego dopisane zostaną logi Użycie tej opcji powoduje dopisanie logów do podanego pliku. Do kierowaniakomunikatów na standardowe wyjście (na przykład po to, żeby zalogować je programem splogger z pakietu daemontools) można podać jako parametr urządzenie /dev/stdout.
- pid = PLIK (tylko Unix)
- położenie pliku z numerem procesu Jeżeli argument jest pusty plik nie zostanie stworzony. Jeżeli zdefiniowano katalog chroot, to ścieżka do pid jest określona względem tego katalogu.
- RNDbytes = LICZBA_BAJTÓW
- liczba bajtów do zainicjowania generatora pseudolosowego W wersjach biblioteki OpenSSL starszych niż 0.9.5a opcja ta określa również liczbę bajtów wystarczających do zainicjowania PRNG. Nowsze wersje biblioteki mają wbudowaną funkcję określającą, czy dostarczona ilość losowości jest wystarczająca do zainicjowania generatora.
- RNDfile = PLIK
- ścieżka do pliku zawierającego losowe dane Biblioteka OpenSSL użyje danych z tego pliku do zainicjowania generatora pseudolosowego.
- RNDoverwrite = yes | no
- nadpisz plik nowymi wartościami pseudolosowymi domyślnie: yes (nadpisz)
- service = SERWIS (tylko Unix)
- użyj parametru jako nazwy serwisu dla biblioteki TCP Wrapper w trybie inetd domyślnie: stunnel
- setgid = IDENTYFIKATOR_GRUPY (tylko Unix)
- grupa z której prawami pracował będzie stunnel
- setuid = IDENTYFIKATOR_UŻYTKOWNIKA (tylko Unix)
- użytkownik, z którego prawami pracował będzie stunnel
- socket = a|l|r:OPCJA=WARTOŚĆ[:WARTOŚĆ]
- ustaw opcję na akceptującym/lokalnym/zdalnym
gnieździe
Dla opcji linger wartości mają postać l_onof:l_linger.
Dla opcji time wartości mają postać tv_sec:tv_usec.
Przykłady:
socket = l:SO_LINGER=1:60 ustaw jednominutowe przeterminowanie przy zamykaniu lokalnego gniazda socket = r:SO_OOBINLINE=yes umieść dane pozapasmowe (out-of-band) bezpośrednio w strumieniu danych wejściowych dla zdalnych gniazd socket = a:SO_REUSEADDR=no zablokuj ponowne używanie portu (domyślnie włączone) socket = a:SO_BINDTODEVICE=lo przyjmuj połączenia wyłącznie na interfejsie zwrotnym (ang. loopback)
- syslog = yes | no (tylko Unix)
- włącz logowanie poprzez mechanizm syslog domyślnie: yes (włącz)
- taskbar = yes | no (tylko WIN32)
- włącz ikonkę w prawym dolnym rogu ekranu domyślnie: yes (włącz)
OPCJE USŁUG¶
Każda sekcja konfiguracji usługi zaczyna się jej nazwą ujętą w nawias kwadratowy. Nazwa usługi używana jest do kontroli dostępu przez bibliotekę libwrap (TCP wrappers) oraz pozwala rozróżnić poszczególne usługi w logach. Jeżeli stunnel ma zostać użyty w trybie inetd, gdzie za odebranie połączenia odpowiada osobny program (zwykle inetd, xinetd lub tcpserver), należy przeczytać sekcję TRYB INETD poniżej.- accept = [HOST:]PORT
- nasłuchuje na połączenia na podanym adresie i porcie
Jeżeli nie został podany adres, stunnel
domyślnie nasłuchuje na wszystkich adresach IPv4 lokalnych
interfejsów.
Aby nasłuchiwać na wszystkich adresach IPv6 należy
użyć:
accept = :::port
- CApath = KATALOG_CA
- katalog Centrum Certyfikacji Opcja określa katalog, w którym stunnel będzie szukał certyfikatów, jeżeli użyta została opcja verify. Pliki z certyfikatami muszą posiadać specjalne nazwy XXXXXXXX.0, gdzie XXXXXXXX jest skrótem kryptograficznym reprezentacji DER nazwy podmiotu certyfikatu. Funkcja skrótu została zmieniona w OpenSSL 1.0.0. Należy wykonać c_rehash przy zmianie OpenSSL 0.x.x na 1.x.x. Jeżeli zdefiniowano katalog chroot, to ścieżka do CApath jest określona względem tego katalogu.
- CAfile = PLIK_CA
- plik Centrum Certyfikacji Opcja pozwala określić położenie pliku zawierającego certyfikaty używane przez opcję verify.
- cert = PLIK_PEM
- plik z łańcuchem certyfikatów Opcja określa położenie pliku zawierającego certyfikaty używane przez program stunnel do uwierzytelnienia się przed drugą stroną połączenia. Certyfikat jest konieczny, aby używać programu w trybie serwera. W trybie klienta certyfikat jest opcjonalny.
- ciphers = LISTA_SZYFRÓW
- lista dozwolonych szyfrów SSL Parametrem tej opcji jest lista szyfrów, które będą użyte przy otwieraniu nowych połączeń SSL, np.: DES-CBC3-SHA:IDEA-CBC-MD5
- client = yes | no
- tryb kliencki (zdalna usługa używa SSL) domyślnie: no (tryb serwerowy)
- connect = [HOST:]PORT
- połącz się ze zdalnym serwerem na podany port Jeżeli nie został podany adres, stunnel domyślnie łączy się z lokalnym serwerem. Komenda może byc użyta wielokrotnie w pojedynczej sekcji celem zapewnienia wysokiej niezawodności lub rozłożenia ruchu pomiędzy wiele serwerów.
- CRLpath = KATALOG_CRL
- katalog List Odwołanych Certyfikatów (CRL) Opcja określa katalog, w którym stunnel będzie szukał list CRL, jeżeli użyta została opcja verify. Pliki z listami CRL muszą posiadać specjalne nazwy XXXXXXXX.r0, gdzie XXXXXXXX jest skrótem listy CRL. Funkcja skrótu została zmieniona OpenSSL 1.0.0. Należy wykonać c_rehash przy zmianie OpenSSL 0.x.x na 1.x.x. Jeżeli zdefiniowano katalog chroot, to ścieżka do CRLpath jest określona względem tego katalogu.
- CRLfile = PLIK_CRL
- plik List Odwołanych Certyfikatów (CRL) Opcja pozwala określić położenie pliku zawierającego listy CRL używane przez opcję verify.
- curve = NID
- krzywa dla ECDH
Listę dostępnych krzywych można uzyskać
poleceniem:
openssl ecparam -list_curves
domyślnie: prime256v1
- delay = yes | no
- opóźnij rozwinięcie adresu DNS podanego w opcji connect Opcja jest przydatna przy dynamicznym DNS, albo gdy usługa DNS nie jest dostępna przy starcie programu stunnel (klient VPN, połączenie wdzwaniane). Opóźnione rozwijanie adresu DNS jest włączane automatycznie, jeżeli nie powiedzie się rozwinięcie któregokolwiek z adresów connect dla danej usługi. Opóźnione rozwijanie adresu automatycznie aktywuje failover = prio. default: no
- engineId = NUMER_URZĄDZENIA
- wybierz urządzenie dla usługi
- engineNum = NUMER_URZĄDZENIA
- wybierz urządzenie dla usługi Urządzenia są numerowane od 1 w górę.
- exec = ŚCIEŻKA_DO_PROGRAMU
- wykonaj lokalny program przystosowany do pracy z superdemonem inetd Jeżeli zdefiniowano katalog chroot, to ścieżka do exec jest określona względem tego katalogu. Na platformach Unix ustawiane są następujące zmienne środowiskowe: REMOTE_HOST, REMOTE_PORT, SSL_CLIENT_DN, SSL_CLIENT_I_DN.
- execargs = $0 $1 $2 ...
- argumenty do opcji exec włącznie z nazwą programu ($0) Cytowanie nie jest wspierane w obecnej wersji programu. Argumenty są rozdzielone dowolną liczbą białych znaków.
- failover = rr | prio
- Strategia wybierania serwerów wyspecyfikowanych parametrami
"connect".
rr (round robin) - sprawiedliwe rozłożenie obciążenia prio (priority) - użyj kolejności opcji w pliku konfiguracyjnym
domyślnie: rr
- ident = NAZWA_UŻYTKOWNIKA
- weryfikuj nazwę zdalnego użytkownika korzystając z protokołu IDENT (RFC 1413)
- key = PLIK_KLUCZA
- klucz prywatny do certyfikatu podanego w opcji cert
Klucz prywatny jest potrzebny do uwierzytelnienia właściciela
certyfikatu. Ponieważ powinien on być zachowany w tajemnicy,
prawa do jego odczytu powinien mieć wyłącznie
właściciel pliku. W systemie Unix można to
osiągnąć komendą:
chmod 600 keyfile
domyślnie: wartość opcji cert
- libwrap = yes | no
- włącz lub wyłącz korzystanie z /etc/hosts.allow i /etc/hosts.deny. domyślnie: no (od wersji 5.00)
- local = HOST
- IP źródła do nawiązywania zdalnych połączeń Domyślnie używane jest IP najbardziej zewnętrznego interfejsu w stronę serwera, do którego nawiązywane jest połączenie.
- sni = USŁUGA:WZORZEC_NAZWY_SERWERA (tryb serwera)
- Użyj usługi jako podrzędnej (virtualnego serwera) dla rozszerzenia TLS Server Name Indication (RFC 3546). nazwa_usługi wskazuje usługę nadrzędną, która odbiera połączenia od klientów przy pomocy opcji accept. wzorzec_nazwy_serwera wskazuje nazwę serwera wirtualnego. Wzorzec może zaczynać się znakiem '*', np. '*.example.com". Z pojedyńczą usługą nadrzędną powiązane jest zwykle wiele usług podrzędnych. Opcja sni może być rownież użyta wielokrotnie w ramach jednej usługi podrzędnej. Zarówno usługa nadrzędna jak i podrzędna nie może być skonfigurowana w trybie klienckim. Opcja connect usługi podrzędnej jest ignorowana w połączeniu z opcją protocol, gdyż połączenie do zdalnego serwera jest w tym wypadku nawiązywane przed negocjacją TLS. Uwierzytelnienie przy pomocy biblioteki libwrap jest realizowane dwukrotnie: najpierw dla usługi nadrzędnej po odebraniu połączenia TCP, a następnie dla usługi podrzędnej podczas negocjacji TLS. Opcja sni jest dostępna począwszy od OpenSSL 1.0.0.
- sni = HOST (tryb klienta)
- Użyj parametru jako wartości rozszerzenia TLS Server Name Indication (RFC 3546). Opcja sni jest dostępna począwszy od OpenSSL 1.0.0.
- OCSP = URL
- serwer OCSP do weryfikacji certyfikatów
- OCSPflag = FLAGA_OCSP
- flaga serwera OCSP aktualnie wspierane flagi: NOCERTS, NOINTERN NOSIGS, NOCHAIN, NOVERIFY, NOEXPLICIT, NOCASIGN, NODELEGATED, NOCHECKS, TRUSTOTHER, RESPID_KEY, NOTIME Aby wyspecyfikować kilka flag należy użyć OCSPflag wielokrotnie.
- options = OPCJE_SSL
- opcje biblioteki OpenSSL
Parametrem jest nazwa opcji zgodnie z opisem w
SSL_CTX_set_options (3ssl), ale bez przedrostka
SSL_OP_. Aby wyspecyfikować kilka opcji należy
użyć options wielokrotnie.
Na przykład dla zachowania kompatybilności z
błędami implementacji SSL w programie Eudora można
użyć opcji:
options = DONT_INSERT_EMPTY_FRAGMENTS
- protocol = PROTOKÓŁ
- negocjuj SSL podanym protokołem aplikacyjnym Opcja ta włącza wstępną negocjację szyfrowania SSL dla wybranego protokołu aplikacyjnego. Opcji protocol nie należy używać z szyfrowaniem SSL na osobnym porcie. Aktualnie wspierane protokoły:
- cifs
- Unieudokumentowane rozszerzenie protokołu CIFS wspierane przez serwer Samba. Wsparcie dla tego rozrzeczenia zostało zarzucone w wersji 3.0.0 serwera Samba.
- connect
- Negocjacja RFC 2817 - Upgrading to TLS Within HTTP/1.1, rozdział 5.2 - Requesting a Tunnel with CONNECT Ten protokół jest wspierany wyłącznie w trybie klienckim.
- imap
- Negocjacja RFC 2595 - Using TLS with IMAP, POP3 and ACAP
- nntp
- Negocjacja RFC 4642 - Using Transport Layer Security (TLS) with Network News Transfer Protocol (NNTP) Ten protokół jest wspierany wyłącznie w trybie klienckim.
- pop3
- Negocjacja RFC 2449 - POP3 Extension Mechanism
- proxy
- Przekazywanie adresu IP haproxy http://haproxy.1wt.eu/download/1.5/doc/proxy-protocol.txt
- smtp
- Negocjacja RFC 2487 - SMTP Service Extension for Secure SMTP over TLS
- protocolAuthentication = basic | ntlm
- rodzaj uwierzytelnienia do negocjacji protokołu Obecnie typ uwierzytelnienia ma zastosowanie wyłącznie w protokole 'connect'. domyślnie: basic
- protocolHost = HOST:PORT
- adres docelowy do negocjacji protokołu protocolHost określa docelowy serwer SSL, do którego połączyć ma się proxy. Nie jest to adres serwera proxy, do którego połączenie zestawia stunnel. Adres serwera proxy powinien być określony przy pomocy opcji 'connect'. W obecnej wersji adres docelowy protokołu ma zastosowanie wyłącznie w protokole 'connect'.
- protocolPassword = HASŁO
- hasło do negocjacji protokołu
- protocolUsername = UŻYTKOWNIK
- nazwa użytkownika do negocjacji protokołu
- pty = yes | no (tylko Unix)
- alokuj pseudoterminal dla programu uruchamianego w opcji 'exec'
- redirect = [HOST:]PORT
- przekieruj klienta, któremu nie udało się poprawnie uwierzytelnić Ta opcja działa wyłącznie w trybie serwera, oraz przy wyłączonej negocjacji protokołu aplikacyjnego.
- renegotiation = yes | no
- pozwalaj na renegocjację SSL Wśród zastosowań renegocjacji SSL są niektóre scenariusze uwierzytelnienia, oraz renegocjacja kluczy dla długotrwałych połączeń. Z drugiej strony własność na może ułatwić trywialny atak DoS poprzez wygenerowanie obciążenia procesora: http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html Warto zauważyć, że zablokowanie renegocjacji SSL nie zebezpiecza w pełni przed opisanym problemem. domyślnie: yes (o ile wspierane przez OpenSSL)
- reset = yes | no
- sygnalizuj wystąpienie błędu przy pomocy flagi TCP RST Ta opcja nie jest wspierana na niektórych platformach. domyślnie: yes
- retry = yes | no
- połącz ponownie sekcję connect+exec po rozłączeniu domyślnie: no
- sessionCacheSize = LICZBA_POZYCJI_CACHE
- rozmiar pamięci podręcznej sesji SSL Parametr określa maksymalną liczbę pozycji wewnętrznej pamięci podręcznej sesji. Wartość 0 oznacza brak ograniczenia rozmiaru. Nie jest to zalecane dla systemów produkcyjnych z uwagi na ryzyko ataku DoS przez wyczerpanie pamięci RAM.
- sessionCacheTimeout = LICZBA_SEKUND
- przeterminowanie pamięci podręcznej sesji SSL Parametr określa czas w sekundach, po którym sesja SSL zostanie usunięta z pamięci podręcznej.
- sessiond = HOST:PORT
- adres sessiond - servera cache sesji SSL
- sslVersion = WERSJA_SSL
- wersja protokołu SSL Dozwolone opcje: all, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
- stack = LICZBA_BAJTÓW (z wyjątkiem modelu FORK)
- rozmiar stosu procesora wątku
- TIMEOUTbusy = LICZBA_SEKUND
- czas oczekiwania na spodziewane dane
- TIMEOUTclose = LICZBA_SEKUND
- czas oczekiwania na close_notify (ustaw na 0, jeżeli klientem jest MSIE)
- TIMEOUTconnect = LICZBA_SEKUND
- czas oczekiwania na nawiązanie połączenia
- TIMEOUTidle = LICZBA_SEKUND
- maksymalny czas utrzymywania bezczynnego połączenia
- transparent = none | source | destination | both (tylko Unix)
- tryb przezroczystego proxy na wspieranych platformach Wspierane opcje:
- none
- Zablokuj wsparcie dla przezroczystago proxy. Jest to wartość domyślna.
- source
- Przepisz adres, aby nawiązywane połączenie wydawało się pochodzić bezpośrednio od klienta, a nie od programu stunnel. Opcja jest aktualnie obsługiwana w:
- Trybie zdalnym (opcja connect) w systemie Linux >=2.6.28
- Konfiguracja wymaga następujących ustawień iptables
oraz routingu (na przykład w pliku /etc/rc.local lub analogicznym):
iptables -t mangle -N DIVERT iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT iptables -t mangle -A DIVERT -j MARK --set-mark 1 iptables -t mangle -A DIVERT -j ACCEPT ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 echo 0 >/proc/sys/net/ipv4/conf/lo/rp_filter
Konfiguracja ta wymaga, aby stunnel był wykonywany jako root i bez opcji setuid.
- Trybie zdalnym (opcja connect) w systemie Linux 2.2.x
- Konfiguracja ta wymaga skompilowania jądra z opcją transparent proxy. Docelowa usługa musi być umieszczona na osobnej maszynie, do której routing kierowany jest poprzez serwer stunnela. Dodatkowo stunnel powinien być wykonywany jako root i bez opcji setuid.
- Trybie zdalnym (opcja connect) w systemie FreeBSD >=8.0
- Konfiguracja ta wymaga skonfigurowania firewalla i routingu. stunnel musi być wykonywany jako root i bez opcji setuid.
- Trybie lokalnym (opcja exec)
- Konfiguracja ta jest realizowana przy pomocy biblioteki libstunnel.so. Do załadowania biblioteki wykorzystywana jest zmienna środowiskowa _RLD_LIST na platformie Tru64 lub LD_PRELOAD na innych platformach.
- destination
- Oryginalny adres docelowy jest używany zamiast opcji
connect.
Przykładowana konfiguracja przezroczystego adresu docelowego:
[transparent] client=yes accept=<port_stunnela> transparent=destination
Konfiguracja wymaga ustawień iptables, na przykład w pliku /etc/rc.local lub analogicznym. W przypadku docelowej usługi umieszczonej na tej samej maszynie:/sbin/iptables -t nat -I OUTPUT -p tcp --dport <port_przekierowany> \ -m ! --uid-owner <identyfikator_użytkownika_stunnela> \ -j DNAT --to-destination <lokalne_ip>:<lokalny_port>
W przypadku docelowej usługi umieszczonej na zdalnej maszynie:/sbin/iptables -I INPUT -i eth0 -p tcp --dport <port_stunnela> -j ACCEPT /sbin/iptables -t nat -I PREROUTING -p tcp --dport <port_przekierowany> \ -i eth0 -j DNAT --to-destination <lokalne_ip>:<port_stunnela>
Przezroczysty adres docelowy jest aktualnie wspierany wyłącznie w systemie Linux.
- both
- Użyj przezroczystego proxy zarówno dla adresu źródłowego jak i docelowego.
Dla zapewnienia kompatybilności z wcześniejszymim wersjami
wspierane są dwie dodatkowe opcje:
- yes
- Opcja została przemianowana na source.
- no
- Opcja została przemianowana na none.
- verify = POZIOM
- weryfikuj certyfikat drugiej strony połączenia
- poziom 0
- zarządaj certyfikatu i zignoruj go
- poziom 1
- weryfikuj, jeżeli został przedstawiony
- poziom 2
- weryfikuj z zainstalowanym certyfikatem Centrum Certyfikacji
- poziom 3
- weryfikuj z lokalnie zainstalowanym certyfikatem drugiej strony
- poziom 4
- weryfikuj z certyfikatem drugiej strony ignorując łańcuch CA
- domyślnie
- nie weryfikuj
ZWRACANA WARTOŚĆ¶
stunnel zwraca zero w przypadku sukcesu, lub wartość niezerową w przypadku błędu.SIGNAŁY¶
Następujące sygnały mogą być użyte do sterowania programem w systemie Unix:- SIGHUP
- Załaduj ponownie plik konfiguracyjny. Niektóre globalne opcje nie będą przeładowane:
- •
- chroot
- •
- foreground
- •
- pid
- •
- setgid
- •
- setuid
Jeżeli wykorzystywana jest opcja 'setuid' stunnel nie
będzie mógł załadować ponownie konfiguracji
wykorzystującej uprzywilejowane (<1024) porty.
Jeżeli wykorzystywana jest opcja 'chroot' stunnel będzie
szukał wszystkich potrzebnych plików (łącznie z
plikiem konfiguracyjnym, certyfikatami, logiem i plikiem pid) wewnątrz
katalogu wskazanego przez 'chroot'.
- SIGUSR1
- Zamknij i otwórz ponownie log. Funkcja ta może zostać użyta w skrypcie rotującym log programu stunnel.
- SIGTERM, SIGQUIT, SIGINT
- Zakończ działanie programu.
PRZYKŁADY¶
Szyfrowanie połączeń do lokalnego serwera imapd można użyć:[imapd] accept = 993 exec = /usr/sbin/imapd execargs = imapdalbo w trybie zdalnym:
[imapd] accept = 993 connect = 143Aby umożliwić lokalnemu klientowi poczty elektronicznej korzystanie z serwera imapd przez SSL należy skonfigurować pobieranie poczty z adresu localhost i portu 119, oraz użyć następującej konfiguracji:
[imap] client = yes accept = 143 connect = serwer:993W połączeniu z programem pppd stunnel pozwala zestawić prosty VPN. Po stronie serwera nasłuchującego na porcie 2020 jego konfiguracja może wyglądać następująco:
[vpn] accept = 2020 exec = /usr/sbin/pppd execargs = pppd local pty = yesPoniższy plik konfiguracyjny może być wykorzystany do uruchomienia programu stunnel w trybie inetd. Warto zauważyć, że w pliku konfiguracyjnym nie ma sekcji [nazwa_usługi].
exec = /usr/sbin/imapd execargs = imapd
NOTKI¶
OGRANICZENIA¶
stunnel nie może być używany do szyfrowania protokołu FTP, ponieważ do przesyłania poszczególnych plików używa on dodatkowych połączeń otwieranych na portach o dynamicznie przydzielanych numerach. Istnieją jednak specjalne wersje klientów i serwerów FTP pozwalające na szyfrowanie przesyłanych danych przy pomocy protokołu SSL.TRYB INETD (tylko Unix)¶
W większości zastosowań stunnel samodzielnie nasłuchuje na porcie podanym w pliku konfiguracyjnym i tworzy połączenie z innym portem podanym w opcji connect lub nowym programem podanym w opcji exec. Niektórzy wolą jednak wykorzystywać oddzielny program, który odbiera połączenia, po czym uruchamia program stunnel. Przykładami takich programów są inetd, xinetd i tcpserver. Przykładowa linia pliku /etc/inetd.conf może wyglądać tak:imaps stream tcp nowait root /usr/bin/stunnel stunnel /etc/stunnel/imaps.confPonieważ w takich przypadkach połączenie na zdefiniowanym porcie (tutaj imaps) nawiązuje osobny program (tutaj inetd), stunnel nie może używać opcji accept. W pliku konfiguracyjnym nie może być również zdefiniowana żadna usługa ( [nazwa_usługi]), ponieważ konfiguracja taka pozwala na nawiązanie tylko jednego połączenia. Wszystkie OPCJE USŁUG powinny być umieszczone razem z opcjami globalnymi. Przykład takiej konfiguracji znajduje się w sekcji PRZYKŁADY.
CERTYFIKATY¶
Protokół SSL wymaga, aby każdy serwer przedstawiał się nawiązującemu połączenie klientowi prawidłowym certyfikatem X.509. Potwierdzenie tożsamości serwera polega na wykazaniu, że posiada on odpowiadający certyfikatowi klucz prywatny. Najprostszą metodą uzyskania certyfikatu jest wygenerowanie go przy pomocy wolnego pakietu OpenSSL. Więcej informacji na temat generowania certyfikatów można znaleźć na umieszczonych poniżej stronach. Istotną kwestią jest kolejność zawartości pliku .pem. W pierwszej kolejności powinien on zawierać klucz prywatny, a dopiero za nim podpisany certyfikat (nie żądanie certyfikatu). Po certyfikacie i kluczu prywatnym powinny znajdować się puste linie. Jeżeli przed certyfikatem znajdują się dodatkowe informacje tekstowe, to powinny one zostać usunięte. Otrzymany plik powinien mieć następującą postać:-----BEGIN RSA PRIVATE KEY----- [zakodowany klucz] -----END RSA PRIVATE KEY----- [pusta linia] -----BEGIN CERTIFICATE----- [zakodowany certyfikat] -----END CERTIFICATE----- [pusta linia]
LOSOWOŚĆ¶
stunnel potrzebuje zainicjować PRNG (generator liczb pseudolosowych), gdyż protokół SSL wymaga do bezpieczeństwa kryptograficznego źródła dobrej losowości. Następujące źródła są kolejno odczytywane aż do uzyskania wystarczającej ilości entropii:- •
- Zawartość pliku podanego w opcji RNDfile.
- •
- Zawartość pliku o nazwie określonej przez zmienną środowiskową RANDFILE, o ile jest ona ustawiona.
- •
- Plik .rnd umieszczony w katalogu domowym użytkownika, jeżeli zmienna RANDFILE nie jest ustawiona.
- •
- Plik podany w opcji '--with-random' w czasie konfiguracji programu.
- •
- Zawartość ekranu w systemie Windows.
- •
- Gniazdo egd, jeżeli użyta została opcja EGD.
- •
- Gniazdo egd podane w opcji '--with-egd-socket' w czasie konfiguracji programu.
- •
- Urządzenie /dev/urandom.
PARAMETRY DH¶
Począwszy od wersji 4.40 stunnel zawiera w kodzie programu 2048-bitowe parametry DH. Alternatywnie parametry DH można umieścić w pliku razem z certyfikatem:openssl dhparam 2048 >> stunnel.pemWygenerowanie parametrów DH może zająć nawet wiele minut.
PLIKI¶
- stunnel.conf
- plik konfiguracyjny programu
BŁĘDY¶
Opcja execargs oraz linia komend Win32 nie obsługuje cytowania.ZOBACZ RÓWNIEŻ¶
- tcpd(8)
- biblioteka kontroli dostępu do usług internetowych
- inetd(8)
- 'super-serwer' internetowy
- http://www.stunnel.org/
- strona domowa programu stunnel
- http://www.openssl.org/
- strona projektu OpenSSL
AUTOR¶
- Michał Trojnara
- <Michal.Trojnara@mirt.net>
2014.10.15 | 5.06 |