Stunnel: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Jviiderm (talk | contribs)
Jviiderm (talk | contribs)
No edit summary
 
(43 intermediate revisions by the same user not shown)
Line 1: Line 1:
== Autor ==  
 
= Juhendi autor ja versioneerimine =  
'''Nimi:''' Janar Viidermets<br />
'''Nimi:''' Janar Viidermets<br />
'''Grupp:''' AK41<br />
'''Grupp:''' AK41<br />


== Versioon ==


{| border="2" cellpadding="3" style="text-align: center;"
{| border="2" cellpadding="3" style="text-align: center;"
Line 17: Line 17:
|  27.04.2011
|  27.04.2011
|style="text-align: left;"|  Sissejuhatuse kirjutamine
|style="text-align: left;"|  Sissejuhatuse kirjutamine
|-
|  0.3
|  28.04.2011
|style="text-align: left;"|  Stunneli kasutamine läbi teenuse Samba
|-
|  0.4
|  13.06.2011
|style="text-align: left;"|  Kokkuvõte
|-
|-
|}
|}


== Sissejuhatus ==
= Sissejuhatus =
 
Stunnel on andmete edastamine turvalise sidekanal abil. Stunneli tarkvara on loodud nii Linuxi kui ka Windowsi platvormile.
Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebaturvaline (ebakindel) sidekanal oleksid edastamise ajal  krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate versioonidega, praegune  versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni.
 
Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine  POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne).  Mõlemad protokollid peavad kasutajaid autentima  kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker või kräkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks.
 
= Legend =
Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.
 
= Skoop =
Skoobis on Stunneli paigaldamine ja häälestamine openSSH vahendusel, Samba paigaldamine ja häälestamine nii serveri kui ka kliendi vaates.
 
= Eeldused =
*Eelduseks on vähemalt kahe riistvara (arvuti) olemasolu, millest üks täidab serveri funksiooni ja teine kliendi arvuti.
*Mõlemale arvutile on paigaldatud Ubuntu operatsioonsüsteem (Ubuntu desktop ja Ubuntu server).
*Mõlemad arvutid peavad asuma arvutivõrgus.


Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebakindel (ebaturvaline) sidekanal oleksid edastamise ajal  krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate verioonidega, praegune  versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni.
= Paigaldamine ja häälestamine =


Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine  POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel.  Mõlemad protokollid peavad kasutajaid autentima  kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks.


== Nõuded ==
Kasutame Ubuntu server 9.04 või sellest kõrgemat versiooni


== Eeldused ==
==Tarkvara paigaldamine==
vajalik on root õigustes kasutajat
<pre>sudo -i</pre>


uuendame nimekirja, et paigaldatav tarkvara oleks võimalikult uus:
Kõige pealt veendume, et operatsioonsüsteemi uuendused on installeeritud (peale pandud).
<pre>apt-get update</pre>
<pre>apt-get update</pre>
vajalik on root õigustes kasutajat
Paigaldame Samba ja Stunneli tarkvara
<pre>sudo -i</pre>
<pre>apt-get install samba</pre>
Keskkonda on paigaldatud '''vim''', '''mc''' ja '''openssh-server'''
<pre>apt-get install stunnel</pre>
<pre>apt-get install vim</pre>
 
<pre>apt-get install mc</pre>
==Serveri häälestamine ==
<pre>apt-get install openssh-server</pre>
 
Seadistame Samba. Selleks avame samba conf faili
<pre>nano /etc/samba/smb.conf</pre>
Seadistame, et samba kuulab ainult localhosti
<pre>interfaces = 127.0.0.0/8
 
bind interfaces only = yes</pre>
Teeme Sambale restardi
<pre>/etc/init.d/samba restart</pre>
Teeme SSL sertifikaadi ja võtme
<pre>openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem</pre>
Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf
<pre>nano /etc/stunnel/stunnel.conf</pre>
ja täiendame Stunneli conf faili
<pre>cert = /etc/stunnel/stunnel.pem
[smb]
accept = 8139
connect = 139</pre>
Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4
<pre>nano /etc/default/stunnel4</pre>
ja muuta vääruseks 1 vaikimisi on 0
<pre>ENABLED=1</pre>
Teeme Stunnelile restardi
<pre>/etc/init.d/stunnel4 restart</pre>
 
==Kliendiarvuti poolne tarkvara paigaldamine ja häälestamine==
Installeerime stunneli ja samba kliendi
<pre>apt-get install smbclient stunnel</pre>
Muudame stunnel.conf faili kuulama localhost:139 porti ja seda edastama serveri 8139 pordile
<pre>nano /etc/stunnel/stunnel.conf </pre>
connect = {ip} tuleb panna serveri IP aadress
<pre>client = yes
[smb]
accept = localhost:139
connect = {ip}:8139</pre>
 
Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4
<pre>nano /etc/default/stunnel4</pre>
ja muuta vääruseks 1 vaikimisi on 0
<pre>ENABLED=1</pre>
Teeme stunnelile restardi
<pre>/etc/init.d/stunnel4 restart</pre>
Ühenduse testimiseks saame kasutada samba klienti
<pre>smbclient -U user //localhost/sambashare</pre>
 
=Varundamine=
Kõige parem lahendus on kasutada rsync koos IBackup. Seda saab lugeda täpsemalt siit [http://www.ibackup.com/online-backup-linux/]


== Installeerimine ==
=Kokkuvõte=
Installeerime Stunneli
Antud artiklis tutvustatakse Stunnel’i kasutamist Samba näitel, kirjeldades täpsemalt krüpteritud  andmete liikumist sisevõrgust läbi avaliku internetipilve teise sisevõrku.
<pre>apt-get install stunnel4</pre>
Artikli koostamisel on tutvutud Stunnel’i  erinevate võimalustega, siiski antud artiklis on  kirjeldatud ainult väike osa sellest. Huvipakkuvaks võimaluseks võib nimetada veel e-maili kasutamine jne, mille kirjeldus antud artiklis kajastamist ei leia.
Installeerime OpenSSL
<pre>apt-get install openssl</pre>


== Konfigureerimine ==
=Kasulikud viited=
http://www.vbox4php.org/unix/network-and-scripts/break-out<br/>
http://linuxgazette.net/107/odonovan.html<br/>


[[Category:IT infrastruktuuri teenused]]
[[Category:IT infrastruktuuri teenused]]

Latest revision as of 10:24, 13 June 2011

Juhendi autor ja versioneerimine

Nimi: Janar Viidermets
Grupp: AK41


Versioon Kuupäev Kommentaar
0.1 26.04.2011 Struktuuri loomine
0.2 27.04.2011 Sissejuhatuse kirjutamine
0.3 28.04.2011 Stunneli kasutamine läbi teenuse Samba
0.4 13.06.2011 Kokkuvõte

Sissejuhatus

Stunnel on andmete edastamine turvalise sidekanal abil. Stunneli tarkvara on loodud nii Linuxi kui ka Windowsi platvormile. Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebaturvaline (ebakindel) sidekanal oleksid edastamise ajal krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate versioonidega, praegune versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni.

Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne). Mõlemad protokollid peavad kasutajaid autentima kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker või kräkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks.

Legend

Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.

Skoop

Skoobis on Stunneli paigaldamine ja häälestamine openSSH vahendusel, Samba paigaldamine ja häälestamine nii serveri kui ka kliendi vaates.

Eeldused

  • Eelduseks on vähemalt kahe riistvara (arvuti) olemasolu, millest üks täidab serveri funksiooni ja teine kliendi arvuti.
  • Mõlemale arvutile on paigaldatud Ubuntu operatsioonsüsteem (Ubuntu desktop ja Ubuntu server).
  • Mõlemad arvutid peavad asuma arvutivõrgus.

Paigaldamine ja häälestamine

Tarkvara paigaldamine

Kõige pealt veendume, et operatsioonsüsteemi uuendused on installeeritud (peale pandud).

apt-get update

Paigaldame Samba ja Stunneli tarkvara

apt-get install samba
apt-get install stunnel

Serveri häälestamine

Seadistame Samba. Selleks avame samba conf faili

nano /etc/samba/smb.conf

Seadistame, et samba kuulab ainult localhosti

interfaces = 127.0.0.0/8

bind interfaces only = yes

Teeme Sambale restardi

/etc/init.d/samba restart

Teeme SSL sertifikaadi ja võtme

openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem

Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf

nano /etc/stunnel/stunnel.conf

ja täiendame Stunneli conf faili

cert = /etc/stunnel/stunnel.pem
 
[smb]
accept = 8139
connect = 139

Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4

nano /etc/default/stunnel4

ja muuta vääruseks 1 vaikimisi on 0

ENABLED=1

Teeme Stunnelile restardi

/etc/init.d/stunnel4 restart

Kliendiarvuti poolne tarkvara paigaldamine ja häälestamine

Installeerime stunneli ja samba kliendi

apt-get install smbclient stunnel

Muudame stunnel.conf faili kuulama localhost:139 porti ja seda edastama serveri 8139 pordile

nano /etc/stunnel/stunnel.conf 

connect = {ip} tuleb panna serveri IP aadress

client = yes
 
[smb]
accept = localhost:139
connect = {ip}:8139

Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4

nano /etc/default/stunnel4

ja muuta vääruseks 1 vaikimisi on 0

ENABLED=1

Teeme stunnelile restardi

/etc/init.d/stunnel4 restart

Ühenduse testimiseks saame kasutada samba klienti

smbclient -U user //localhost/sambashare

Varundamine

Kõige parem lahendus on kasutada rsync koos IBackup. Seda saab lugeda täpsemalt siit [1]

Kokkuvõte

Antud artiklis tutvustatakse Stunnel’i kasutamist Samba näitel, kirjeldades täpsemalt krüpteritud andmete liikumist sisevõrgust läbi avaliku internetipilve teise sisevõrku. Artikli koostamisel on tutvutud Stunnel’i erinevate võimalustega, siiski antud artiklis on kirjeldatud ainult väike osa sellest. Huvipakkuvaks võimaluseks võib nimetada veel e-maili kasutamine jne, mille kirjeldus antud artiklis kajastamist ei leia.

Kasulikud viited

http://www.vbox4php.org/unix/network-and-scripts/break-out
http://linuxgazette.net/107/odonovan.html