Stunnel: Difference between revisions
No edit summary |
|||
(17 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
= Juhendi autor ja versioneerimine = | |||
'''Nimi:''' Janar Viidermets<br /> | '''Nimi:''' Janar Viidermets<br /> | ||
'''Grupp:''' AK41<br /> | '''Grupp:''' AK41<br /> | ||
Line 16: | Line 17: | ||
| 27.04.2011 | | 27.04.2011 | ||
|style="text-align: left;"| Sissejuhatuse kirjutamine | |style="text-align: left;"| Sissejuhatuse kirjutamine | ||
|- | |- | ||
| 0.3 | | 0.3 | ||
| 28.04.2011 | | 28.04.2011 | ||
|style="text-align: left;"| Stunneli kasutamine läbi teenuse Samba | |style="text-align: left;"| Stunneli kasutamine läbi teenuse Samba | ||
|- | |||
| 0.4 | |||
| 13.06.2011 | |||
|style="text-align: left;"| Kokkuvõte | |||
|- | |- | ||
|} | |} | ||
= Sissejuhatus = | |||
Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebakindel | Stunnel on andmete edastamine turvalise sidekanal abil. Stunneli tarkvara on loodud nii Linuxi kui ka Windowsi platvormile. | ||
Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebaturvaline (ebakindel) sidekanal oleksid edastamise ajal krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate versioonidega, praegune versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni. | |||
Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne). Mõlemad protokollid peavad kasutajaid autentima kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks. | Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne). Mõlemad protokollid peavad kasutajaid autentima kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker või kräkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks. | ||
= Legend = | |||
Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel. | Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel. | ||
= Skoop = | |||
Skoobis on Stunneli paigaldamine ja häälestamine openSSH vahendusel, Samba paigaldamine ja häälestamine nii serveri kui ka kliendi vaates. | Skoobis on Stunneli paigaldamine ja häälestamine openSSH vahendusel, Samba paigaldamine ja häälestamine nii serveri kui ka kliendi vaates. | ||
= Eeldused = | |||
*Eelduseks on vähemalt kahe riistvara (arvuti) olemasolu, millest üks täidab serveri funksiooni ja teine kliendi arvuti. | *Eelduseks on vähemalt kahe riistvara (arvuti) olemasolu, millest üks täidab serveri funksiooni ja teine kliendi arvuti. | ||
*Mõlemale arvutile on paigaldatud Ubuntu operatsioonsüsteem (Ubuntu desktop ja Ubuntu server). | *Mõlemale arvutile on paigaldatud Ubuntu operatsioonsüsteem (Ubuntu desktop ja Ubuntu server). | ||
*Mõlemad arvutid peavad asuma arvutivõrgus. | *Mõlemad arvutid peavad asuma arvutivõrgus. | ||
= Paigaldamine ja häälestamine = | |||
==Tarkvara paigaldamine== | |||
Kõige pealt veendume, et operatsioonsüsteemi uuendused on installeeritud (peale pandud). | |||
<pre>apt-get update</pre> | |||
Paigaldame Samba ja Stunneli tarkvara | |||
<pre>apt-get install samba</pre> | <pre>apt-get install samba</pre> | ||
<pre>apt-get install stunnel</pre> | <pre>apt-get install stunnel</pre> | ||
==Serveri häälestamine == | |||
Seadistame Samba. Selleks avame samba conf faili | Seadistame Samba. Selleks avame samba conf faili | ||
Line 62: | Line 71: | ||
<pre>openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem</pre> | <pre>openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem</pre> | ||
Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf | Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf | ||
<pre>/etc/stunnel/stunnel.conf</pre> | <pre>nano /etc/stunnel/stunnel.conf</pre> | ||
ja täiendame Stunneli conf faili | ja täiendame Stunneli conf faili | ||
<pre>cert = /etc/stunnel/stunnel.pem | <pre>cert = /etc/stunnel/stunnel.pem | ||
Line 70: | Line 79: | ||
connect = 139</pre> | connect = 139</pre> | ||
Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4 | Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4 | ||
<pre>/etc/default/stunnel4</pre> | <pre>nano /etc/default/stunnel4</pre> | ||
ja muuta vääruseks 1 vaikimisi on 0 | ja muuta vääruseks 1 vaikimisi on 0 | ||
<pre>ENABLED=1</pre> | <pre>ENABLED=1</pre> | ||
Line 76: | Line 85: | ||
<pre>/etc/init.d/stunnel4 restart</pre> | <pre>/etc/init.d/stunnel4 restart</pre> | ||
==Kliendiarvuti poolne tarkvara paigaldamine ja häälestamine== | |||
Installeerime stunneli ja samba kliendi | Installeerime stunneli ja samba kliendi | ||
<pre>apt-get install smbclient stunnel</pre> | <pre>apt-get install smbclient stunnel</pre> | ||
Line 89: | Line 98: | ||
Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4 | Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4 | ||
<pre>/etc/default/stunnel4</pre> | <pre>nano /etc/default/stunnel4</pre> | ||
ja muuta vääruseks 1 vaikimisi on 0 | ja muuta vääruseks 1 vaikimisi on 0 | ||
<pre>ENABLED=1</pre> | <pre>ENABLED=1</pre> | ||
Line 96: | Line 105: | ||
Ühenduse testimiseks saame kasutada samba klienti | Ühenduse testimiseks saame kasutada samba klienti | ||
<pre>smbclient -U user //localhost/sambashare</pre> | <pre>smbclient -U user //localhost/sambashare</pre> | ||
=Varundamine= | |||
Kõige parem lahendus on kasutada rsync koos IBackup. Seda saab lugeda täpsemalt siit [http://www.ibackup.com/online-backup-linux/] | |||
=Kokkuvõte= | |||
Antud artiklis tutvustatakse Stunnel’i kasutamist Samba näitel, kirjeldades täpsemalt krüpteritud andmete liikumist sisevõrgust läbi avaliku internetipilve teise sisevõrku. | |||
Artikli koostamisel on tutvutud Stunnel’i erinevate võimalustega, siiski antud artiklis on kirjeldatud ainult väike osa sellest. Huvipakkuvaks võimaluseks võib nimetada veel e-maili kasutamine jne, mille kirjeldus antud artiklis kajastamist ei leia. | |||
=Kasulikud viited= | |||
http://www.vbox4php.org/unix/network-and-scripts/break-out<br/> | |||
http://linuxgazette.net/107/odonovan.html<br/> | |||
[[Category:IT infrastruktuuri teenused]] | [[Category:IT infrastruktuuri teenused]] |
Latest revision as of 10:24, 13 June 2011
Juhendi autor ja versioneerimine
Nimi: Janar Viidermets
Grupp: AK41
Versioon | Kuupäev | Kommentaar |
---|---|---|
0.1 | 26.04.2011 | Struktuuri loomine |
0.2 | 27.04.2011 | Sissejuhatuse kirjutamine |
0.3 | 28.04.2011 | Stunneli kasutamine läbi teenuse Samba |
0.4 | 13.06.2011 | Kokkuvõte |
Sissejuhatus
Stunnel on andmete edastamine turvalise sidekanal abil. Stunneli tarkvara on loodud nii Linuxi kui ka Windowsi platvormile. Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebaturvaline (ebakindel) sidekanal oleksid edastamise ajal krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate versioonidega, praegune versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni.
Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne). Mõlemad protokollid peavad kasutajaid autentima kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker või kräkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks.
Legend
Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.
Skoop
Skoobis on Stunneli paigaldamine ja häälestamine openSSH vahendusel, Samba paigaldamine ja häälestamine nii serveri kui ka kliendi vaates.
Eeldused
- Eelduseks on vähemalt kahe riistvara (arvuti) olemasolu, millest üks täidab serveri funksiooni ja teine kliendi arvuti.
- Mõlemale arvutile on paigaldatud Ubuntu operatsioonsüsteem (Ubuntu desktop ja Ubuntu server).
- Mõlemad arvutid peavad asuma arvutivõrgus.
Paigaldamine ja häälestamine
Tarkvara paigaldamine
Kõige pealt veendume, et operatsioonsüsteemi uuendused on installeeritud (peale pandud).
apt-get update
Paigaldame Samba ja Stunneli tarkvara
apt-get install samba
apt-get install stunnel
Serveri häälestamine
Seadistame Samba. Selleks avame samba conf faili
nano /etc/samba/smb.conf
Seadistame, et samba kuulab ainult localhosti
interfaces = 127.0.0.0/8 bind interfaces only = yes
Teeme Sambale restardi
/etc/init.d/samba restart
Teeme SSL sertifikaadi ja võtme
openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem
Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf
nano /etc/stunnel/stunnel.conf
ja täiendame Stunneli conf faili
cert = /etc/stunnel/stunnel.pem [smb] accept = 8139 connect = 139
Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4
nano /etc/default/stunnel4
ja muuta vääruseks 1 vaikimisi on 0
ENABLED=1
Teeme Stunnelile restardi
/etc/init.d/stunnel4 restart
Kliendiarvuti poolne tarkvara paigaldamine ja häälestamine
Installeerime stunneli ja samba kliendi
apt-get install smbclient stunnel
Muudame stunnel.conf faili kuulama localhost:139 porti ja seda edastama serveri 8139 pordile
nano /etc/stunnel/stunnel.conf
connect = {ip} tuleb panna serveri IP aadress
client = yes [smb] accept = localhost:139 connect = {ip}:8139
Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4
nano /etc/default/stunnel4
ja muuta vääruseks 1 vaikimisi on 0
ENABLED=1
Teeme stunnelile restardi
/etc/init.d/stunnel4 restart
Ühenduse testimiseks saame kasutada samba klienti
smbclient -U user //localhost/sambashare
Varundamine
Kõige parem lahendus on kasutada rsync koos IBackup. Seda saab lugeda täpsemalt siit [1]
Kokkuvõte
Antud artiklis tutvustatakse Stunnel’i kasutamist Samba näitel, kirjeldades täpsemalt krüpteritud andmete liikumist sisevõrgust läbi avaliku internetipilve teise sisevõrku. Artikli koostamisel on tutvutud Stunnel’i erinevate võimalustega, siiski antud artiklis on kirjeldatud ainult väike osa sellest. Huvipakkuvaks võimaluseks võib nimetada veel e-maili kasutamine jne, mille kirjeldus antud artiklis kajastamist ei leia.
Kasulikud viited
http://www.vbox4php.org/unix/network-and-scripts/break-out
http://linuxgazette.net/107/odonovan.html