Stunnel: Difference between revisions
Line 31: | Line 31: | ||
== Legend == | == Legend == | ||
Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad faile | Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel. | ||
== Skoop == | == Skoop == |
Revision as of 11:42, 28 April 2011
Juhendi autor ja versioneerimine
Nimi: Janar Viidermets
Grupp: AK41
Versioon | Kuupäev | Kommentaar |
---|---|---|
0.1 | 26.04.2011 | Struktuuri loomine |
0.2 | 27.04.2011 | Sissejuhatuse kirjutamine |
0.3 | 28.04.2011 | Stunneli kasutamine läbi teenuse Samba |
Sissejuhatus
Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebakindel (ebaturvaline) sidekanal oleksid edastamise ajal krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate verioonidega, praegune versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni.
Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne). Mõlemad protokollid peavad kasutajaid autentima kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks.
Legend
Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.
Skoop
Nõuded
Kasutame Ubuntu server 9.04 või sellest uuemat versiooni
Eeldused
vajalik on root õigustes kasutajat
sudo -i
uuendame nimekirja, et paigaldatav tarkvara oleks võimalikult uus:
apt-get update
vajalik on root õigustes kasutajat
sudo -i
Keskkonda on paigaldatud vim, mc ja openssh-server
apt-get install vim
apt-get install mc
apt-get install openssh-server
Installeerimine
Installeerime Stunneli
apt-get install stunnel4
Installeerime OpenSSL
apt-get install openssl
Erinevate teenuste kasutamise Stunneliga
Turvalise Samba ühenduse kasutamine
Instaleerimine
Paigaldame Stunneli
apt-get install samba
apt-get install stunnel
Konfigureerimine
Serveri poolne kofiguratsioon
Seadistame Samba. Selleks avame samba conf faili
nano /etc/samba/smb.conf
Seadistame, et samba kuulab ainult localhosti
interfaces = 127.0.0.0/8 bind interfaces only = yes
Teeme Sambale restardi
/etc/init.d/samba restart
Teeme SSL sertifikaadi ja võtme
openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem
Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf
/etc/stunnel/stunnel.conf
ja täiendame Stunneli conf faili
cert = /etc/stunnel/stunnel.pem [smb] accept = 8139 connect = 139
Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4
/etc/default/stunnel4
ja muuta vääruseks 1 vaikimisi on 0
ENABLED=1
Teeme Stunnelile restardi
/etc/init.d/stunnel4 restart
Kliendi poolne konfiguratsioon
Installeerime stunneli ja samba kliendi
apt-get install smbclient stunnel
Muudame stunnel.conf faili kuulama localhost:139 porti ja seda edastama serveri 8139 pordile
nano /etc/stunnel/stunnel.conf
connect = {ip} tuleb panna serveri IP aadress
client = yes [smb] accept = localhost:139 connect = {ip}:8139
Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4
/etc/default/stunnel4
ja muuta vääruseks 1 vaikimisi on 0
ENABLED=1
Teeme stunnelile restardi
/etc/init.d/stunnel4 restart
Ühenduse testimiseks saame kasutada samba klienti
smbclient -U user //localhost/sambashare