Stunnel: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Jviiderm (talk | contribs)
Jviiderm (talk | contribs)
Line 31: Line 31:


== Legend ==
== Legend ==
Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad faile panna. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.
Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.


== Skoop ==
== Skoop ==

Revision as of 11:42, 28 April 2011

Juhendi autor ja versioneerimine

Nimi: Janar Viidermets
Grupp: AK41


Versioon Kuupäev Kommentaar
0.1 26.04.2011 Struktuuri loomine
0.2 27.04.2011 Sissejuhatuse kirjutamine
0.3 28.04.2011 Stunneli kasutamine läbi teenuse Samba

Sissejuhatus

Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebakindel (ebaturvaline) sidekanal oleksid edastamise ajal krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate verioonidega, praegune versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni.

Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne). Mõlemad protokollid peavad kasutajaid autentima kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks.

Legend

Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.

Skoop

Nõuded

Kasutame Ubuntu server 9.04 või sellest uuemat versiooni

Eeldused

vajalik on root õigustes kasutajat

sudo -i

uuendame nimekirja, et paigaldatav tarkvara oleks võimalikult uus:

apt-get update

vajalik on root õigustes kasutajat

sudo -i

Keskkonda on paigaldatud vim, mc ja openssh-server

apt-get install vim
apt-get install mc
apt-get install openssh-server

Installeerimine

Installeerime Stunneli

apt-get install stunnel4

Installeerime OpenSSL

apt-get install openssl

Erinevate teenuste kasutamise Stunneliga

Turvalise Samba ühenduse kasutamine

Instaleerimine

Paigaldame Stunneli

apt-get install samba
apt-get install stunnel

Konfigureerimine

Serveri poolne kofiguratsioon

Seadistame Samba. Selleks avame samba conf faili

nano /etc/samba/smb.conf

Seadistame, et samba kuulab ainult localhosti

interfaces = 127.0.0.0/8

bind interfaces only = yes

Teeme Sambale restardi

/etc/init.d/samba restart

Teeme SSL sertifikaadi ja võtme

openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem

Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf

/etc/stunnel/stunnel.conf

ja täiendame Stunneli conf faili

cert = /etc/stunnel/stunnel.pem
 
[smb]
accept = 8139
connect = 139

Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4

/etc/default/stunnel4

ja muuta vääruseks 1 vaikimisi on 0

ENABLED=1

Teeme Stunnelile restardi

/etc/init.d/stunnel4 restart
Kliendi poolne konfiguratsioon

Installeerime stunneli ja samba kliendi

apt-get install smbclient stunnel

Muudame stunnel.conf faili kuulama localhost:139 porti ja seda edastama serveri 8139 pordile

nano /etc/stunnel/stunnel.conf 

connect = {ip} tuleb panna serveri IP aadress

client = yes
 
[smb]
accept = localhost:139
connect = {ip}:8139

Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4

/etc/default/stunnel4

ja muuta vääruseks 1 vaikimisi on 0

ENABLED=1

Teeme stunnelile restardi

/etc/init.d/stunnel4 restart

Ühenduse testimiseks saame kasutada samba klienti

smbclient -U user //localhost/sambashare