重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
传输信道加密Stunnel配置
创新互联公司服务项目包括象山网站建设、象山网站制作、象山网页制作以及象山网络营销策划等。多年来,我们专注于互联网行业,利用自身积累的技术优势、行业经验、深度合作伙伴关系等,向广大中小型企业、政府机构等提供互联网行业的解决方案,象山网站推广取得了明显的社会效益与经济效益。目前,我们服务的客户以成都为中心已经辐射到象山省份的部分城市,未来相信会继续扩大服务区域并继续获得客户的支持与信任!接着上一节的OSSIM加密传输信道继续讲解,这里我们选用开源工具Stunnel,它用于提供全局的TLS/SSL服务,其关键的配置如下:
Acl safe_port port 443 # https 访问原始服务器的443端口stunnel4 是用来建立ssl通道,以实现加密传输,默认OSSIM4.3系统中,stunnel是关闭的,当配置好stunnel后,就可以用foxmail或者outlook之类的邮件客户端就可以使用加密的通道访问邮箱了。
注:Ossim 4.15之后的版本取消了stunnel包。
实现思路:利用Stunnel给Squid加密,要用Stunnel加密,所以只允许本地访问传统的POP3、SMTP、Samba、Syslog等服务,都是不加密的协议,这样传输不安全,通过Stunnel可以将访问这些服务的数据,通过一个加密的管道传输,这样更加安全。
图 使用Stunel加密流程
1.启用Stunnel
#vi /etc/default/stunnel4
将enabled=0,改成enabled=1
然后,保存退出。
2.配置SSL
#cd /etc/ssl
#openssl req -new -x509 -days 365 -nodes -config openssl.cnf -out stunnel.pem -keyout stunnel.pem
#cp stunnel.pem /etc/ssl/certs/
#/etc/init.d/stunnel4 start
Stunnel 服务方式需要一个证书文件。通过 openssl.exe 来创建服务器证书。
这将会创建一个自己给自己签名的证书。参数的含义:
-days 365 使这个证书的有效期是1年,之后它将不能再用。
-new 创建一个新的证书
-x509 创建一个 X509 证书(自己签名的)
-nodes 这个证书没有密码
-config openssl.cnf
OpenSSL 使用的配置文件(可能需要修改的有[CA_default]和[req_distinguished_name]这两个 section)。
-out stunnel.pem 把 SSL 证书写到哪里
-keyout stunnel.pem 把 SSL 证书放到这个文件中这个命令将会问以下问题:
Country name PL, UK, US, CA
State or Province name Illinois, Ontario
Locality Chicago, Toronto
Organization Name Bill's Meats, Acme Anvils
Organizational Unit Name Ecommerce Division
Common Name (FQDN) www.example.com
注意:Common Name (FQDN) 应该是运行 stunnel 机器的主机名。如果能通过不同的主机名访问这台机器,有些 SSL 客户会警告这个主机的证书有问题,所以最好是使它和用户访问的主机名匹配。
openssl gendh 512>> stunnel.pem
这将生成 Diffie-Hellman 部分,追加到 pem 文件中。这个只有在指定 stunnel 使用 DH 才需要,但默认是不用的。
除了使用stunnel加密以外,还可以使用rsyslog-gnutls加密syslog连接。
#apt-get install rsyslog-gnutls
具体设置大家可参考encrypting syslog traffic with TLS文档。大家想了解完整的OSSIM技术,请继续关注2015年11月出版的《开源安全运维平台OSSIM最佳实践》一书,该书为您揭秘更多OSSIM底层技术,这些内容在我的博客里也未曾出现过的哦!
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。