Статья stunnel

Обсуждаем сайт и форум.

Модератор: f0s

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Статья stunnel

Непрочитанное сообщение Morty » 2008-01-14 15:49:07

Просьба сильно не пинать, моя первая статья

Програмка stunnel, из описания:
stunnel - это SSL врапер между клиентом и локальным демоном.
Програмка предназначена для добавления SSL функциональности таким службам как
POP3, SMTP, IMAP, WEB
Установка

Код: Выделить всё

# cd /usr/ports/security/stunnel/
# make && make install && make cert && make clean
make cert - пишем если хотим чтобы сертификат был создан
сразу в момент установки, "средствами данного порта"
Опции при сборке я оставлял по умолчанию

Код: Выделить всё

   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
   +                    Options for stunnel 4.21_1                      +
   + ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +
   + +   [ ] FORK      use the fork(3) threading model                + +
   + +   [X] PTHREAD   use the pthread(3) threading model (default)   + +
   + +   [ ] UCONTEXT  use the ucontext(3) threading model            + +
   + +   [ ] IPV6      enable IPv6 support                            + +
   + +                                                                + +
   + +                                                                + +
   + +                                                                + +
   + +                                                                + +
   + ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +
   +                       [  OK  ]       Cancel                        +
   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
По окончанию сборки, будет предложено создать сертефикат,
отвечаем на вопросы, домен нада указать тот который будет
обслуживать данный сертефикат. Иначе в бровзере например будет не соответствие
сертификата и домена.

Код: Выделить всё

Country Name (2 letter code) [PL]:UA
State or Province Name (full name) [Some-State]:Ukraine
Locality Name (eg, city) []:Kiev
Organization Name (eg, company) [Stunnel Developers Ltd]:
Organizational Unit Name (eg, section) []:IT
Common Name (FQDN of your server) [localhost]:mail.domain.com
subject= /C=UA/ST=Ukraine/L=Kiev/O=Stunnel Developers Ltd/OU=IT/CN=mail.domain.com
notBefore=Jan 14 11:11:09 2008 GMT
notAfter=Jan 13 11:11:09 2009 GMT
MD5 Fingerprint=9C:AF:06:54:00:91:D2:2A:70:59:16:21:E9:90:6B:66
/usr/bin/install -c -o root -g wheel -d -m 1770 /usr/local/var/lib/stunnel
chgrp nogroup /usr/local/var/lib/stunnel
if uname | grep SunOS; then  /usr/bin/install -c -o root -g wheel -d -m 755 /usr/local/var/lib/stunnel/dev;  mknod
/usr/local/var/lib/stunnel/dev/zero c 13 12;  chmod 666 /usr/local/var/lib/stunnel/dev/zero;  fi
===>  Cleaning for stunnel-4.21_1
Установка закончена, остаёться настроить, добавляем
в rc.conf

Код: Выделить всё

stunnel_enable="YES"
копируем пример конфига и редактируем

Код: Выделить всё

cd /usr/local/etc/stunnel
cp stunnel.conf-sample stunnel.conf
Создаём папки, выставляем права

Код: Выделить всё

mkdit /var/tmp/stunnel
touch /var/tmp/stunnel/stunnel.pid
chown -R stunnel:nogroup /var/tmp/stunnel
Правим конфиг

Код: Выделить всё

/usr/local/etc/stunnel/stunnel.conf

Код: Выделить всё

; Sample stunnel configuration file by Michal Trojnara 2002-2006
; Some options used here may not be adequate for your particular configuration
; Please make sure you understand them (especially the effect of chroot jail)

; я здесь практически ничего не менял, только путь на фaйл сертификат
; и порты с которыми работает программа можно указывать петлю явно , можно не указывать
; работает и так и так
; Certificate/key is needed in server mode and optional in client mode
cert = /usr/local/etc/stunnel/stunnel.pem
;key = /usr/local/etc/stunnel/mail.pem

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/tmp/stunnel
setuid = stunnel
setgid = nogroup
; PID is created inside chroot jail
pid = /stunnel.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
;compression = rle

; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS

; Authentication stuff
;verify = 2
; Don't forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It's often easier to use CAfile
;CAfile = /usr/local/etc/stunnel/certs.pem
; Don't forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /usr/local/etc/stunnel/crls.pem

; Some debugging stuff useful for troubleshooting
;debug = 7
;output = stunnel.log

; Use it for client mode
;client = yes

; Service-level configuration

[pop3s]
accept  = 995
connect = 110
; здесь можно писать connect = 127.0.0.1:110 
; хотя и так работает
[imaps]
accept  = 993
connect = 143

[ssmtp]
accept  = 465
connect = 25

[https]
accept  = 443
connect = 80
TIMEOUTclose = 0

; vim:ft=dosini
можно попробовать запустить

Код: Выделить всё

/usr/local/etc/rc.d/stunnel start
смотрим ...

Код: Выделить всё

ps -ax | grep stunnel
64038  ??  Is     0:00,00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
64033  p2  I      0:00,00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
64034  p2  I      0:00,00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
64035  p2  I      0:00,00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
64036  p2  I      0:00,00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
64037  p2  I      0:00,00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
64076  p2  RV+    0:00,00 grep stunnel (csh)
Запущено якобы несколько процессов, но это потому как
програмка с тредами

Код: Выделить всё

sockstat -4 | grep stunnel
stunnel  stunnel    64038 11 tcp4   *:995                 *:*
stunnel  stunnel    64038 12 tcp4   *:993                 *:*
stunnel  stunnel    64038 13 tcp4   *:465                 *:*
stunnel  stunnel    64038 14 tcp4   *:443                 *:*
Все, в итоге имеем защищенную (SSL) передачу данных по POP3, SMTP, IMAP, ну и на
юзерский вэб интерфейс можно включить SSL. Что тут и сделано.

--------
Если что-то не полностью описал, плз поправьте
Последний раз редактировалось Morty 2008-01-15 21:48:48, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение Alex Keda » 2008-01-14 16:53:28

просьба запихать в болокнот и убрать символы UTF8
иначе может глюкать отдельных поисковиков...
имеются ввиду рамочки вокруг полей выбора.
заюзай минусы, плюсики и прочия...
Убей их всех! Бог потом рассортирует...

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение Al » 2008-01-14 17:58:11

странная штука при работе с батом. он хочет TLS не ниже 3.1, а тут тока 3.0...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Статья stunnel

Непрочитанное сообщение Morty » 2008-01-14 18:23:42

у меня тоже такое было, я потом открыл сайт через https:// установил сертификат и всё поехало
в TheBate также, почему так сам не знаю :? :twisted:
если есть какието идеи говори...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение schizoid » 2008-01-15 9:56:49

а ssh так же мона замутить?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Статья stunnel

Непрочитанное сообщение Morty » 2008-01-15 21:49:48

lissyara писал(а):просьба запихать в болокнот и убрать символы UTF8
иначе может глюкать отдельных поисковиков...
имеются ввиду рамочки вокруг полей выбора.
заюзай минусы, плюсики и прочия...
поправил

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение Alex Keda » 2008-01-16 1:20:11

подозреваю, некоторые строки будут длинноваты, но это уже по ходу оботрётся.
публикуй.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Статья stunnel

Непрочитанное сообщение Morty » 2008-01-16 22:14:06

А в какой раздел заносить ? какой номер ?

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение serge » 2008-01-16 22:28:46

Дык в админке мануал по разделам есть. Или не разобрался с принадлежностью?

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Статья stunnel

Непрочитанное сообщение Morty » 2008-01-16 22:51:25

к чему это лучше отнести ? в программы или security ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение Alex Keda » 2008-01-17 1:43:27

в секьюрити.
оно ; езопасности добавляет =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Статья stunnel

Непрочитанное сообщение Morty » 2008-01-17 21:19:57

немного страшненько выглядит - длинные строки...как то мне их поправит можно ? или совет на будущее как делать чтоб такого не было

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение Alex Keda » 2008-01-17 21:27:19

переносить руками.
или юзать [log]
первое предпочтительней - красивей.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение dikens3 » 2008-01-17 23:35:13

Morty писал(а):немного страшненько выглядит - длинные строки...как то мне их поправит можно ?
Меня обычно это умиляет. Прямо половину времени на это трачу.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья stunnel

Непрочитанное сообщение Alex Keda » 2008-01-17 23:39:27

от вы блин...
будет время - сделаю ругань при добавлении с указанием строки...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Статья stunnel

Непрочитанное сообщение Morty » 2008-01-18 0:53:27

да ладно вам -)
поконючил немного, как лучше ведь хотел