傳輸信道加密Stunnel配置

成都創(chuàng)新互聯(lián)專注于吐魯番企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站,商城網(wǎng)站定制開發(fā)。吐魯番網(wǎng)站建設(shè)公司,為吐魯番等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站策劃，專業(yè)設(shè)計，全程項目跟蹤，成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

接著上一節(jié)的OSSIM加密傳輸信道繼續(xù)講解，這里我們選用開源工具Stunnel，它用于提供全局的TLS/SSL服務(wù)，其關(guān)鍵的配置如下:

Acl safe_port port 443 # https訪問原始服務(wù)器的443端口stunnel4是用來建立ssl通道，以實現(xiàn)加密傳輸，默認(rèn)OSSIM4.3系統(tǒng)中，stunnel是關(guān)閉的，當(dāng)配置好stunnel后，就可以用foxmail或者outlook之類的郵件客戶端就可以使用加密的通道訪問郵箱了。

注：Ossim 4.15之后的版本取消了stunnel包。

實現(xiàn)思路：利用Stunnel給Squid加密，要用Stunnel加密，所以只允許本地訪問傳統(tǒng)的POP3、SMTP、Samba、Syslog等服務(wù)，都是不加密的協(xié)議，這樣傳輸不安全，通過Stunnel可以將訪問這些服務(wù)的數(shù)據(jù)，通過一個加密的管道傳輸，這樣更加安全。

圖 使用Stunel加密流程

1.啟用Stunnel

#vi /etc/default/stunnel4

將enabled=0，改成enabled=1

然后，保存退出。

2.配置SSL

#cd /etc/ssl

#openssl req -new -x509 -days 365 -nodes -config openssl.cnf -out stunnel.pem -keyout stunnel.pem

#cp stunnel.pem /etc/ssl/certs/

#/etc/init.d/stunnel4 start

Stunnel服務(wù)方式需要一個證書文件。通過 openssl.exe來創(chuàng)建服務(wù)器證書。

這將會創(chuàng)建一個自己給自己簽名的證書。參數(shù)的含義：

-days 365    使這個證書的有效期是1年，之后它將不能再用。

-new        創(chuàng)建一個新的證書

-x509       創(chuàng)建一個 X509證書（自己簽名的）

-nodes      這個證書沒有密碼

-config openssl.cnf

OpenSSL  使用的配置文件（可能需要修改的有[CA_default]和[req_distinguished_name]這兩個 section）。

-out stunnel.pem                   把 SSL證書寫到哪里

-keyout stunnel.pem            把 SSL證書放到這個文件中這個命令將會問以下問題：

Country name PL, UK, US, CA

State or Province name Illinois, Ontario

Locality Chicago, Toronto

Organization Name Bill's Meats, Acme Anvils

Organizational Unit Name Ecommerce Division

Common Name (FQDN) www.example.com

注意：Common Name (FQDN)應(yīng)該是運行 stunnel機器的主機名。如果能通過不同的主機名訪問這臺機器，有些 SSL客戶會警告這個主機的證書有問題，所以最好是使它和用戶訪問的主機名匹配。

openssl gendh 512>> stunnel.pem

這將生成 Diffie-Hellman部分，追加到 pem文件中。這個只有在指定 stunnel使用 DH才需要，但默認(rèn)是不用的。

除了使用stunnel加密以外，還可以使用rsyslog-gnutls加密syslog連接。

#apt-get install rsyslog-gnutls

具體設(shè)置大家可參考encrypting syslog traffic with TLS文檔。大家想了解完整的OSSIM技術(shù)，請繼續(xù)關(guān)注2015年11月出版的《開源安全運維平臺OSSIM最佳實踐》一書,該書為您揭秘更多OSSIM底層技術(shù)，這些內(nèi)容在我的博客里也未曾出現(xiàn)過的哦！