Au-delà de Linux® From Scratch - Version 2012-11-01

Chapitre 4. Sécurité

Stunnel-4.54

Introduction à Stunnel

Le paquet Stunnel contient un programme qui vous permet de chiffrer des connexions TCP de votre choix en SSL (Secure Sockets Layer) pour que vous puissiez communiquer facilement avec des clients par des canaux sécurisés. Stunnel peut être utilisé pour ajouter la fonctionnalité SSL aux démons Inetd couramment utilisés comme les serveurs POP-2, POP-3, et IMAP, à des démons autonomes comme NNTP, SMTP et HTTP, et dans des tunnels PPP par des sockets réseaux sans modifications le code source du paquet du serveur.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-7.2.

stunnel Dependencies

Informations sur le paquet

Dépendances de Stunnel

Requises

OpenSSL-1.0.1c

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/stunnel

Installation de Stunnel

Le démon stunnel sera lancé dans une cage chroot par un utilisateur non privilégié. Créez le nouvel utilisateur et le nouveau groupe en utilisant les commandes suivantes en tant qu'utilisateur root : 

groupadd -g 51 stunnel &&
useradd -c "Stunnel Daemon" -d /var/lib/stunnel         -g stunnel -s /bin/false -u 51 stunnel
[Note]

Note

Un certificat SSL signé et une clé privée sont nécessaires pour lancer le démon stunnel. Si vous possédez ou si vous avez déjà créé un certificat SSL signé que vous souhaitez utiliser, copiez-le dans /etc/stunnel/stunnel.pem avant de commencer la construction (assurez-vous que seul root a l'accès en lecture et écriture), sinon on vous demandera d'en créer un pendant la procédure d'installation. Le fichier .pem doit être formaté comme décrit ci-dessous : 

-----BEGIN PRIVATE KEY-----
<many encrypted lines of private key>
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<des lignes chiffrées de certificat>
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
<encrypted lines of dh parms>
-----END DH PARAMETERS-----

Installez Stunnel en lançant les commandes suivantes : 

./configure --prefix=/usr             --sysconfdir=/etc             --localstatedir=/var             --disable-libwrap &&
make

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root : 

make docdir=/usr/share/doc/stunnel-4.54 install

Explication des commandes

--sysconfdir=/etc : Ce paramètre oblige que le répertoire de configuration soit /etc et non /usr/etc.

--localstatedir=/var : Ce paramètre paramètre l'installation pour utiliser /var/lib/stunnel au lieu de créer et d'utiliser /usr/var/stunnel.

--disable-libwrap : Ce paramètre est requis si vous n'avez pas installé tcpwrappers. Supprimez le paramètre si tcpwrappers est installé.

make docdir=... install : Cette commande installe le paquet, modifie le répertoire d'installation de la documentation en un nom conforme aux conventions et, si vous n'avez pas copié de fichier stunnel.pem dans le répertoire /etc/stunnel, vous demande les informations nécessaires pour en créer un. Assurez-vous de répondre à la question 

Common Name (FQDN of your server) [localhost]:

par le nom ou l'adresse IP que vous utiliserez pour accéder au(x) service(s).

Configuration de Stunnel

Fichiers de configuration

/etc/stunnel/stunnel.conf

Informations de configuration

En tant qu'utilisateur root, créez le répertoire utilisé pour le fichier .pid créé quand le démon Stunnel démarre : 

install -v -m750 -o stunnel -g stunnel -d /var/lib/stunnel/run

Ensuite, créez un fichier de configuration /etc/stunnel/stunnel.conf de base en utilisant les commandes suivantes en tant qu'utilisateur root : 

cat >/etc/stunnel/stunnel.conf << "EOF" &&
; File: /etc/stunnel/stunnel.conf

pid    = /run/stunnel.pid
chroot = /var/lib/stunnel
client = no
setuid = stunnel
setgid = stunnel
cert   = /etc/stunnel/stunnel.pem

EOF
chmod -v 644 /etc/stunnel/stunnel.conf

Enfin, vous avez besoin d'ajouter le(s) service(s) que vous souhaitez chiffrer au fichier de configuration. Le format ressemble à ce qui suit : 

[<service>]
accept  = <hostname:portnumber>
connect = <hostname:portnumber>

Si vous utilisez Stunnel pour chiffrer un démon lancé à partir de [x]inetd, il se peut que vous deviez désactiver ce démon dans le fichier /etc/[x]inetd.conf et activer un service <service>_stunnel correspondant. Il se peut que vous deviez également ajouter une entrée adéquate dans /etc/services.

Pour une explication complète des commandes et de leurs syntaxes, utilisées dans le fichier de configuration, lancez man stunnel. Pour voir un exemple BLFS d'une configuration finalisée d'un service stunnel chiffré, lisez la la section intitulée « Configuration de SWAT » dans les instructions de Samba.

Script de démarrage

Pour démarrer automatiquement le démon stunnel quand on redémarre le système, installez le script de démarrage /etc/rc.d/init.d/stunnel du paquet blfs-bootscripts-20120828. 

make install-stunnel

Contenu

Programmes installés: stunnel et stunnel3
Bibliothèque installée: libstunnel.so
Répertoires installés: /etc/stunnel, /usr/lib/stunnel, /usr/share/doc/stunnel-4.54 et /var/lib/stunnel

Descriptions courtes

stunnel

est un programme conçu pour fonctionner en tant qu'enveloppe SSL chiffrée entre des clients distants et locaux ({x}inetd-startable) ou des serveurs distants.

stunnel3

est un script enveloppe Perl pour utiliser la syntaxe stunnel 3.x avec stunnel >=4.05.

libstunnel.so

contient les fonctions API exigées par Stunnel.

Last updated on : 2012-09-02 22:09:06 +020