Au-delà de Linux® From Scratch - Version 7.5

Chapitre 4. Sécurité

Stunnel-4.56

Introduction à Stunnel

Le paquet Stunnel contient un programme qui vous permet de chiffrer des connexions TCP de votre choix en SSL (Secure Sockets Layer) pour que vous puissiez communiquer facilement avec des clients par des canaux sécurisés. Stunnel peut être utilisé pour ajouter la fonctionnalité SSL aux démons Inetd couramment utilisés comme les serveurs POP-2, POP-3, et IMAP, à des démons autonomes comme NNTP, SMTP et HTTP, et dans des tunnels PPP par des sockets réseaux sans modifications du code source du paquet du serveur.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-7.5.

Informations sur le paquet

Dépendances de Stunnel

Requises

OpenSSL-1.0.1f

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/stunnel

Installation de Stunnel

Le démon stunnel sera lancé dans une cage chroot par un utilisateur non privilégié. Créez le nouvel utilisateur et le nouveau groupe en utilisant les commandes suivantes en tant qu'utilisateur root : 

groupadd -g 51 stunnel &&
useradd -c "stunnel Daemon" -d /var/lib/stunnel \
        -g stunnel -s /bin/false -u 51 stunnel
[Note]

Note

Un certificat SSL signé et une clé privée sont nécessaires pour lancer le démon stunnel. Si vous possédez ou si vous avez déjà créé un certificat SSL signé que vous souhaitez l'utiliser, copiez-le dans /etc/stunnel/stunnel.pem avant de commencer la construction (assurez-vous que seul root a l'accès en lecture et écriture), sinon on vous demandera d'en créer un pendant la procédure d'installation. Le fichier .pem doit être formaté comme décrit ci-dessous : 

-----BEGIN PRIVATE KEY-----
<many encrypted lines of private key>
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<many encrypted lines of certificate>
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
<encrypted lines of dh parms>
-----END DH PARAMETERS-----

Installez Stunnel en lançant les commandes suivantes : 

./configure --prefix=/usr \
            --sysconfdir=/etc \
            --localstatedir=/var \
            --disable-fips &&
make

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root : 

make docdir=/usr/share/doc/stunnel-4.56 install

Explication des commandes

--disable-fips: Ce paramètre désactive le support FIPS fera que Stunnel échouera à démarrer si il est activé.

make docdir=... install : Cette commande installe le paquet, modifie le répertoire d'installation de la documentation en un nom conforme aux conventions et, si vous n'avez pas copié de fichier stunnel.pem dans le répertoire /etc/stunnel, vous demande les informations nécessaires pour en créer un. Assurez-vous de répondre à la question 

Common Name (FQDN of your server) [localhost]:

par le nom ou l'adresse IP que vous utiliserez pour accéder au(x) service(s).

Configuration de Stunnel

Fichiers de configuration

/etc/stunnel/stunnel.conf

Informations de configuration

En tant qu'utilisateur root, créez le répertoire utilisé pour le fichier .pid créé quand le démon Stunnel démarre : 

install -v -m750 -o stunnel -g stunnel -d /var/lib/stunnel/run &&
chown stunnel:stunnel /var/lib/stunnel

Ensuite, créez un fichier de configuration /etc/stunnel/stunnel.conf de base en utilisant les commandes suivantes en tant qu'utilisateur root : 

cat >/etc/stunnel/stunnel.conf << "EOF" &&
; File: /etc/stunnel/stunnel.conf
pid    = /run/stunnel.pid
chroot = /var/lib/stunnel
client = no
setuid = stunnel
setgid = stunnel
cert   = /etc/stunnel/stunnel.pem
EOF
chmod -v 644 /etc/stunnel/stunnel.conf

Enfin, vous avez besoin d'ajouter le(s) service(s) que vous souhaitez chiffrer au fichier de configuration. Le format ressemble à ce qui suit : 

[<service>]
accept  = <hostname:portnumber>
connect = <hostname:portnumber>

Si vous utilisez Stunnel pour chiffrer un démon lancé à partir de [x]inetd, il se peut que vous deviez désactiver ce démon dans le fichier /etc/[x]inetd.conf et activer un service <service>_stunnel correspondant. Il se peut que vous deviez également ajouter une entrée adéquate dans /etc/services.

Pour une explication complète des commandes et de leurs syntaxes, utilisées dans le fichier de configuration, lancez man stunnel.

Script de démarrage

Pour démarrer automatiquement le démon stunnel quand on redémarre le système, installez le script de démarrage /etc/rc.d/init.d/stunnel du paquet blfs-bootscripts-20140301. 

make install-stunnel

Contenu

Programmes installés: stunnel et stunnel3
Bibliothèque installée: libstunnel.so
Répertoires installés: /etc/stunnel, /usr/lib/stunnel, /usr/share/doc/stunnel-4.56 et /var/lib/stunnel

Descriptions courtes

stunnel

est un programme conçu pour fonctionner en tant qu'enveloppe SSL chiffrée entre des clients distants et locaux ({x}inetd-startable) ou des serveurs distants.

stunnel3

est un script enveloppe Perl pour utiliser la syntaxe stunnel 3.x avec stunnel >=4.05.

libstunnel.so

contient les fonctions API exigées par Stunnel.

Last updated on : 2012-11-01 23:40:42 +010