Content
Dateianzeige für stunnel (1.3.0)
usr/share/doc/stunnel/stunnel.txt
Das Stunnel-Paket
Die Einleitung
Dieses Paket dient dazu SSL verschluesselte Tunnel zwischen entfernten
Clients und lokalen und/oder entfernten Servern zur Verfuegung zu
stellen. Nicht SSL-faehige Programme koennen somit mit
SSL-Verschluesselung und Authentifizierung versehen werden.
Die Funktionen
Das Stunnel-Paket besteht aus folgenden Komponenten:
* Stunnel - Stellt das Programm zum Verschluesseln von
TCP-Verbindungen zur Verfuegung.
([1]http://www.stunnel.org/)
Die Voraussetzungen
Dieses Paket benoetigt zur korrekten Funktion ein installiertes
Libssl-Paket.
Die Installation
Das Stunnel-Paket wird ueber das Setup-Menue installiert. Wird eine
aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die
neuen Programmdateien installiert werden. Nach dem Installieren der
Programmdateien wird direkt der Konfigurations-Editor gestartet um die
Konfiguration anzupassen. Nach Beendigung dieses Schrittes werden die
Konfigurationsdateien generiert und alle benoetigten Programme
gestartet.
Das Menue im Setup-Programm
Das Menue im Setup-Programm ist wie folgt aufgebaut:
* Stunnel administration
+ View documentation: Anzeigen der Dokumentation
+ Edit configuration: Bearbeiten der Konfiguration
+ Advanced configuration file handling: Konfigurationen
verwalten
+ View configuration log file: Konfigurationsmeldungen anzeigen
+ Show Status: Status des Stunnel-Service anzeigen
+ Stop Stunnel service: Stunnel-Service beenden
+ Start Stunnel service: Stunnel-Service starten
+ View log file: Logmeldungen anzeigen
* Return: Untermenue verlassen
Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei
weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion
nicht weiter eingegangen.
Die Aenderung der Konfiguration
Die Konfiguration kann ueber den Menuepunkt `Edit configuration'
geaendert werden. Standardmaessig wird der Editor aufgerufen, der in
der Environment-Konfiguration ueber die Variable `EDITOR' festgelegt
wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die
Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber
ein Skript die Anpassungen umgehend wirksam gemacht.
Die Konfigurationsdatei
In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind
folgende Parameter vorhanden; wer sie von Hand editieren will findet
sie unter /etc/config.d/stunnel.
Die Parameter
START_STUNNEL
Fuer die Aktivierung des stunnel-Paketes muss diese Variable
lediglich auf den Wert `yes' gestellt werden. Die Einstellung
`no' deaktiviert das Stunnel-Paket.
Gueltige Werte: yes, no
Standardeinstellung: START_STUNNEL='no'
STUNNEL_DEFAULT_CERT_FILE
Ueber diesen Parameter kann eine Zertifikatsdatei im PEM-Format
angegeben werden, welche standardmaessig das fuer einen
Verbindungsaufbau benoetigte Zertifikat enthaelt. Im Servermodus
ist die Angabe einer Zertifikatsdatei zwingend erforderlich. Die
Datei muss sich im Verzeichnis /usr/local/ssl/certs befinden.
Gueltige Werte: leer oder Name einer Zertifikatsdatei
Standardeinstellung: STUNNEL_DEFAULT_CERT_FILE=''
STUNNEL_DEFAULT_CERT_KEY
Ueber diesen Parameter kann eine private Schluesseldatei im
PEM-Format angegeben werden welche standardmaessig zur
Authentifizierung eines Zertifikatsbesitzers verwendet werden
soll. Die Datei muss sich im Verzeichnis /usr/local/ssl/private
befinden.
Gueltige Werte: leer oder Name einer Schluesseldatei
Standardeinstellung: STUNNEL_DEFAULT_CERT_KEY=''
STUNNEL_DEFAULT_PROTOCOL
Ueber diesen Parameter wird das Protokoll eingestellt, welches
zum Verbindungsaubau verwendet werden soll.
Gueltige Werte: all (leer), ssl2, ssl3 oder tls1
Standardeinstellung: STUNNEL_DEFAULT_PROTOCOL='ssl3'
STUNNEL_FIPS_ENABLED
Ueber diesen Parameter kann eingestellt werden, ob Stunnel von
der FIPS (Federal Information Processing Standard)
Zertifizierung 140-2 von OpenSSL profitieren soll. Falls ja,
muss als Transportprotokoll `TLSv1' verwendet werden.
Gueltige Werte: yes oder no
Standardeinstellung: STUNNEL_FIPS_ENABLED='no'
Mittels der folgenden Parameter werden die individuellen
Einstellungen einer Tunnelkonfiguration festgelegt.
STUNNEL_N
Ueber diesen Parameter wird die Anzahl der zu konfigurierenden
Verbindungen festgelegt.
Gueltige Werte: Zahl
Standardeinstellung: STUNNEL_N='1'
STUNNEL_x_ACTIVE
Wird dieser Parameter auf den Wert `yes' gesetzt, so wird die
zugehoerige Tunnelkonfiguration aktiviert, `no' deaktiviert sie.
Gueltige Werte: yes oder no
Beispiel: STUNNEL_1_ACTIVE='no'
STUNNEL_x_NAME
Ueber diesen Parameter kann man einen Namen fuer eine
Tunnelkonfiguration festlegen.
Gueltige Werte: Name
Beispiel: STUNNEL_1_NAME='vpn-1'
STUNNEL_x_CLIENT_MODE
Ueber diesen Parameter aktiviert man den Client-Modus der
Tunnelkonfiguration, der Parameter [2]STUNNEL_x_SERVER_MODE muss
in diesem Fall auf den Wert `no' gesetzt werden.
Gueltige Werte: yes oder no
Standardeinstellung: STUNNEL_1_CLIENT_MODE='yes'
STUNNEL_x_CLIENT_DELAYED_DNS
Ueber diesen Parameter legt man fest, ob DNS-Anfragen bei
Verbindungsanfragen verzoegert ausgefuehrt werden sollen. Dies
kann sinnvoll sein, wenn dynamisches DNS verwendet wird oder
DNS, z.B. bei einer Einwahlverbindung, noch nicht zur Verfuegung
steht wenn der Tunnel gestartet wird.
Gueltige Werte: yes oder no
Standardeinstellung: STUNNEL_1_CLIENT_DELAYED_DNS='no'
STUNNEL_x_CLIENT_LISTEN_HOST
Ueber diesen Parameter legt man fest auf welcher IP-Adresse und
welchem TCP-Port Verbindungsanfragen akzeptiert werden sollen.
Wird nur ein Port aber kein Hostname angegeben, so werden
Verbindungen ueber alle IP-Adressen des lokalen Rechners
angenommen.
Gueltige Werte: [Hostname:] und TCP-Port
Standardeinstellung: STUNNEL_1_CLIENT_LISTEN_HOST=''
STUNNEL_x_CLIENT_REMOTE_HOST
Ueber diesen Parameter legt man fest zu welchem Host bzw.
welcher IP-Adresse und welchem TCP-Port eine Verbindung
aufgebaut werden soll. Wird nur ein Port aber kein Hostname
angegeben, so wird standardmaessig `localhost' angenommen.
Gueltige Werte: [Hostname:] und TCP-Port
Standardeinstellung: STUNNEL_1_CLIENT_REMOTE_HOST=''
STUNNEL_x_CLIENT_OUTGOING_IPADDR
Ueber diesen Parameter legt man fest welche
Netzwerkschnittstelle fuer ausgehende Verbindungen verwendet
werden soll.
Gueltige Werte: leer oder IP-Adresse
Standardeinstellung: STUNNEL_1_CLIENT_OUTGOING_IPADDR=''
STUNNEL_x_CLIENT_APP_PROTOCOL
Ueber diesen Parameter kann festgelegt werden welches
Applikationsprotokoll zur Aushandlung einer SSL/TLS-gesicherten
Verbindung genutzt werden soll. Diese Option sollte nicht
verwendet werden, wenn eine verschluesselte Verbindung ueber
einen separaten Port aufgebaut werden soll.
Die unterstuetzten Protokolle sind:
+ cifs: Dies ist eine propritaere, undokumentierte, Erweiterung
des CIFS-Protokolls in Samba.
+ connect: Basierend auf RFC 2817 wird dieses Protokoll
verwendet um eine TLS-gesicherte Verbindung, aufbauend auf
eine HTTP/1.1-Verbindung, zu etablieren. Dieses Protokoll wird
nur im Klientenmodus unterstuetzt.
+ imap: Basierend auf RFC 2595 wird dieses Protokoll verwendet
um eine TLS-gesicherte IMAP-Verbindung aufzubauen.
+ nntp: Basierend auf RFC 4642 wird dieses Protokoll verwendet
um eine TLS-gesicherte NNTP-Verbindung aufzubauen. Dieses
Protokoll wird nur im Klientenmodus unterstuetzt.
+ pgsql: Siehe:
[3]http://www.postgresql.org/docs/8.3/static/protocol-flow.htm
l#AEN73982
+ pop3: Basierend auf RFC 2449 wird dieses Protokoll verwendet
um eine TLS-gesicherte POP3-Verbindung aufzubauen.
+ proxy: Haproxy IP-Adresse des Klienten. Siehe:
[4]http://haproxy.1wt.eu/download/1.5/doc/proxy-protocol.txt
+ smtp: Basierend auf RFC 2487 wird dieses Protokoll verwendet
um eine TLS-gesicherte SMTP-Verbindung aufzubauen.
+ socks: Es werden die SOCKS-Versionen 4, 4a und 5 unterstuetzt.
Das SOCKS-Protokoll selbst wird in einem SSL/TLS-Layer
gekapselt, um die finale Zieladresse zu verschleiern. Siehe:
[5]http://www.openssh.com/txt/socks4.protocol
Es gilt zu beachten, dass der BIND-Befehl nicht unterstuetzt
und der USERID-Parameter ignoriert wird.
Standardeinstellung: STUNNEL_1_CLIENT_APP_PROTOCOL=''
STUNNEL_x_SERVER_MODE
Ueber diesen Parameter aktiviert man den Server-Modus der
Tunnelkonfiguration, der Parameter [6]STUNNEL_x_CLIENT_MODE muss
in diesem Fall auf den Wert `no' gesetzt werden.
Gueltige Werte: yes oder no
Standardeinstellung: STUNNEL_1_SERVER_MODE='no'
STUNNEL_x_SERVER_LISTEN_HOST
Ueber diesen Parameter legt man fest auf welcher IP-Adresse und
welchem TCP-Port Verbindungsanfragen akzeptiert werden sollen.
Wird kein Hostname angegeben, so werden Verbindungen ueber alle
IP-Adressen des lokalen Rechners angenommen.
Gueltige Werte: leer oder [Hostname:] und TCP-Port
Standardeinstellung: STUNNEL_1_SERVER_LISTEN_HOST=''
STUNNEL_x_SERVER_COMMAND
Ueber diesen Parameter kann ein lokales Programm angegeben
werden welches nach einem Verbindungsaufbau ausgefuehrt werden
soll.
Gueltige Werte: Programm inkl. Pfad
Beispiel: STUNNEL_1_SERVER_COMMAND='/usr/sbin/pppd'
STUNNEL_x_SERVER_COMMAND_OPTION
Ueber diesen Parameter koennen optionale Programmparameter fuer
das ueber
[7]STUNNEL_x_SERVER_COMMAND konfigurierte Programm angegeben
werden.
Gueltige Werte: Optionale Parameter
Beispiel: STUNNEL_1_SERVER_COMMAND_OPTION='pppd local'
STUNNEL_x_SERVER_APP_PROTOCOL
Ueber diesen Parameter kann festgelegt werden welches
Applikationsprotokoll zur Aushandlung einer SSL/TLS-gesicherten
Verbindung genutzt werden soll. Diese Option sollte nicht
verwendet werden, wenn eine verschluesselte Verbindung ueber
einen separaten Port aufgebaut werden soll.
Die unterstuetzten Protokolle sind:
+ cifs: Dies ist eine propritaere, undokumentierte, Erweiterung
des CIFS-Protokolls in Samba.
+ imap: Basierend auf RFC 2595 wird dieses Protokoll verwendet
um eine TLS-gesicherte IMAP-Verbindung aufzubauen.
+ pgsql: Siehe:
[8]http://www.postgresql.org/docs/8.3/static/protocol-flow.htm
l#AEN73982
+ pop3: Basierend auf RFC 2449 wird dieses Protokoll verwendet
um eine TLS-gesicherte POP3-Verbindung aufzubauen.
+ proxy: Haproxy IP-Adresse des Klienten. Siehe:
[9]http://haproxy.1wt.eu/download/1.5/doc/proxy-protocol.txt
+ smtp: Basierend auf RFC 2487 wird dieses Protokoll verwendet
um eine TLS-gesicherte SMTP-Verbindung aufzubauen.
+ socks: Es werden die SOCKS-Versionen 4, 4a und 5 unterstuetzt.
Das SOCKS-Protokoll selbst wird in einem SSL/TLS-Layer
gekapselt, um die finale Zieladresse zu verschleiern. Siehe:
[10]http://www.openssh.com/txt/socks4.protocol
Es gilt zu beachten, dass der BIND-Befehl nicht unterstuetzt
und der USERID-Paramezter ignoriert wird.
Standardeinstellung: STUNNEL_1_SERVER_APP_PROTOCOL=''
STUNNEL_x_CERT_CHECK
Ueber diesen Parameter legt man fest, ob und wie das Zertifikat
der Gegenstelle ueberprueft werden soll.
+ 0 - Zertifikat nicht pruefen.
+ 1 - Zertifikat der Gegenstelle pruefen, wenn es existiert.
+ 2 - Zertifikat der Gegenstelle pruefen.
+ 3 - Zertifikat der Gegenstelle pruefen und mit den lokal
installierten Zertifikaten vergleichen.
+ 4 - Zertifikat der Gegenstelle pruefen und dabei die
CA-Zertifikatskette ignorieren.
Gueltige Werte: Zahl
Standardeinstellung: STUNNEL_1_CERT_CHECK='0'
STUNNEL_x_CERT_FILE
Ueber diesen Parameter kann eine Zertifikatsdatei im PEM-Format
angegeben werden, welche das fuer einen Verbindungsaufbau
benoetigte Zertifikat enthaelt. Im Servermodus ist die Angabe
einer Zertifikatsdatei zwingend erforderlich. Die Datei muss
sich im Verzeichnis /usr/local/ssl/certs befinden.
Gueltige Werte: leer oder Zertifikatsdatei
Standardeinstellung: STUNNEL_1_CERT_FILE=''
STUNNEL_x_CERT_KEY
Ueber diesen Parameter kann eine private Schluesseldatei im
PEM-Format angegeben werden welche standardmaessig zur
Authentifizierung eines Zertifikatsbesitzers verwendet werden
soll. Die Datei muss sich im Verzeichnis /usr/local/ssl/private
befinden.
Gueltige Werte: leer oder Schluesseldatei
Standardeinstellung: STUNNEL_1_CERT_KEY=''
STUNNEL_x_PROTOCOL
Ueber diesen Parameter wird das Sicherheitsprotokoll
eingestellt, welches zum Verbindungsaubau verwendet werden soll.
Gueltige Werte: all (leer), ssl2, ssl3 oder tls1
Standardeinstellung: STUNNEL_1_PROTOCOL='ssl3'
STUNNEL_LOG_COUNT
Ueber diesen Parameter wird eingestellt, wie viele Logdateien
vorgehalten werden sollen. Wird dieser Wert ueberschritten, so
wird immer die aelteste Logdatei geloescht.
Gueltige Werte: Zahl
Standardeinstellung: STUNNEL_LOG_COUNT='6'
STUNNEL_LOG_INTERVAL
Dieser Parameter bestimmt in welchen Intervallen die Logdateien
archiviert werden sollen. Zur Auswahl stehen die
Schluesselwoerter `daily' - taeglich, `weekly' - woechentlich
und `monthly - monatlich.
Gueltige Werte: daily, weekly, monthly
Standardeinstellung: STUNNEL_LOG_INTERVAL='weekly'
__________________________________________________________________
Juergen Edner 2016-01-15