本文已弃用,不再维护。
Ubuntu 12.04 已于 2017 年 4 月 28 日终止生命周期 (EOL)并且不再接收安全补丁或更新。
本文作为参考可能仍然有用,但可能不遵循最佳实践或适用于此版本或其他 Ubuntu 版本。我们强烈建议您使用最近为您所使用的 Ubuntu 版本编写的文章。
- 如何在 Ubuntu 16.04 上使用 Stunnel 加密到 Redis 的流量
如果您当前运行的服务器运行 Ubuntu 12.04,我们强烈建议您升级或迁移到受支持的 Ubuntu 版本:
-
如何从 Ubuntu 12.04 升级到 Ubuntu 14.04.
- 如何从 Ubuntu 14.04 升级到 Ubuntu 16.04
- 如何将服务器数据迁移到支持的版本
Stunnel 程序被设计为远程客户端和本地(inetd 可启动)或远程服务器之间的 SSL 加密包装器。它可用于向常用的 inetd 守护进程(如 POP2、POP3 和 IMAP 服务器)添加 SSL 功能,而无需对程序代码进行任何更改。
Stunnel 的基本作用是使用 OpenSSL 包进行加密,将任何不安全的 TCP 端口转换为安全的加密端口。它在某种程度上就像一个在特定端口上运行的小型安全 VPN。
到目前为止,我已经在 Ubuntu 12.04 x32/x64、Ubuntu 12.10 x32/x64、Ubuntu 13.04 x32/x64 上进行了测试。
使用这些命令更新 Ubuntu 的软件包列表,并将现有软件包升级到最新版本:
apt-get update
apt-get upgrade
使用以下代码安装 Stunnel 包:
apt-get install stunnel4 -y
Stunnel 使用名为的文件配置自身“stunnel.conf”默认情况下位于“/etc/stunnel”.
创建一个“stunnel.conf”文件在“/etc/stunnel”目录:
nano /etc/stunnel/stunnel.conf
我们将使用 SSL 证书向服务器证明我们自己的身份,因此我们必须在中设置该证书的路径“stunnel.conf”使用此行创建文件(我们将在下一步中创建证书文件):
cert = /etc/stunnel/stunnel.pem
接下来,我们指定与 Stunnel 一起使用的服务。它可以是任何使用网络的服务,例如邮件服务器、代理服务器等。
作为示例,我们将使用 Stunnel 保护 Squid 代理服务器和客户端之间的流量。我们将在步骤 6 中解释如何安装和配置 Squid。
为您要使用的服务设置名称后,您必须告诉 Stunnel 侦听该服务的哪个端口。这可以是 65535 端口中的任何一个,只要它不被其他服务或防火墙阻止即可:
[squid]
accept = 8888
然后,根据您要使用安全隧道的服务,您必须在配置文件中指定该服务的端口和 IP 地址。基本上,Stunnel 从安全端口获取数据包,然后将其转发到该服务的端口和 IP 地址。您指定的服务。
默认情况下,Squid 代理在本地主机和端口 3128 上运行,因此我们必须告诉 Stunnel 将接受的连接转发到该端口:
连接=127.0.0.1:3128
所以总体来说“stunnel.conf”文件必须包含以下行:
client = no
[squid]
accept = 8888
connect = 127.0.0.1:3128
cert = /etc/stunnel/stunnel.pem
Note: The client = no部分不是必需的,Stunnel 默认设置为服务器模式。
Stunnel 使用 SSL 证书来保护其连接,您可以使用 OpenSSL 包轻松创建该证书:
openssl genrsa -out key.pem 2048
openssl req -new -x509 -key key.pem -out cert.pem -days 1095
cat key.pem cert.pem >> /etc/stunnel/stunnel.pem
基本上,上面的命令用于创建私钥,使用该密钥创建证书并将它们组合成一个名为“stunnel.pem”与 Stunnel 一起使用。
Note:创建证书时,系统会要求您提供一些信息,例如国家和州,您可以输入任何您喜欢的信息,但当要求输入“通用名称”时,您必须输入 Droplet (VPS) 的正确主机名或 IP 地址。
另外,通过配置启用 Stunnel 自动启动“/etc/default/stunnel4”文件,输入以下命令在文本编辑器中打开文件:
nano /etc/default/stunnel4
并将 ENABLED 更改为 1:
ENABLED=1
最后,使用以下命令重新启动 Stunnel 以使配置生效:
/etc/init.d/stunnel4 restart
使用以下命令安装 Squid:
apt-get install squid3 -y
Note:这解释了在Windows中作为客户端安装和配置Stunnel的过程,但Stunnel也可以在Linux甚至Android中安装,并且配置仍然保持不变。唯一的区别是放置“stunnel.conf”配置 Stunnel 所需的文件。
为了让 Stunnel 与服务器通信,客户端必须存在我们在步骤 5 中创建的 SSL 证书。获取方法有很多种“stunnel.pem”文件,但我们将使用 SFTP,它既简单又非常安全。
使用 SFTP 客户端(例如 Filezilla)连接到您的服务器并下载“stunnel.pem”文件位于“/etc/stunnel/”目录到客户端。
这里还有一个关于 SFTP 的很好的教程:
如何使用 SFTP 与远程服务器安全传输文件
下载隧道从他们的网站。
将 Stunnel 安装在您喜欢的任何地方。然后进入Stunnel文件夹并移动下载的证书“stunnel.pem”到 Stunnel 文件夹。
创建一个“stunnel.conf”如果 Stunnel 文件夹中不存在该文件,则将其添加到该文件夹中。使用文本编辑器(例如记事本)打开该文件。
首先,我们告诉Stunnel我们的证书路径,在Windows中是在Stunnel的目录中(提醒:在Ubuntu中是在“/etc/stunnel/”目录):
cert = stunnel.pem
由于我们要设置一个客户端,因此我们必须告诉 Stunnel 这是一个客户端。将以下行放入配置文件中:
client = yes
然后就像服务器一样,我们必须指定我们要使用的服务的配置。
首先我们指定服务的名称,然后是 Stunnel 应在客户端监听的 IP 地址和端口:
[squid]
accept = 127.0.0.1:8080
接受端口可以是客户端计算机上的任何端口,只要它没有被其他服务占用或被防火墙阻止即可。
接下来,我们告诉 Stunnel 将传入此端口的数据包转发到我们的 Stunnel 服务器的 IP 地址和端口。 IP 地址是您的服务器(Droplet)公共 IP 地址,该地址是在设置 Droplet 时分配给您的,端口是您在服务器中配置 Stunnel 时指定的端口。在我们的例子中是 8888,所以我们要告诉 Stunnel 连接到该端口:
connect = [Server’s Public IP]:8888
所以最后的“stunnel.conf”客户端中的文件应如下所示:
cert = stunnel.pem
client = yes
[squid]
accept = 127.0.0.1:8080
connect = [Server’s Public IP]:8888
保存并关闭文件并运行“stunnel.exe”.
就是这样。现在,我们的客户端已配置为使用安全 SSL 隧道与虚拟服务器安全通信。从现在开始,当尝试连接到我们的 VPS 上的任何服务时,我们必须使用每个服务配置中 Stunnel 的“接受”部分中指定的 IP 地址和端口,而不是直接连接到服务器的 IP 地址。
举个例子,当我们想要连接到云服务器上的 Squid 代理时,我们必须将客户端配置为连接到 127.0.0.1:8080,Stunnel 会自动通过安全隧道将我们连接到为该端口指定的服务。您可以在此处将 Web 浏览器配置为使用 IP 127.0.0.1 和端口 8080 作为代理,以保护您的 Web 流量。
提交者:http://about.me/nimak”>尼玛·卡里米
