使⽤stunnel来创建加密通道,实现加密传输数据 加密通道发热涂料
前⾔
⽇常⼯作中,我们经常会有数据传输的需求,我相信绝⼤多数情况下,包括我之前也都是直接使⽤明⽂传输。如果都是在内⽹传输,安全隐患还算较⼩,但是有些数据也是需要公⽹传输的,例如多区域多IDC之间的数据传输,可能有些许VPN不能打通,但是也有部分数据要互通的情况,此时只能⾛公⽹传输,如果还⾛明⽂传输,安全性将⼤打折扣。那么有没有软硬件来⽀持数据密⽂传输的,答案是有的。
经过调研,我们决定采⽤Stunnel⼯具来实现数据的密⽂传输。本⽂就来简单介绍下Stunnel⼯具的使⽤。
Stunnel介绍
stunnel简单⽰意图
Stunnel是⼀个⾃由的跨平台软件,⽤于提供全局的TLS/SSL服务。作为⼀个⼩巧的跨平台(Unix/Linux和Windows)的开源(GNU)项⽬,提供了以下2个主要功能: 针对本⾝⽆法进⾏TLS或SSL通信的客户端及服务器,Stunnel可提供安全的加密连接(基于OpenSSL)。 针对有访问限制的局域⽹,Stunnel提供加密的SSL连接解除防⽕墙和代理的限制直接和远端服务器理论上的任何⽹络服务连接。我们知道⼀般局域⽹都会开放443端⼝⽤于加密的HTTP连接,我们可以利⽤这点⽤Stunnel和远程端⼝443创建⼀个SSL连接,防⽕墙和代理会认为这个连接是正常的HTTPS连接⽽允许通过。
Stunnel配置
Stunnel分为服务端和客户端,怎么定义服务端和客户端呢?简单来说,A要加密访问B,那么B就是服务端,A是客户端。stunnel 客户端不需要证书。stunnel 服务端需要⼀个证书⽂件。
以下配置以加密读取mongo数据为例。
服务端⽣成证书
Stunnel 在 SSL Http Proxy 服务器是以服务⽅式运⾏的,所以需要⼀个证书⽂件,unix下可以使⽤openssl来⽣成证书。
参考命令:
$ openssl req -new -x509 -days 365 -nodes -f -out stunnel.pem -keyout stunnel.pem
参数解释:
化尸池-days 365 #使这个证书的有效期是1年,之后失效,借此可⽤以来发布许可证书。
视力保护器-new #创建⼀个新的证书
-x509 #创建⼀个 X509 证书
-nodes #这个证书没有密码,严格的情况下就加密了。
-f #OpenSSL 使⽤的配置⽂件
-out stunnel.pem #把 SSL 证书写到哪个⽂件
-keyout stunnel.pem #把 SSL key放到这个⽂件中
Stunnel服务端配置
加密mongo连接。
# f
setuid = nobody
setgid = nobody
pid = /data/stunnel_server/var/run/stunnel.pid
foreground = yes
lncrna引物设计debug = 1
output = /data/stunnel_server/var/log/stunnel.log
ciphers = ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256
#只允许使⽤TLS 1.2
options = NO_SSLv2
options = NO_SSLv3
options = NO_TLSv1
options = NO_TLSv1.1
options = CIPHER_SERVER_PREFERENCE
options = DONT_INSERT_EMPTY_FRAGMENTS
renegotiation = no
cert = /data/stunnel_server/etc/stunnel/stunnel.pem
key = /data/stunnel_server/etc/stunnel/stunnel.pem
client = no
# 下⾯是要加密的数据库地址
[mongo01]
accept = 3717
connect = 127.0.0.1:3717
[mongo02]
accept = 3718
connect = 127.0.0.1:3718
Stunnel客户端配置
# f
setuid = nobody
setgid = nobody
pid = /data/stunnel_client/var/run/stunnel.pid
foreground = yes
贴片铝电解电容
debug = 1
output = /data/stunnel_client/var/log/stunnel.log
cert = /data/stunnel_client/etc/stunnel/stunnel.pem
key = /data/stunnel_client/etc/stunnel/stunnel.pem
client = yes
[mongo01]
accept = 3717
connect = stunnel-serverIP:3717
[mongo02]
accept = 3718
connect =stunnel-serverIP:3718
要注意防⽕墙策略需要放开3717与3718端⼝。
Stunnel启动脚本
以client为例。
# more stunnel_client_proxy.service
[Unit]
Description=SSL tunnel for network daemons
After=network.target
After=syslog.target
[Service]
Type=simple
ExecStart=/data/stunnel_client/bin/stunnel /data/stunnel_client/etc/f
ExecStop=/usr/bin/killall -9 stunnel
TimeoutSec=600
Restart=on-failure
PrivateTmp=false
垂直风道机箱[Install]
WantedBy=multi-user.target
Alias=stunnel_client_proxy.target
加载到系统启动服务⾥:
重载系统服务:systemctl daemon-reload
设置开机启动:systemctl enable *.service
启动服务:systemctl start *.service
停⽌服务:systemctl stop *.service
重启服务:systemctl restart *.service
将server端与client端分别启动后,就可以在client端加密连接server端的mongo数据库。
后记
stunnel
加密数据传输应该是⼯作中⾮常常见的需求,本⽂也只是抛砖引⽟,肯定有更好的办法,但是选择适合⾃⼰的就可以了,⽬前笔者所在公司依然是使⽤的Stunnel⽅式。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议