Stunnel là một chương trình dòng lệnh nguồn mở đã được thiết kế để mã hóa kết nối TCP (TCP) từ xa và cục bộ bằng cách sử dụng mã hóa SSL (Secure Sockets Layer) giữa máy khách và máy chủ.
Tính năng trong nháy mắt
Phần mềm này chủ yếu được sử dụng để thêm chức năng SSL vào các trình tiện ích IMAP và POP2 / 3. Để hỗ trợ bất kỳ thuật toán mã hóa nào, Stunnel sử dụng cả hai thư viện SSLeay và OpenSSL.
Ngoài ra, Stunnel sử dụng xác thực FIPS 140-2, là một phần của Mô-đun đối tượng OpenSSL FIPS. Nó hiện đang có sẵn trong kho phần mềm mặc định của nhiều hệ điều hành dựa trên Linux. Chương trình cũng đi kèm với hỗ trợ cho các ổ cắm khác nhau, bao gồm IPv6, cuộc thăm dò hoặc systemd.
Bắt đầu với Stunnel
Để cài đặt Stunnel trong hệ điều hành GNU / Linux, trước tiên bạn phải tải xuống phiên bản mới nhất từ Softoware (nó được phân phối dưới dạng kho lưu trữ nguồn phổ dụng), lưu nó vào vị trí bạn chọn, trích xuất và mở cửa sổ đầu cuối .
Nhập & ldquo; ./ định cấu hình & amp; & amp; tạo & rdquo; lệnh để cấu hình và biên dịch chương trình cho kiến trúc phần cứng và hệ điều hành của bạn (các kiến trúc được hỗ trợ bao gồm 32-bit và 64-bit). Sau khi biên dịch thành công, bạn có thể nhập & ldquo; hãy cài đặt & rdquo; lệnh dưới dạng gốc hoặc với sudo, không có dấu ngoặc kép.
Khi được sử dụng lần đầu tiên, chương trình sẽ cố gắng đọc tệp cấu hình của nó, nằm trên /usr/local/etc/stunnel/stunnel.conf. Bạn sẽ có thể sử dụng một tệp cấu hình cụ thể, cũng như đọc tệp cấu hình từ một bộ mô tả tệp.
Dưới mui xe và sẵn có
Stunnel được viết hoàn toàn bằng ngôn ngữ lập trình C và được phân phối dưới dạng tệp lưu trữ nguồn phổ dụng để tối ưu hóa ứng dụng trên hệ thống GNU / Linux của bạn. Nó đã được cài đặt thành công trên cả hai máy 32 bit và 64 bit.
Có gì mới trong bản phát hành này:
- Các tính năng mới:
- Danh sách mật mã mặc định đã được cập nhật thành một giá trị an toàn hơn: & quot; HIGH:! aNULL:! SSLv2:! DH:! kDHEPSK & quot;.
- Sửa lỗi:
- Địa chỉ chấp nhận mặc định được khôi phục thành INADDR_ANY.
Tính năng mới trong phiên bản:
- Các tính năng mới:
- DLL động cơ PKCS # 11 được cập nhật lên phiên bản 0.4.5.
- Giao diện người dùng công cụ mặc định được đặt bằng ENGINE_CTRL_SET_USER_INTERFACE.
- Tên tệp khóa được thêm vào lời nhắc của bảng điều khiển cụm mật khẩu.
- Tối ưu hóa hiệu suất trong phát hiện rò rỉ bộ nhớ.
- Sửa lỗi:
- Đã khắc phục sự cố với chi nhánh OpenSSL 1.1.0.
- Xác minh chứng chỉ cố định bằng & quot; verifyPeer = yes & quot; và & quot; verifyChain = no & quot; (mặc định), trong khi nhóm ngang hàng chỉ trả về một chứng chỉ.
Tính năng mới trong phiên bản 5.38:
- Tính năng mới:
- & quot; sni = & quot; có thể được sử dụng để ngăn chặn việc gửi phần mở rộng SNI.
- Cờ giải quyết AI_ADDRCONFIG được sử dụng khi khả dụng.
- Debian được kết hợp 06-lfs.patch (thx Peter Pentchev).
- Sửa lỗi:
- Đã sửa lỗi cấp phát bộ nhớ gây ra sự cố với OpenSSL 1.1.0.
- Đã xử lý lỗi cố định cho các đích đến IPv4 / IPv6 hỗn hợp.
- Đã kết hợp Debian 08-typos.patch (thx Peter Pentchev).
Tính năng mới trong phiên bản 5.30:
- Sửa lỗi bảo mật:
- OpenSSL DLLs được cập nhật lên phiên bản 1.0.2f. https://www.openssl.org/news/secadv_20160128.txt
- Các tính năng mới:
- Cải thiện khả năng tương thích với cây OpenSSL 1.1.0-dev hiện tại.
- Đã thêm tự động OpenSSL cho các phiên bản Xcode gần đây.
- Sửa lỗi:
- Đã sửa các tham chiếu cố định thành / etc khỏi stunnel.init.in.
- Ngừng sử dụng ngay cả khi đang cố gắng bảo vệ trên nền tảng không được hỗ trợ (thx tới Rob Lockhart).
Tính năng mới trong phiên bản 5.26:
- Sửa lỗi biên dịch cho OSX, * BSD và Solaris.
Có gì mới trong phiên bản 5.17:
- Sửa lỗi:
- Đã sửa lỗi dereference NULL gây ra sự cố dịch vụ. Lỗi này đã được giới thiệu trong stunnel 5.15.
Tính năng mới trong phiên bản 5.10:
- Các tính năng mới:
- Hỗ trợ OCSP AIA (Cấp quyền truy cập thông tin). Bạn có thể bật tính năng này bằng tùy chọn cấp dịch vụ mới & quot; OCSPaia & quot;.
- Các tính năng bảo mật bổ sung của trình liên kết được bật: & quot; -z relro & quot ;, & quot; -z now & quot ;, & quot; -z noexecstack & quot;.
- Sửa lỗi:
- OpenSSL DLLs được cập nhật lên phiên bản 1.0.1l. https://www.openssl.org/news/secadv_20150108.txt
- Thư mục FIPS được cập nhật lên phiên bản 2.0.9 trong bản dựng nhị phân Win32.
Tính năng mới trong phiên bản 5.06:
- Sửa lỗi bảo mật:
- OpenSSL DLLs được cập nhật lên phiên bản 1.0.1j. https://www.openssl.org/news/secadv_20141015.txt
- Giao thức SSLv2 không an toàn hiện bị tắt theo mặc định. Nó có thể được bật bằng & quot; tùy chọn = -NO_SSLv2 & quot;.
- Giao thức SSLv3 không an toàn hiện bị tắt theo mặc định. Có thể bật tính năng này bằng & quot; tùy chọn = -NO_SSLv3 & quot;.
- sslVersion mặc định đã thay đổi thành & quot; tất cả & quot; (cũng ở chế độ FIPS) để tự động phân phối phiên bản TLS được hỗ trợ cao nhất.
- Các tính năng mới:
- Đã thêm các tùy chọn SSL bị thiếu để khớp với OpenSSL 1.0.1j.
- Mới & quot; -chọn & quot; tùy chọn dòng lệnh để hiển thị danh sách các tùy chọn SSL được hỗ trợ.
- Sửa lỗi:
- Đã sửa lỗi xây dựng luồng hồi quy FORK luồng.
- Đã sửa các bản cập nhật nhật ký Win32 GUI bị thiếu định kỳ.
Tính năng mới trong phiên bản 4.56:
- Các tính năng mới:
- Trình cài đặt Win32 tự động định cấu hình ngoại lệ tường lửa.
- Trình cài đặt Win32 định cấu hình các phím tắt quản trị để gọi UAC.
- Đã cải thiện thời gian tắt Win32 GUI.
- Sửa lỗi:
- Đã sửa lỗi hồi quy được giới thiệu trong phiên bản 4.55 gây ra sự cố ngẫu nhiên trên một số nền tảng, kể cả Windows 7.
- Đã khắc phục sự cố khởi động trên một số hệ thống Win32.
- Đã sửa lỗi & quot; stunnel -exit & quot; quá trình đồng bộ hóa.
- Đã sửa lỗi phát hiện FIPS với các phiên bản mới của thư viện OpenSSL.
- Việc không mở tệp nhật ký khi khởi động không còn bị bỏ qua.
Tính năng mới trong phiên bản 4.48:
- Các tệp OpenSSL DLL tuân thủ FIPS được cung cấp cùng với trình cài đặt Windows.
- Chế độ FIPS có thể bị vô hiệu hóa bằng & quot; fips = no & quot; tùy chọn tệp cấu hình.
- Tính ổn định của GUI của Windows cũng được cải thiện.
Tính năng mới trong phiên bản 4.46:
- Phiên bản này thêm hỗ trợ socket Unix (ví dụ: & quot; connect = / var / run / stunnel / socket & quot;) và chế độ xác minh chứng chỉ mới (& quot; verify = 4 & quot;) để bỏ qua CA và chỉ xác minh chứng chỉ ngang hàng.
- Nó cũng bao gồm một số tối ưu hóa hiệu suất và khả năng mở rộng cũng như các sửa lỗi biên dịch.
Tính năng mới trong phiên bản 4.45:
- Mới & quot; giao thức = proxy & quot; hỗ trợ đã được thêm vào để gửi địa chỉ IP của máy khách gốc tới haproxy.
- Điều này yêu cầu tùy chọn liên kết proxy chấp nhận của haproxy 1.5-dev3 trở lên.
- Một số cải tiến nhỏ và sửa lỗi đã được thêm vào, chủ yếu liên quan đến Win32 GUI và các vấn đề biên dịch trên các nền tảng khác nhau.
Có gì mới trong phiên bản 4.39:
- Mô-đun trình cài đặt Windows mới đã được thêm vào để xây dựng bản thân đã ký stunnel.pem.
- Chỉnh sửa tệp cấu hình và mở lại tệp nhật ký đã được thêm vào GUI của Windows.
- Tải lại tệp cấu hình với GUI của Windows đã được cải thiện.
Tính năng mới trong phiên bản 4.38:
- Chỉ định tên máy chủ (SNI) Hỗ trợ mở rộng TLS đã được triển khai cho các máy chủ ảo dựa trên tên.
- Stunnel giờ đây có thể chuyển đổi phần dịch vụ khi đang chạy, dựa trên tên máy chủ đích được bao gồm trong thông điệp Hello Client.
- Nhiều bản sửa lỗi cũng được thêm vào cho các lỗi được giới thiệu trong các phiên bản thử nghiệm trước đây.
Tính năng mới trong phiên bản 4.35:
- Các tính năng mới:
- Đã cập nhật Win32 DLL cho OpenSSL 1.0.0c.
- Nguồn trong suốt (liên kết phi địa phương) được thêm cho FreeBSD 8.x.
- Điểm đến trong suốt (& quot; transparent = destination & quot;) được thêm cho Linux.
- Sửa lỗi:
- Đã tải lại cố định của stunnel đã bật FIPS.
- Các tùy chọn trình biên dịch giờ được tự động phát hiện bởi ./configure script để hỗ trợ các phiên bản cũ của gcc.
- Không đồng bộ hóa tín hiệu-không an toàn s_log () bị xóa khỏi trình xử lý SIGTERM / SIGQUIT / SIGINT.
- rò rỉ mô tả tệp CLOEXEC được khắc phục trên Linux & gt; = 2.6.28 với glibc & gt; = 2.10. Rò rỉ điều kiện cuộc đua không thể khắc phục vẫn còn trên các nền tảng Unix khác. Vấn đề này có thể có các tác động bảo mật đối với một số triển khai.
- Thư mục lib64 được bao gồm trong đường dẫn tìm kiếm thư viện OpenSSL.
- Bản sửa lỗi biên dịch Windows CE (thx sang Pierre Delaage).
- RSA_generate_key () không được chấp nhận thay thế bằng RSA_generate_key_ex ().
- Thay đổi tên miền (lịch sự của Bri Hatch):
- http://stunnel.mirt.net/ - & gt; http://www.stunnel.org/
- ftp://stunnel.mirt.net/ - & gt; http://ftp.stunnel.org/
- stunnel.mirt.net::stunnel - & gt; rsync.stunnel.org::stunnel
- stunnel-users@mirt.net - & gt; stunnel-users@stunnel.org
- stunnel-announce@mirt.net - & gt; stunnel-announce@stunnel.org
Bình luận không