Aggiornamento di stunnel - Amazon Elastic File System
Disabilitazione della verifica del certificato associato al nome dell'hostAbilitazione di OCSP (Online Certificate Status Protocol)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento di stunnel

La crittografia dei dati in transito con l'helper di montaggio Amazon EFS richiede la versione 1.0.2 OpenSSL o più recente e una versione stunnel che supporti sia l'Online Certificate Status Protocol (OCSP) che il controllo del nome host del certificato. L'helper di montaggio di Amazon EFS utilizza il programma stunnel per la sua funzionalità TLS. Si noti che alcune versioni di Linux non includono una versione di stunnel che supporta queste funzionalità di TLS per impostazione predefinita. Quando si utilizza una di tali distribuzioni di Linux, il montaggio di un file system Amazon EFS con l'utilizzo di TLS ha esito negativo.

Dopo aver installato l'helper di montaggio di Amazon EFS, è possibile effettuare l'upgrade della versione di stunnel del sistema con le seguenti istruzioni.

Per eseguire l'aggiornamento di stunnel su Amazon Linux, Amazon Linux 2 e altre distribuzioni Linux supportate (ad eccezione di SLES 12)

  1. In un browser Web, vai alla pagina dei download stunnel https://stunnel.org/downloads.html.

  2. Individua l'ultima versione di stunnel disponibile in formato tar.gz. Prendere nota del nome del file poiché sarà necessario per le fasi successive.

  3. Aprire un terminale sul client Linux ed eseguire questi comandi nell'ordine indicato.

    1. Per RPM:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      Per DEB:

      sudo apt-get install build-essential libwrap0-dev libssl-dev

    2. Sostituisci latest-stunnel-version con il nome del file annotato in precedenza nella Fase 2.

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make

    7. Il pacchetto stunnel corrente è installato in bin/stunnel. Affinché la nuova versione possa essere installata, rimuovere tale cartella con il comando seguente.

      sudo rm /bin/stunnel

    8. Per installare la versione più recente:

      sudo make install

    9. Crea un symlink:

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
Per aggiornare stunnel su macOS

  • Apri un terminale sulla tua istanza EC2 per Mac ed esegui il seguente comando per eseguire l'aggiornamento alla versione più recente di stunnel.

    brew upgrade stunnel
Aggiornamento di stunnel per SLES 12

  • Esegui i seguenti comandi e segui le istruzioni del gestore di pacchetti zypper per aggiornare stunnel sulla tua istanza di calcolo che esegue SLES12.

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
sudo zypper refresh
sudo zypper install -y stunnel

Dopo aver installato una versione di stunnel con le funzionalità necessarie, è possibile montare il file system usando TLS con le impostazioni consigliate di Amazon EFS.

Disabilitazione della verifica del certificato associato al nome dell'host

Se non riesci a installare le dipendenze necessarie, è possibile disabilitare facoltativamente la verifica del certificato associato al nome dell'host all'interno della configurazione dell'helper di montaggio di Amazon EFS. Non è consigliabile disabilitare questa funzione in ambienti di produzione. Per disabilitare la verifica del certificato associato al nome dell'host, procedere nel seguente modo:

  1. Utilizzando un editor di testo a scelta, aprire il file /etc/amazon/efs/efs-utils.conf.

  2. Impostare il parametro stunnel_check_cert_hostname su falso.

  3. Salvare le modifiche e chiudere il file.

Per maggiori informazione sull'utilizzo della crittografia dei dati in transito, vedere Montaggio dei file system EFS.

Abilitazione di OCSP (Online Certificate Status Protocol)

Per massimizzare la disponibilità del file system nel caso in cui la CA non sia raggiungibile dal VPC, l'Online Certificate Status Protocol (OCSP) non è abilitato per impostazione predefinita quando si sceglie di crittografare i dati in transito. Amazon EFS utilizza un'autorità di certificazione (CA) Amazon per emettere e firmare i propri certificati TLS e la CA ordina al client di utilizzare OCSP per verificare la presenza di certificati revocati. L'endpoint OCSP deve essere accessibile su Internet tramite il Virtual Private Cloud (VPC) per poter verificare lo stato di un certificato. All'interno del servizio, EFS monitora continuamente lo stato del certificato ed emette nuovi certificati con cui sostituire i certificati revocati rilevati.

Per offrire la massima sicurezza possibile, puoi abilitare OCSP in modo tale che i client Linux possano verificare la presenza di certificati revocati. OCSP protegge dall'uso dannoso dei certificati revocati, il che è improbabile che si verifichi nel VPC. Nel caso in cui un certificato TLS di EFS venga revocato, Amazon pubblicherà un bollettino sulla sicurezza e rilascerà una nuova versione dell'helper di montaggio di EFS che rifiuta il certificato revocato.

Per abilitare OCSP sul tuo client Linux per tutte le connessioni TLS future a EFS

  1. Aprire un terminale sul client Linux.

  2. Utilizzando un editor di testo a scelta, aprire il file /etc/amazon/efs/efs-utils.conf.

  3. Impostare il valore stunnel_check_cert_validity su true.

  4. Salvare le modifiche e chiudere il file.

Per abilitare OCSP come parte del comando mount

  • Utilizzare il seguente comando mount per abilitare OCSP durante il montaggio del file system. 

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs