Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiornamento di stunnel
La crittografia dei dati in transito con l'helper di montaggio Amazon EFS richiede la versione 1.0.2 OpenSSL
o più recente e una versione stunnel
che supporti sia l'Online Certificate Status Protocol (OCSP) che il controllo del nome host del certificato. L'helper di montaggio di Amazon EFS utilizza il programma stunnel
per la sua funzionalità TLS. Si noti che alcune versioni di Linux non includono una versione di stunnel
che supporta queste funzionalità di TLS per impostazione predefinita. Quando si utilizza una di tali distribuzioni di Linux, il montaggio di un file system Amazon EFS con l'utilizzo di TLS ha esito negativo.
Dopo aver installato l'helper di montaggio di Amazon EFS, è possibile effettuare l'upgrade della versione di stunnel del sistema con le seguenti istruzioni.
Per eseguire l'aggiornamento di stunnel
su Amazon Linux, Amazon Linux 2 e altre distribuzioni Linux supportate (ad eccezione di SLES 12)
-
In un browser Web, vai alla pagina dei download
stunnel
https://stunnel.org/downloads.html. -
Individua l'ultima versione di
stunnel
disponibile in formatotar.gz
. Prendere nota del nome del file poiché sarà necessario per le fasi successive. -
Aprire un terminale sul client Linux ed eseguire questi comandi nell'ordine indicato.
-
Per RPM:
sudo yum install -y gcc openssl-devel tcp_wrappers-devel
Per DEB:
sudo apt-get install build-essential libwrap0-dev libssl-dev
-
Sostituisci
latest-stunnel-version
con il nome del file annotato in precedenza nella Fase 2.sudo curl -o
latest-stunnel-version
.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version
.tar.gz -
sudo tar xvfz
latest-stunnel-version
.tar.gz -
cd
latest-stunnel-version
/ -
sudo ./configure
-
sudo make
-
Il pacchetto
stunnel
corrente è installato inbin/stunnel
. Affinché la nuova versione possa essere installata, rimuovere tale cartella con il comando seguente.sudo rm /bin/stunnel
-
Per installare la versione più recente:
sudo make install
-
Crea un symlink:
sudo ln -s /usr/local/bin/stunnel /bin/stunnel
-
Per aggiornare stunnel su macOS
-
Apri un terminale sulla tua istanza EC2 per Mac ed esegui il seguente comando per eseguire l'aggiornamento alla versione più recente di stunnel.
brew upgrade stunnel
Aggiornamento di stunnel per SLES 12
Esegui i seguenti comandi e segui le istruzioni del gestore di pacchetti zypper per aggiornare stunnel sulla tua istanza di calcolo che esegue SLES12.
sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo sudo zypper refresh sudo zypper install -y stunnel
Dopo aver installato una versione di stunnel con le funzionalità necessarie, è possibile montare il file system usando TLS con le impostazioni consigliate di Amazon EFS.
Disabilitazione della verifica del certificato associato al nome dell'host
Se non riesci a installare le dipendenze necessarie, è possibile disabilitare facoltativamente la verifica del certificato associato al nome dell'host all'interno della configurazione dell'helper di montaggio di Amazon EFS. Non è consigliabile disabilitare questa funzione in ambienti di produzione. Per disabilitare la verifica del certificato associato al nome dell'host, procedere nel seguente modo:
-
Utilizzando un editor di testo a scelta, aprire il file
/etc/amazon/efs/efs-utils.conf
. -
Impostare il parametro
stunnel_check_cert_hostname
su falso. -
Salvare le modifiche e chiudere il file.
Per maggiori informazione sull'utilizzo della crittografia dei dati in transito, vedere Montaggio dei file system EFS.
Abilitazione di OCSP (Online Certificate Status Protocol)
Per massimizzare la disponibilità del file system nel caso in cui la CA non sia raggiungibile dal VPC, l'Online Certificate Status Protocol (OCSP) non è abilitato per impostazione predefinita quando si sceglie di crittografare i dati in transito. Amazon EFS utilizza un'autorità di certificazione (CA) Amazon
Per offrire la massima sicurezza possibile, puoi abilitare OCSP in modo tale che i client Linux possano verificare la presenza di certificati revocati. OCSP protegge dall'uso dannoso dei certificati revocati, il che è improbabile che si verifichi nel VPC. Nel caso in cui un certificato TLS di EFS venga revocato, Amazon pubblicherà un bollettino sulla sicurezza e rilascerà una nuova versione dell'helper di montaggio di EFS che rifiuta il certificato revocato.
Per abilitare OCSP sul tuo client Linux per tutte le connessioni TLS future a EFS
-
Aprire un terminale sul client Linux.
-
Utilizzando un editor di testo a scelta, aprire il file
/etc/amazon/efs/efs-utils.conf
. -
Impostare il valore
stunnel_check_cert_validity
su true. -
Salvare le modifiche e chiudere il file.
Per abilitare OCSP come parte del comando mount
-
Utilizzare il seguente comando mount per abilitare OCSP durante il montaggio del file system.
$
sudo mount -t efs -o tls,ocspfs-12345678
:/ /mnt/efs