Como atualizar o stunnel - Amazon Elastic File System
Desabilitar a verificação do nome do host do certificadoHabilitar o Online Certificate Status Protocol

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como atualizar o stunnel

A criptografia de dados em trânsito com o auxiliar de montagem do Amazon EFS requer a versão 1.0.2 ou mais recente do OpenSSL, e uma versão de stunnel compatível com o Online Certificate Status Protocol (OCSP) e a verificação de nome de host do certificado. O auxiliar de montagem do Amazon EFS usa o programa stunnel para sua funcionalidade TLS. Algumas versões do Linux não incluem uma versão de stunnel compatível com esses recursos do TLS por padrão. Ao usar uma dessas distribuições Linux, a montagem de um sistema de arquivos Amazon EFS usando TLS falha.

Depois de instalar o auxiliar de montagem do Amazon EFS, você pode atualizar a versão do stunnel do seu sistema com as instruções a seguir.

Para atualizar stunnel no Amazon Linux, no Amazon Linux 2 e em outras distribuições Linux compatíveis (exceto para o SLES 12)

  1. Em um navegador da web, acesse a página de downloads stunnel https://stunnel.org/downloads.html.

  2. Localize a versão mais recente do stunnel disponível no formato tar.gz. Anote o nome do arquivo. Você precisará dele nas etapas a seguir.

  3. Abra um terminal no cliente Linux e execute os comandos a seguir na ordem apresentada.

    1. Para RPM:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      Para DEB:

      sudo apt-get install build-essential libwrap0-dev libssl-dev

    2. Substitua latest-stunnel-version pelo nome do arquivo que você anotou anteriormente na Etapa 2.

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make

    7. O pacote atual stunnel está instalado em bin/stunnel. Para que a nova versão possa ser instalada, remova esse diretório com o comando a seguir.

      sudo rm /bin/stunnel

    8. Instalar a versão mais recente

      sudo make install

    9. Criar um symlink:

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
Atualizar o stunnel no macOS

  • Abra um terminal na sua instância EC2 Mac e execute o comando a seguir para atualizar para a versão mais recente do stunnel.

    brew upgrade stunnel
Atualizar o stunnel para o SLES12

  • Execute os comandos a seguir e siga as instruções do gerenciador de pacotes zypper para atualizar o stunnel na sua instância de computação executando o SLES12.

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
sudo zypper refresh
sudo zypper install -y stunnel

Depois de instalar uma versão do stunnel com os recursos necessários, você poderá montar seu sistema de arquivos usando TLS com as configurações recomendadas do Amazon EFS.

Desabilitar a verificação do nome do host do certificado

Se não for possível instalar as dependências necessárias, você poderá desativar opcionalmente a verificação do nome do host do certificado na configuração do auxiliar de montagem do Amazon EFS. Não recomendamos a desabilitação desse recurso em ambientes de produção. Para desativar o nome do host do certificado, faça o seguinte:

  1. Abra o arquivo /etc/amazon/efs/efs-utils.conf usando o editor de texto de sua preferência.

  2. Defina o valor stunnel_check_cert_hostname como falso.

  3. Salve as alterações no arquivo e feche-o.

Para obter mais informações sobre o uso de criptografia de dados em trânsito, consulte Montagem de sistemas de arquivos do EFS.

Habilitar o Online Certificate Status Protocol

Para maximizar a disponibilidade do sistema de arquivos caso a CA não possa ser acessada por sua VPC, o Online Certificate Status Protocol (OCSP) não é habilitado por padrão quando você opta por criptografar dados em trânsito. O Amazon EFS usa uma autoridade de certificação da Amazon (CA) para emitir e assinar seus certificados TLS, e a CA instrui o cliente a usar o OCSP para verificar se há certificados revogados. O OCSP endpoint deve ser acessível pela Internet pela sua nuvem privada virtual para que ele verifique o status de um certificado. Dentro do serviço, o EFS monitora continuamente o status do certificado e emite novos certificados para substituir todos aqueles revogados que foram detectados.

Para fornecer a segurança mais forte possível, você pode habilitar OCSP, para que seus clientes Linux possam verificar a existência de certificados revogados. O OCSP protege contra o uso mal-intencionado de certificados revogados, o que é improvável que ocorra na VPC. No caso de um certificado TLS do EFS revogado, a Amazon publica um boletim de segurança e libera uma nova versão do auxiliar de montagem do EFS que rejeita o certificado revogado.

Para habilitar o OCSP no seu cliente Linux para todas as futuras conexões TLS ao EFS

  1. Abra um terminal no seu cliente Linux.

  2. Abra o arquivo /etc/amazon/efs/efs-utils.conf usando o editor de texto de sua preferência.

  3. Defina o valor stunnel_check_cert_validity como true.

  4. Salve as alterações no arquivo e feche-o.

Para habilitar o OCSP como parte do comando mount

  • Use o seguinte comando de montagem para habilitar OCSP no sistema de arquivos de montagem. 

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs