As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como atualizar o stunnel
A criptografia de dados em trânsito com o auxiliar de montagem do Amazon EFS requer a versão 1.0.2 ou mais recente do OpenSSL
, e uma versão de stunnel
compatível com o Online Certificate Status Protocol (OCSP) e a verificação de nome de host do certificado. O auxiliar de montagem do Amazon EFS usa o programa stunnel
para sua funcionalidade TLS. Algumas versões do Linux não incluem uma versão de stunnel
compatível com esses recursos do TLS por padrão. Ao usar uma dessas distribuições Linux, a montagem de um sistema de arquivos Amazon EFS usando TLS falha.
Depois de instalar o auxiliar de montagem do Amazon EFS, você pode atualizar a versão do stunnel do seu sistema com as instruções a seguir.
Para atualizar stunnel
no Amazon Linux, no Amazon Linux 2 e em outras distribuições Linux compatíveis (exceto para o SLES 12)
-
Em um navegador da web, acesse a página de downloads
stunnel
https://stunnel.org/downloads.html. -
Localize a versão mais recente do
stunnel
disponível no formatotar.gz
. Anote o nome do arquivo. Você precisará dele nas etapas a seguir. -
Abra um terminal no cliente Linux e execute os comandos a seguir na ordem apresentada.
-
Para RPM:
sudo yum install -y gcc openssl-devel tcp_wrappers-devel
Para DEB:
sudo apt-get install build-essential libwrap0-dev libssl-dev
-
Substitua
latest-stunnel-version
pelo nome do arquivo que você anotou anteriormente na Etapa 2.sudo curl -o
latest-stunnel-version
.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version
.tar.gz -
sudo tar xvfz
latest-stunnel-version
.tar.gz -
cd
latest-stunnel-version
/ -
sudo ./configure
-
sudo make
-
O pacote atual
stunnel
está instalado embin/stunnel
. Para que a nova versão possa ser instalada, remova esse diretório com o comando a seguir.sudo rm /bin/stunnel
-
Instalar a versão mais recente
sudo make install
-
Criar um symlink:
sudo ln -s /usr/local/bin/stunnel /bin/stunnel
-
Atualizar o stunnel no macOS
-
Abra um terminal na sua instância EC2 Mac e execute o comando a seguir para atualizar para a versão mais recente do stunnel.
brew upgrade stunnel
Atualizar o stunnel para o SLES12
Execute os comandos a seguir e siga as instruções do gerenciador de pacotes zypper para atualizar o stunnel na sua instância de computação executando o SLES12.
sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo sudo zypper refresh sudo zypper install -y stunnel
Depois de instalar uma versão do stunnel com os recursos necessários, você poderá montar seu sistema de arquivos usando TLS com as configurações recomendadas do Amazon EFS.
Desabilitar a verificação do nome do host do certificado
Se não for possível instalar as dependências necessárias, você poderá desativar opcionalmente a verificação do nome do host do certificado na configuração do auxiliar de montagem do Amazon EFS. Não recomendamos a desabilitação desse recurso em ambientes de produção. Para desativar o nome do host do certificado, faça o seguinte:
-
Abra o arquivo
/etc/amazon/efs/efs-utils.conf
usando o editor de texto de sua preferência. -
Defina o valor
stunnel_check_cert_hostname
como falso. -
Salve as alterações no arquivo e feche-o.
Para obter mais informações sobre o uso de criptografia de dados em trânsito, consulte Montagem de sistemas de arquivos do EFS.
Habilitar o Online Certificate Status Protocol
Para maximizar a disponibilidade do sistema de arquivos caso a CA não possa ser acessada por sua VPC, o Online Certificate Status Protocol (OCSP) não é habilitado por padrão quando você opta por criptografar dados em trânsito. O Amazon EFS usa uma autoridade de certificação da Amazon
Para fornecer a segurança mais forte possível, você pode habilitar OCSP, para que seus clientes Linux possam verificar a existência de certificados revogados. O OCSP protege contra o uso mal-intencionado de certificados revogados, o que é improvável que ocorra na VPC. No caso de um certificado TLS do EFS revogado, a Amazon publica um boletim de segurança e libera uma nova versão do auxiliar de montagem do EFS que rejeita o certificado revogado.
Para habilitar o OCSP no seu cliente Linux para todas as futuras conexões TLS ao EFS
-
Abra um terminal no seu cliente Linux.
-
Abra o arquivo
/etc/amazon/efs/efs-utils.conf
usando o editor de texto de sua preferência. -
Defina o valor
stunnel_check_cert_validity
como true. -
Salve as alterações no arquivo e feche-o.
Para habilitar o OCSP como parte do comando mount
-
Use o seguinte comando de montagem para habilitar OCSP no sistema de arquivos de montagem.
$
sudo mount -t efs -o tls,ocspfs-12345678
:/ /mnt/efs