,, stunnel, er udformet til at fungere som en ssl kryptering papir mellem fjerntliggende klient og lokale (inetd startable) eller en fjernserver.det kan anvendes til at tilføje ssl funktionalitet, der almindeligvis anvendes inetd dæmoner som pop2, pop3, og imap servere uden nogen ændringer i programmerne.stunnel bruger openssl bibliotek for kryptering, det støtter, hvad kryptografiske algoritmer er samlet i biblioteket.i enkle ord, stunnel kan bruges til at gøre alle usikre havn til en sikker krypteret havn. i denne lektion, jeg vil beskrive, hvordan tunnel ssh over ssl ved hjælp af stunnel.det her er ret enkelt.du og’ får brug for stunnel monteret både på din pc - og en fjerntliggende pc med, sshd, allerede, jeg bruger to systemer som nævnt nedenfor., fjernstyring:, operativsystem: debian 7 ip - adresse: 192.168.1.200 /24, en kunde (lokale) system:, operativsystem: ubuntu 13.04 desktop - ip - adresse: 192.168.1.100 /24, konfigurere fjernstyring, lad os indføre stunnel pakke i de fjerntliggende debian 7 server.,&#passende få installere stunnel4, lad os skabe en ssl certifikat som vist nedenfor.&#openssl genrsa 1024 > stunnel. nøgle, stikprøve output:, som skaber rsa private nøgle 1024 bit modulus............................................, længe ++++++.................. ++++++ e er 65537 (0x10001),&#openssl req - nye - nøgle stunnel.key - x509 - dage 1000 - stunnel. crt rt rt rt rt rt rt, vil du blive bedt om at besvare et par spørgsmål som f.eks. land, staten, virksomhederne oplysninger osv. er du ved at blive bedt om at indføre oplysninger, der vil blive indarbejdet i deres certifikat anmodning.hvad du er ved at komme ind er en såkaldt fornemt navn eller en dn.der er en række områder, men du kan efterlade nogle tomme for nogle områder, der vil være en fast værdi, hvis man træder ind. "" marken vil blive udfyldt.) navn (2 bogstaver) [alle]: i staten eller provinsen navn (fulde navn) [en medlemsstat]: tamilnadu lokalitet navn (f. eks. by). [...]: udhuler organisation navn (f. eks. virksomhed) [internet widgits pty ltd]: unixmen organisatoriske enheds navn (f. eks. afsnit []: tekniske fælles navn (f.eks. server fqdn eller dit navn) []: server.unixmen.com e - mail adresse []: sk @ unixmen. kom,&#kat stunnel.crt stunnel.key > stunnel.pem&#mv stunnel.pem /etc /stunnel /, nu er vi nødt til at få stunnel til tunnel - 443 (https), 22 (ssh),.dette kan gøres ved at skabe et nyt dossier, stunnel.conf under, /etc /stunnel /, fortegnelse:,&#vi /etc /stunnel /stunnel. conf, tilføje følgende linjer: pid = /var /er /stunnel.pid cert = /etc /stunnel /stunnel.pem [ssh] accepterer = 192.168.1.200:443 forbinde = 127.0.0.1:22, ovennævnte strækninger, siger stunnel, der, hvor de skal lede efter certifikatet fil, og hvor at acceptere og frem stille forbindelser.i vores tilfælde, stunnel vil acceptere den indgående trafik på havn 443 og sende den tilbage til havn 22., redde og lukke sagen.. lad os nu mulighed for stunnel tjeneste.for at gøre det, redigere fil /etc /default /stunnel4:,&#vi /etc /default /stunnel4, ændre den linje, gjorde det muligt for = 0, 1,.,&#/etc /default /stunnel&#julien lemoine < speedblue @ debian. org >&#september 2003&#ændring af en så stunnel automatisk igangsætning, gjorde det muligt for = 1 filer = "/etc /stunnel /*. conf" muligheder = ""&#ændring af en mulighed for at genstarte manuskripter ppp_restart ppp = 0, så begynd stunnel tjeneste med kommando:,&#tjeneste stunnel4 start, få lokale system, installere stunnel med kommando. $sudo kunne få installere stunnel4, vi har brug for det samme certifikat fil (stunnel. pem) fra fjernstyring.kopiere fjernstyring, stunnel.pem, fil til vores lokale system og redde det på samme sted (dvs. /etc /stunnel,), at skabe en ny fil, stunnel.conf under, /etc /stunnel /, fortegnelse: $sudo vi /etc /stunnel /stunnel. conf, tilføje følgende linjer: pid = /var /er /stunnel.pid cert = /etc /stunnel /stunnel.pem klient = ja [ssh] accepterer = 443 forbinde = 192.168.1.200:443, redde og lukke sagen.her 192.168.1.200 er vores fjernstyring ip, lad os nu, at stunnel tjeneste.for at gøre det, redigere fil /etc /default /stunnel4: $sudo vi /etc /default /stunnel4, ændre den linje, gjorde det muligt for = 0, 1,.,&#/etc /default /stunnel&#julien lemoine < speedblue @ debian. org >&#september 2003&#ændring til at stunnel automatisk igangsætning, gjorde det muligt for = 1 filer = "/etc /stunnel /*. conf" muligheder = ""&#ændring af en mulighed for at genstarte manuskripter ppp_restart ppp = 0, så begynd stunnel tjeneste med kommando: $sudo tjeneste stunnel4 start, test ssh forbindelse, nu vi ’ er god til at gå.du og’ vil være i stand til at forbinde deres afsides maskine med kommando: $ssh sk @ localhost - v - p - 443, stikprøve, produktion, openssh_6.1p1 debian-4, openssl 1.0.1c den 10. maj 2012 debug1: læse konfiguration data /etc /ssh /ssh_config debug1: /etc /ssh /ssh_config linje 19: anvendelse muligheder for * debug1: tilslutning til localhost [127.0.0.1] havn 443.debug1: forbindelse etableret.debug1: identitet fil /home /sk /. ssh /id_rsa type - 1 debug1: identitet fil /home /sk /. ssh /id_rsa-cert type - 1 debug1: identitet fil /home /sk /. ssh /id_dsa type - 1 debug1: identitet fil /home /sk /. ssh /id_dsa-cert type - 1. debug1: identitet fil /home /sk /. ssh /id_ecdsa type - 1 debug1: identitet fil /home /sk /. ssh /id_ecdsa-cert type - 1 debug1: fjerntliggende protocol version 2.0, fjerntliggende programversion openssh_6.0p1 debian-4 debug1: kamp: openssh_6.0p1 debian-4 pat openssh * debug1: for kompatibilitet tilstand i protokol 2, 0 debug1: lokale version snor ssh-2.0-openssh_6.1p1 debian-4 debug1: ssh2_msg_kexinit sendte debug1: ssh2_msg_kexinit modtaget debug1: kex: server - > klient aes128 fkt hmac-md5 ingen debug1: kex: klient - - aes128 fkt h >mac-md5 ingen debug1: at sende ssh2_msg_kex_ecdh_init debug1: forventet ssh2_msg_kex_ecdh_reply debug1: server vært nøgle: ecdsa 78:05: ba: 1b: 73:02:75:86:10:33:8c: om: 21:61: d4: de debug1: vært [localhost]: 443 er kendt og stemmer overens med den ecdsa vært nøgle.debug1: fandt nøglen i /home /sk /. ssh /known_hosts: 12 debug1: ssh_ecdsa_verify: underskrift korrekt debug1: ssh2_msg_newkeys sendte debug1: forventet ssh2_msg_newkeys debug1: ssh2_msg_newkeys modtaget debug1: roaming ikke tilladt ved server debug1: ssh2_msg_service_request sendte debug1: ssh2_msg_service_accept modtaget debug1: authentications, der fortsat kan: publickey, kodeord debug1: næste autentificering metode - publickey debug1: private nøgle: /home /sk /. ssh /id_rsa debug1: private nøgle: /home /sk /. ssh /id_dsa debug1: private nøgle: /home /sk /. ssh /id_ecdsa debug1: næste autentificering metode: kodeord sk @ localhost kodeord:&##&#ind din fjernbetjening - systemet bruger kodeord debug1: autentificering lykkedes (kode).bekræftet, at localhost ([127.0.0.1]: 443).debug1: - 0: nye [klient møde. debug1: anmoder om [email protected] debug1: ind i interaktive samling.debug1: at sende miljø.debug1: at sende env lc_paper = en_in.utf-8 debug1: at sende env lc_address = en_in.utf-8 debug1: at sende env lc_monetary = en_in.utf-8 debug1: at sende env lc_numeric = en_in.utf-8 debug1: at sende env lc_telephone = en_in.utf-8 debug1: at sende env lc_identification = en_in.utf-8 debug1: at sende env lang = en_us.utf-8 debug1: at sende env lc_measurement = en_in.utf-8 debug1: at sende env lc_time = en_in.utf-8 debug1: at sende env lc_name = en_in.utf-8 linux - serveren 3.2.0-4-486
debian 3.2.51-1 i686 programmer indgår i den nationale samlingsregering debian /linux system er gratis software; den nøjagtige fordeling betingelser for hvert program, er beskrevet i de enkelte sager i /bar /andel /doc /* /copyright.debian nationale samlingsregering /linux kommer med absolut ingen garanti, i det omfang, det er tilladt i henhold til gældende lovgivning.du har en ny post.sidste login: mon dec. 30 15:12:22 2013 fra localhost sk @ - - $, eller kan du bare bruge kommandoen: $ssh - p - 443 sk @ localhost, stikprøve, produktion, sk @ localhost kodeord: linux - serveren 3.2.0-4-486
debian 3.2.51-1 i686 programmer indgår i den nationale samlingsregering /linux - systemet er debian gratis software; den nøjagtige fordeling betingelser for hvert program, er beskrevet i de enkelte sager i /bar /andel /doc /* /copyright.debian nationale samlingsregering /linux kommer med absolut ingen garanti, i det omfang, det er tilladt i henhold til gældende lovgivning.du har en ny post.sidste login: mon dec. 30 15:22:08 2013 fra localhost sk @ - - $, nu du ’ vil være i stand til at stille en forbindelse til din fjernstyring, men al den trafik maste gennem ssl. du og’ færdig nu!kan du stille din fjernstyring, selv når ssh - default 22 er blokeret af en firewall, reference forbindelser:, stunnel hjemmeside.