Actualización de stunnel - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de stunnel

El cifrado de los datos en tránsito con el asistente de montaje de Amazon EFS requiereOpenSSLversión 1.0.2 o posterior y una versión destunnelque admite la comprobación del nombre de host del certificado y el protocolo OCSP (Online Certificate Status Protocol). El asistente de montaje de Amazon EFS utiliza elstunnelpor la funcionalidad de TLS. Observe que algunas versiones de Linux no incluyen una versión destunnelque admite estas funciones de TLS de forma predeterminada. Cuando se utiliza una de esas distribuciones de Linux, montar un sistema de archivos de Amazon EFS mediante TLS da error.

Después de instalar el ayudante de montaje de Amazon EFS, puede actualizar la versión del sistema de stunnel con las siguientes instrucciones.

Para actualizarstunnelen Amazon Linux, Amazon Linux 2 y otras distribuciones de Linux admitidas (excepto paraSLES 12)

  1. En un navegador web, visite el complementostunnelpágina de Descargashttps://stunnel.org/downloads.html.

  2. Busque la versión más recientestunnelversión que está disponible entar.gzformato. Anote el nombre del archivo, ya que lo necesitará en los pasos siguientes.

  3. Abra un terminal en el cliente de Linux y ejecute los siguientes comandos en el orden que se muestran.

    1. Para RPM:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      Para DEB:

      sudo apt-get install build-essential libwrap0-dev libssl-dev
    2. Reemplazarlatest-stunnel-versionpor el nombre del archivo que anotó en el paso 2.

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make
    7. El actualstunnelel paquete está instalado enbin/stunnel. Por tanto, para que la nueva versión se pueda instalar, elimine ese directorio con el siguiente comando.

      sudo rm /bin/stunnel
    8. Instale la versión más reciente:

      sudo make install
    9. nota

      El shell predeterminado de CentOS es csh, que tiene sintaxis diferente que el shell de bash. El siguiente código primero llama a bash y, a continuación, mueve/bin/stunnela/root.

      bash
      if [[ -f /bin/stunnel ]]; then sudo mv /bin/stunnel /root fi
    10. Crea un enlace simbólico:

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel

Para actualizar stunnel en macOS Big Sur

  • Abra un terminal en la instancia EC2 de Mac y ejecute el siguiente comando para actualizarlo a la versión más reciente de stunnel.

    brew upgrade stunnel

Actualización de stunnel para SLES 12

  • Ejecute los siguientes comandos y siga las instrucciones del administrador de paquetes zypper para actualizar stunnel en la instancia de procesamiento que ejecuta SLES12.

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo sudo zypper refresh sudo zypper install -y stunnel

Después de instalar una versión de stunnel con las características requeridas, puede montar el sistema de archivos de mediante TLS con la configuración recomendada de Amazon EFS.

Deshabilitar la comprobación del nombre de host del certificado

Si no puede instalar las dependencias requeridas, tiene la opción de deshabilitar la comprobación del nombre de host del certificado dentro de la configuración del ayudante de montaje de Amazon EFS. No es recomendable que desactive esta característica en entornos de producción. Para deshabilitar la comprobación del nombre de host del certificado, haga lo siguiente:

  1. Con el editor de textos que prefiera, abra el archivo /etc/amazon/efs/efs-utils.conf.

  2. Establezca el valor stunnel_check_cert_hostname en falso.

  3. Guarde los cambios y cierre el archivo.

Para obtener más información sobre el uso de cifrado con datos en tránsito, consulte Cómo montar sistemas de EFS.

Habilitación del protocolo OCSP (Online Certificate Status Protocol)

Para maximizar la disponibilidad del sistema de archivos en caso de no poder conectarse a la entidad de certificación (CA) desde su VPC, el protocolo OCSP (Online Certificate Status Protocol) no está habilitado de forma predeterminada al elegir el cifrado de los datos en tránsito. Amazon EFS utiliza unCertificate authority(CA) para emitir y firmar sus certificados TLS, y la CA indica al cliente que utilice OCSP para comprobar si hay certificados revocados. Debe ser posible el acceso al punto de enlace OCSP a través de Internet desde su Virtual Private Cloud para comprobar el estado de un certificado. En este servicio, EFS monitoriza de forma continua el estado de los certificados y emite otros nuevos para reemplazar los certificados revocados que detecte.

Con el fin de ofrecer la mayor seguridad posible, puede habilitar OCSP para que los clientes de Linux puedan comprobar los certificados revocados. OCSP protege contra el uso malicioso de certificados revocados, lo que es poco probable que ocurra dentro de su VPC. En el caso de que un certificado TLS de EFS se revoque, Amazon publicará un boletín de seguridad y lanzará una nueva versión del ayudante de montaje de EFS que rechace el certificado revocado.

Para habilitar OCSP en el cliente de Linux para todas las conexiones TLS futuras en EFS

  1. Abra un terminal en su cliente de Linux.

  2. Con el editor de textos que prefiera, abra el archivo /etc/amazon/efs/efs-utils.conf.

  3. Establezca el valor stunnel_check_cert_validity en true.

  4. Guarde los cambios y cierre el archivo.

Para habilitar OCSP como parte del comando mount

  • Utilice el siguiente comando de montaje para habilitar OCSP al montar el sistema de archivos.

    $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs