Meningkatkanstunnel - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meningkatkanstunnel

Enkripsi data dalam perjalanan dengan Amazon EFS mount helper memerlukanOpenSSLversi 1.0.2 atau lebih baru, dan versistunnelyang mendukung Online Certificate Status Protocol (OCSP) dan sertifikat hostname memeriksa. Helper mount Amazon EFS menggunakanstunnelprogram untuk fungsionalitas TLS-nya. Perhatikan bahwa beberapa versi Linux tidak menyertakan versistunnelyang mendukung fitur TLS ini secara default. Saat menggunakan salah satu distribusi Linux tersebut, pemasangan sistem file Amazon EFS menggunakan TLS gagal.

Setelah menginstal Amazon EFS mount helper, Anda dapat meningkatkan versi stunnel sistem Anda dengan instruksi berikut.

Untuk meningkatkanstunneldi Amazon Linux, Amazon Linux 2, dan distribusi Linux lainnya yang didukung (kecualiSLES 12)

  1. Di peramban web, lanjutkan kestunnelhalaman downloadhttps://stunnel.org/downloads.html.

  2. Temukan yang terbarustunnelversi yang tersedia ditar.gzformat. Catat nama file seperti yang Anda membutuhkannya dalam langkah-langkah berikut.

  3. Buka terminal di klien Linux Anda, dan jalankan perintah berikut sesuai urutan yang disajikan.

    1. Untuk RPM:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      Untuk DEB:

      sudo apt-get install build-essential libwrap0-dev libssl-dev
    2. Gantilatest-stunnel-versiondengan nama file yang Anda catat sebelumnya di Langkah 2.

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make
    7. Arusstunnelpaket dipasang dibin/stunnel. Sehingga versi baru dapat diinstal, hapus direktori itu dengan perintah berikut.

      sudo rm /bin/stunnel
    8. Instal versi terbaru:

      sudo make install
    9. catatan

      CentOS shell default adalah csh, yang memiliki sintaks yang berbeda dari bash shell. Kode berikut pertama memanggil bash, kemudian bergerak/bin/stunnelkepada/root.

      bash
      if [[ -f /bin/stunnel ]]; then sudo mv /bin/stunnel /root fi
    10. Buat symlink:

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel

Untuk meningkatkan stunnel di macOS Big Sur

  • Buka terminal di instans EC2 Mac Anda, dan jalankan perintah berikut untuk meningkatkan ke versi terbaru stunnel.

    brew upgrade stunnel

Upgrade stunnel untuk SLES 12

  • Jalankan perintah berikut dan ikuti petunjuk manajer paket zypper untuk meningkatkan stunnel pada instance komputasi Anda yang menjalankan SLES12.

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo sudo zypper refresh sudo zypper install -y stunnel

Setelah Anda menginstal versi stunnel dengan fitur yang diperlukan, Anda dapat me-mount sistem file Anda menggunakan TLS dengan pengaturan yang disarankan Amazon EFS.

Menonaktifkan Pemeriksaan Nama Host Sertifikat

Jika Anda tidak dapat menginstal dependensi yang diperlukan, Anda dapat menonaktifkan pemeriksaan nama host sertifikat secara opsional di dalam konfigurasi pembantu mount Amazon EFS. Kami tidak menyarankan Anda menonaktifkan fitur ini di lingkungan produksi. Untuk menonaktifkan pemeriksaan nama host sertifikat, lakukan hal berikut:

  1. Menggunakan editor teks pilihan Anda, buka/etc/amazon/efs/efs-utils.confberkas.

  2. Mengaturstunnel_check_cert_hostnamenilai ke SALAH.

  3. Simpan perubahan pada file dan tutup.

Untuk informasi lebih lanjut tentang cara menggunakan enkripsi data saat transit, lihatMemasang sistem file EFS.

Mengaktifkan Protokol Status Sertifikat Online

Untuk memaksimalkan ketersediaan sistem file jika CA tidak dapat dijangkau dari VPC Anda, Online Certificate Status Protocol (OCSP) tidak diaktifkan secara default ketika Anda memilih untuk mengenkripsi data dalam perjalanan. Amazon EFS menggunakanOtoritas sertifikasi (CA)(CA) untuk mengeluarkan dan menandatangani sertifikat TLS-nya, dan CA menginstruksikan klien untuk menggunakan OCSP untuk memeriksa sertifikat yang dicabut. Endpoint OCSP harus dapat diakses melalui Internet dari Virtual Private Cloud Anda untuk memeriksa status sertifikat. Dalam layanan ini, EFS terus memantau status sertifikat, dan mengeluarkan sertifikat baru untuk menggantikan sertifikat yang dicabut yang dideteksi.

Untuk memberikan keamanan sekuat mungkin, Anda dapat mengaktifkan OCSP sehingga klien Linux Anda dapat memeriksa sertifikat yang dicabut. OCSP melindungi dari penggunaan sertifikat yang dicabut secara berbahaya, yang tidak mungkin terjadi dalam VPC Anda. Jika sertifikat EFS TLS dicabut, Amazon akan menerbitkan buletin keamanan dan merilis versi baru EFS mount helper yang menolak sertifikat yang dicabut.

Untuk mengaktifkan OCSP pada klien Linux Anda untuk semua koneksi TLS future ke EFS

  1. Buka sebuah terminal pada client Linux Anda.

  2. Menggunakan editor teks pilihan Anda, buka/etc/amazon/efs/efs-utils.confberkas.

  3. Mengaturstunnel_check_cert_validitynilai benar.

  4. Simpan perubahan pada file dan tutup.

Untuk mengaktifkan OCSP sebagai bagian darimountkomando

  • Gunakan perintah mount berikut untuk mengaktifkan OCSP saat memasang sistem file.

    $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs