stunnel のアップグレード - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

stunnel のアップグレード

Amazon EFS マウントヘルパーを使用した転送中のデータの暗号化には、OpenSSLバージョン 1.0.2 以降、およびstunnelオンライン証明書ステータスプロトコル (OCSP) および証明書ホスト名チェックの両方をサポートします。Amazon EFS マウントヘルパーは、stunnelTLS 機能のプログラムを使用します。Linux のバージョンによっては、バージョンのstunnelで、これらのTLS機能をデフォルトでサポートしています。これらの Linux ディストリビューションのいずれかを使用する場合、TLS を使用する Amazon EFS ファイルシステムのマウントは失敗します。

Amazon EFS マウントヘルパーをインストールした後、stunnel のシステムのバージョンをアップグレードするには、次の手順を実行します。

をアップグレードするにはstunnelAmazon Linux、Amazon Linux 2、およびその他のサポートされている Linux ディストリビューション (SLES 12)

  1. ウェブブラウザでstunnelダウンロードページhttps://stunnel.org/downloads.html

  2. 最新のを見つけるstunnelで利用可能なtar.gzの形式で設定。ファイル名をメモしておきます。この名前は以降のステップで必要になります。

  3. Linux クライアントでターミナルを開き、記載されている順にコマンドを実行します。

    1. RPM の場合:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      DEB の場合:

      sudo apt-get install build-essential libwrap0-dev libssl-dev
    2. latest-stunnel-version を、ステップ 2 で書き留めておいたファイル名に置き換えます。

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make
    7. 現在のstunnelパッケージがbin/stunnel。したがって、新しいバージョンをインストールするには、次のコマンドを使用してそのディレクトリを削除します。

      sudo rm /bin/stunnel
    8. 最新バージョンをインストールします。

      sudo make install
    9. 注記

      デフォルトの CentOS シェルは bash シェルとは異なる構文がある csh です。次のコードでは、まず bash が呼び出され、/bin/stunnel/root

      bash
      if [[ -f /bin/stunnel ]]; then sudo mv /bin/stunnel /root fi
    10. シンボリックリンクを作成します。

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel

macOS Big Surでスタントンをアップグレードするには

  • EC2 Mac インスタンスでターミナルを開き、stunnel の最新バージョンにアップグレードするには、次のコマンドを実行します。

    brew upgrade stunnel

SLES 12のスタントンをアップグレードする

  • 次のコマンドを実行し、zypper パッケージマネージャーの指示に従って、SLES12 を実行しているコンピュートインスタンスで stunnel をアップグレードします。

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo sudo zypper refresh sudo zypper install -y stunnel

必要な機能を備えたstunnel のバージョンをインストールした後、Amazon EFS 推奨設定で TLS を使用してファイルシステムをマウントできます。

証明書ホスト名のチェックの無効化

必要な依存関係をインストールできない場合、Amazon EFS マウントヘルパー設定で、必要に応じて証明書ホスト名チェックを無効にできます。実稼働環境でこれらの機能を無効にすることはお勧めしません。証明書ホスト名チェックを無効にするには、次の操作を行います。

  1. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

  2. stunnel_check_cert_hostname 値を false に設定します。

  3. 変更をファイルに保存して閉じます。

転送中のデータの暗号化の使用の詳細については、EFS ファイルシステムをマウントする を参照してください。

オンライン証明書ステータスプロトコルの有効化

VPC から CA にアクセスできない場合のファイルシステムの可用性を最大化するため、転送中のデータの暗号化を選択した場合、オンライン証明書ステータスプロトコル (OCSP) はデフォルトでは有効になりません。Amazon EFS ではAmazon 認証機関(CA) を使用して TLS 証明書を発行して署名し、CA は OCSP を使用して失効した証明書をチェックするようにクライアントに指示します。OCSP エンドポイントは、証明書のステータスを確認するため、仮想プライベートクラウドからインターネット経由でアクセスできる必要があります。EFS は、サービス内で継続的に証明書のステータスをモニタリングします。失効した証明書が検出された場合、EFS は新しい証明書を発行してその証明書を置き換えます。

可能な限り強力なセキュリティを提供するため、OCSP を有効にできます。これにより、Linux クライアントは失効した証明書を確認することができます。OCSP は失効した証明書の悪用を防止しますが、それが VPC 内部で発生する可能性はほとんどありません。EFS TLS 証明書が失効した場合、Amazon はセキュリティ情報を発行し、失効した証明書を拒否する新しいバージョンの EFS マウントヘルパーをリリースします。

以降のすべての EFS への TLS 接続において、Linux クライアントで OCSP を有効にするには

  1. Linux クライアントのターミナルを開きます。

  2. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

  3. stunnel_check_cert_validity の値を true に設定します。

  4. 変更をファイルに保存して閉じます。

mount コマンドの一部として OCSP を有効にするには

  • 次のマウントコマンドを使用して、ファイルシステムをマウントするときに OCSP を有効にします。

    $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs