本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
升級 stunnel
使用 Amazon EFS 掛載協助程式對傳輸中的資料進行加密時,需要 OpenSSL
版本 1.0.2 或更新版本,同時需要支援線上憑證狀態通訊協定 (OCSP) 和憑證主機名稱檢查的 stunnel
版本。Amazon EFS 掛載協助程式使用其 TLS 功能的 stunnel
程式。注意某些版本的 Linux 操作系統,預設下不包含 stunnel
支援 TLS 功能的版本。使用其中一個 Linux 發行版本時,藉助 TLS 來掛載 Amazon EFS 檔案系統會失敗。
在安裝 Amazon EFS 掛載協助程式後,您可以透過下列指示來升級系統版本 stunnel。
在 Amazon Linux、Amazon Linux 2 和其他支援的 Linux 發行版本 (除了 SLES 12) 上升級 stunnel
-
在網頁瀏覽器中,前往
stunnel
下載頁面 https://stunnel.org/downloads.html。 -
尋找以
tar.gz
格式提供的stunnel
最新版本。請記下檔案名稱,您會需要在後續步驟中用到。 -
開啟 Linux 用戶端的終端機,依顯示順序執行下列命令。
-
對於 RPM:
sudo yum install -y gcc openssl-devel tcp_wrappers-devel
對於 DEB:
sudo apt-get install build-essential libwrap0-dev libssl-dev
-
將
latest-stunnel-version
取代為您在稍早步驟 2 中記下的檔案名稱。sudo curl -o
latest-stunnel-version
.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version
.tar.gz -
sudo tar xvfz
latest-stunnel-version
.tar.gz -
cd
latest-stunnel-version
/ -
sudo ./configure
-
sudo make
-
目前的
stunnel
套件已安裝在bin/stunnel
中。因此,您可以安裝新版本,請使用下列命令移除該目錄。sudo rm /bin/stunnel
-
若要安裝最新版本:
sudo make install
-
創建 symlink:
sudo ln -s /usr/local/bin/stunnel /bin/stunnel
-
若要在 macOS 上升級 stunnel
-
在 EC2 Mac 執行個體上開啟終端機,然後執行下列命令以升級至最新版本的 stunnel。
brew upgrade stunnel
在 SLES 12 上升級 stunnel
執行下列指令,並依照 zypper 套件管理員指示,在執行 SLES12 的運算執行個體上升級 stunnel。
sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo sudo zypper refresh sudo zypper install -y stunnel
使用所需的功能安裝的某個版本 stunnel 後,您可以使用 TLS 掛載檔案系統與 Amazon EFS 建議的設定。
停用憑證主機名稱檢查
如果您無法安裝所需的相依性,您可以在 Amazon EFS 掛載協助程式組態中選擇性地停用憑證主機名稱檢查。我們不建議您在生產環境中停用此功能。若要停用憑證主機名稱檢查,請執行下列動作:
-
使用您選擇的文字編輯器,開啟
/etc/amazon/efs/efs-utils.conf
檔案。 -
將
stunnel_check_cert_hostname
值設為 false。 -
將變更儲存到檔案並將其關閉。
如需使用傳輸中資料加密的詳細資訊,請參閱 掛載 EFS 檔案系統。
啟用線上憑證狀態通訊協定
為了在無法從 VPC 存取 CA 時,讓檔案系統可用性最大化,當您選擇加密傳輸中的資料時,線上憑證狀態通訊協定 (OCSP) 預設不會啟用。Amazon EFS 會使用 Amazon 憑證授權
為了盡可能提供最強的安全,您可以啟用 OCSP,讓您的 Linux 用戶端可以檢查已撤銷憑證。OCSP 可保護不受惡意使用已撤銷憑證的危害,雖然這種情況在您的 VPC 中極為罕見。如果 EFS TLS 憑證已撤銷,Amazon 會發佈資訊安全公告,並且發行新版本的 EFS 掛載協助程式,該協助程式會拒絕已撤銷的憑證。
在您的 Linux 用戶端上針對所有未來與 EFS 的 TLS 連線啟用 OCSP
-
在您的 Linux 用戶端上開啟終端機。
-
使用您選擇的文字編輯器,開啟
/etc/amazon/efs/efs-utils.conf
檔案。 -
將
stunnel_check_cert_validity
值設為 true。 -
將變更儲存到檔案並將其關閉。
在 mount
命令中啟用 OCSP
-
在掛載檔案系統時,使用以下掛載命令啟用 OCSP。
$
sudo mount -t efs -o tls,ocspfs-12345678
:/ /mnt/efs