Stunnel is 'n oopbron-opdraglynprogram wat ontwerp is om die afgeleë en plaaslike TCP-verbinding (Transmission Control Protocol) te enkripteer met SSL (Secure Sockets Layer) -kripsie tussen die kliënt en die bediener.
Funksies in 'n oogopslag
Die sagteware word meestal gebruik om SSL funksionaliteit by IMAP en POP2 / 3 daemonne te voeg. Om enige kriptografiese algoritme te ondersteun, maak Stunnel gebruik van beide SSLeay en OpenSSL biblioteke.
Verder gebruik Stunnel die FIPS 140-2-validering, wat deel is van die OpenSSL FIPS Object Module. Dit is tans beskikbaar in die standaard sagteware repositories van baie Linux-bedryfstelsel stelsels. Die program kom ook met ondersteuning vir verskeie ander voetstukke, insluitend IPv6, poll of systemd.
Begin met Stunnel
Om Stunnel te installeer in u GNU / Linux bedryfstelsel, moet u eers die nuutste weergawe van Softoware aflaai (dit word versprei as 'n universele bronne argief), stoor dit op 'n plek van u keuse, trek dit uit en maak 'n terminaal vensters oop .
Tik die & ldquo;. / configure & amp; maak & rdquo; opdrag om die program vir u hardeware argitektuur en bedryfstelsel op te stel en saam te stel (ondersteunde argitektuur sluit 32-bis en 64-bis in). Na 'n suksesvolle samestelling, kan jy die installasie installeer & rdquo; opdrag as wortel of met sudo, sonder aanhalings.
Wanneer dit eers gebruik word, sal die program poog om sy konfigurasielêer te lees, wat op /usr/local/etc/stunnel/stunnel.conf geleë is. U sal 'n spesifieke config-lêer kan gebruik, sowel as om die konfigurasie-lêer van 'n lêerbeskrywer te lees.
Onder die kap en beskikbaarheid
Stunnel word heeltemal in die C-programmeertaal geskryf en dit word as 'n universele bronne-argief versprei om die toepassing op jou GNU / Linux-stelsel te optimaliseer.
Wat is nuut in hierdie weergawe:
- Dit is suksesvol geïnstalleer op beide 32-bis en 64-bits masjiene. Nuwe funksies:
- Die standaard cipher lys is opgedateer na 'n veiliger waarde: "HIGH:! aNULL:! SSLv2:! DH:! kDHEPSK".
- Foutoplossings:
- Standaard aanvaar adres herstel na INADDR_ANY.
Wat is nuut in weergawe:
- Nuwe funksies:
- PKCS # 11 enjin DLL opgedateer na weergawe 0.4.5.
- Standaard enjin-UI gestel met ENGINE_CTRL_SET_USER_INTERFACE.
- Sleutel lêernaam is by die wagwoord vir die wagwoord vir die wagwoord gevoeg.
- Prestasie optimalisering in geheue lek opsporing.
- Foutoplossings:
- Vaste ineenstortings met die OpenSSL 1.1.0 tak.
- Vaste sertifikaat verifikasie met 'verifyPeer = ja' en "verifieerChain = nee" (die verstek), terwyl die eweknie slegs 'n enkel sertifikaat gee.
Wat is nuut in weergawe 5.38:
- Nuwe kenmerke:
- & quot; SNI = & quot; kan gebruik word om te verhoed dat die SNI uitbreiding gestuur word.
- Die AI_ADDRCONFIG resolver vlag word gebruik wanneer beskikbaar.
- Samengestelde Debian 06-Lfs.patch (Thx Peter Pentchev).
- Foutoplossings:
- Vaste 'n geheue toekennings fout wat ineenstorting met OpenSSL 1.1.0 veroorsaak.
- Vaste fouthantering vir gemengde IPv4 / IPv6-bestemmings.
- Saamgestelde Debian 08-typos.patch (Thx Peter Pentchev).
Wat is nuut in weergawe 5.30:
- Beveiligingsbugfixes:
- OpenSSL DLLs opgedateer na weergawe 1.0.2f. https://www.openssl.org/news/secadv_20160128.txt
- Nuwe funksies:
- Verbeterde verenigbaarheid met die huidige OpenSSL 1.1.0-dev-boom.
- Bygevoeg op OpenSSL-autodeteksie vir die onlangse weergawes van Xcode.
- Foutoplossings:
- Vaste verwysings na / ens verwyder van stunnel.init.in.
- Gestop selfs probeer -fack-beskermer op nie-ondersteunde platforms (soos Rob Lockhart).
Wat is nuut in weergawe 5.26:
- Samestellingsoplossings vir OSX, * BSD en Solaris.
Wat is nuut in weergawe 5.17:
- Bugfixes:
- Bevestig 'n NULL-wyser-afleiding wat veroorsaak dat die diens ineenstort. Hierdie fout is in stunnel 5.15 bekendgestel.
Wat is nuut in weergawe 5.10:
- Nuwe funksies:
- OCSP AIA (Authority Information Access) ondersteuning. Hierdie funksie kan aangeskakel word met die nuwe opsie vir die opsie "OCSPaia".
- Bykomende sekuriteitskenmerke van die skakelaar word aangeskakel: "-herrelro", "-s nou", "-no noexecstack".
- Foutoplossings:
- OpenSSL DLLs opgedateer na weergawe 1.0.1l. https://www.openssl.org/news/secadv_20150108.txt
- FIPS canister opgedateer na weergawe 2.0.9 in die Win32 binêre bou.
Wat is nuut in weergawe 5.06:
- Beveiligingsbugfixes:
- OpenSSL DLLs opgedateer na weergawe 1.0.1j. https://www.openssl.org/news/secadv_20141015.txt
- Die onseker SSLv2-protokol is nou standaard gedeaktiveer. Dit kan geaktiveer word met 'opsies = -NO_SSLv2'.
- Die onseker SSLv3-protokol is nou standaard gedeaktiveer. Dit kan aangeskakel word met 'opsies = -NO_SSLv3'.
- Standaard sslVersion verander na "alles" (ook in FIPS-modus) om die hoogste ondersteunde TLS-weergawe te outomatiseer.
- Nuwe funksies:
- Het ontbrekende SSL-opsies aangepas om by OpenSSL 1.0.1j te pas.
- Nuwe "opsies" opsie om die lys van ondersteunde SSL-opsies te vertoon.
- Foutoplossings:
- Fixed FORK threading bou regressie fout.
- Vaste ontbrekende periodieke Win32 GUI log updates.
Wat is nuut in weergawe 4.56:
- Nuwe funksies:
- Win32 installeerder konfigureer outomaties firewall uitsonderings.
- Win32 installeerder konfigureer administratiewe kortpaaie om UAC aan te dring.
- Verbeterde Win32 GUI shutdown time.
- Foutoplossings:
- 'n Regressie-fout is ingestel in weergawe 4.55 wat ewekansige ineenstortings op verskeie platforms veroorsaak, insluitend Windows 7.
- Vaste opstart crashes op sommige Win32-stelsels.
- Vaste foute "stunnel -exit" verwerk sinkronisasie.
- Vaste FIPS-opsporing met nuwe weergawes van die OpenSSL-biblioteek.
- As u nie die loglêer by die aanvang oopmaak nie, word dit nie meer geïgnoreer nie.
Wat is nuwe in weergawe 4.48:
- FIPS-compliant OpenSSL DLLs word voorsien van die Windows installeerder.
- FIPS modus kan gedeaktiveer word met die "fips = nee" konfigurasie lêer opsie.
- Die stabiliteit van die Windows GUI is ook verbeter.
Wat is nuut in weergawe 4.46:
- Hierdie weergawe voeg Unix-sok ondersteun (bv. "connect = / var / run / stunnel / socket") en 'n nuwe sertifikaat verifikasie af ("verifieer = 4") om die CA te ignoreer ketting en verifieer net die eweknie sertifikaat.
- Dit bevat ook 'n paar prestasie- en skaalbaarheidsoptimalisasies en samestellingsfoute.
Wat is nuut in weergawe 4.45:
- Nuwe "protokol = proxy" Ondersteuning is bygevoeg om die oorspronklike kliënt IP-adres te stuur na haproxy.
- Dit vereis die aanvaarding-proxy bind opsie van haproxy 1.5-dev3 of later.
- 'n Aantal klein verbeteringe en foute is bygevoeg, meestal verwant aan Win32 GUI en samestellingskwessies op verskeie platforms.
Wat is nuut in weergawe 4.39:
- 'n Nuwe Windows installeerder module is bygevoeg om 'n self- getekende stunnel.pem.
- Konfigurasie lêer redigering en herlaai van logbestand is by die Windows GUI gevoeg.
- Konfigurasie lêer herlaai met die Windows GUI is verbeter.
Wat is nuut in weergawe 4.38:
- TLS-uitbreidingsteun vir bedieners se naam (SNI) is geïmplementeer vir name-gebaseerde virtuele bedieners.
- Stunnel kan nou die diensafdeling in die lug verander, gebaseer op die bestemmings-gasheernaam wat in die kliënt Hello-boodskap ingesluit is.
- Daar is ook verskeie regstellings bygevoeg vir foute wat in vorige eksperimentele weergawes bekendgestel is.
Wat is nuut in weergawe 4.35:
- Nuwe funksies:
- Opgedateer Win32 DLLs vir OpenSSL 1.0.0c.
- Deursigtige bron (nie-plaaslike bind) bygevoeg vir FreeBSD 8.x.
- Deursigtige bestemming ("deursigtig = bestemming") bygevoeg vir Linux.
- Foutoplossings:
- Vaste herlaai van FIPS-gebaseerde stunnel.
- Opstelopsies word nou outomaties opgespoor deur ./konfigureer script om verouderde weergawes van gcc te ondersteun.
- Async-sein-onveilige s_log () verwyder van SIGTERM / SIGQUIT / SIGINT-hanteerder.
- CLOEXEC-lêerbeskrywingslekkasies is vasgestel op Linux> = 2.6.28 met glibc> = 2.10. Onherstelbare rasse-lekkasies bly op ander Unix-platforms. Hierdie probleem kan sekuriteit implikasies hê vir sommige implementerings.
- Gids lib64 ingesluit in die OpenSSL biblioteek soek pad.
- Windows CE-samestellingsoplossings (bv. Pierre Delaage).
- Uitgestelde RSA_generate_key () vervang met RSA_generate_key_ex ().
- Domeinnaam verander (met dank aan Bri Hatch):
- http://stunnel.mirt.net/ -> http://www.stunnel.org/
- ftp://stunnel.mirt.net/ -> http://ftp.stunnel.org/
- stunnel.mirt.net::unnel -> rsync.stunnel.org::stunnel
- stunnel-users@mirt.net -> stunnel-users@stunnel.org
- stunnel-announce@mirt.net -> stunnel-announce@stunnel.org
Kommentaar nie gevind