Stunnel è un programma da riga di comando open source progettato per crittografare la connessione TCP (Transmission Control Protocol) remota e locale utilizzando la crittografia SSL (Secure Sockets Layer) tra il client e il server.
Caratteristiche a colpo d'occhio
Il software è usato principalmente per aggiungere funzionalità SSL ai daemon IMAP e POP2 / 3. Per supportare qualsiasi algoritmo crittografico, Stunnel utilizza sia le librerie SSLeay che OpenSSL.
Inoltre, Stunnel utilizza la convalida FIPS 140-2, che fa parte del modulo dell'oggetto FIPS OpenSSL. È attualmente disponibile nei repository software predefiniti di molti sistemi operativi basati su Linux. Il programma include anche il supporto per vari altri socket, tra cui IPv6, polling o systemd.
Iniziare con Stunnel
Per installare Stunnel nel tuo sistema operativo GNU / Linux, devi prima scaricare l'ultima versione da Softoware (è distribuita come archivio universale delle fonti), salvarla in una posizione a tua scelta, estrarla e aprire una finestra terminale .
Scrivi il & ldquo; ./ configure & amp; & amp; fare & rdquo; comando per configurare e compilare il programma per l'architettura hardware e il sistema operativo (le architetture supportate includono 32 e 64 bit). Dopo una compilazione riuscita, puoi digitare & ldquo; make install & rdquo; comando come root o con sudo, senza virgolette.
Quando viene utilizzato per la prima volta, il programma tenterà di leggere il suo file di configurazione, che si trova in /usr/local/etc/stunnel/stunnel.conf. Potrai utilizzare uno specifico file di configurazione e leggere il file di configurazione da un descrittore di file.
Sotto il cappuccio e la disponibilità
Stunnel è scritto interamente nel linguaggio di programmazione C e è distribuito come archivio di fonti universale per ottimizzare l'applicazione sul sistema GNU / Linux. È stato installato con successo su entrambe le macchine a 32 e 64 bit.
Novità in questa versione:
- Nuove funzionalità:
- L'elenco di cifre predefinito è stato aggiornato con un valore più sicuro: & quot; ALTO:! aNULL:! SSLv2:! DH:! kDHEPSK & quot;.
- Bugfix:
- Indirizzo di accettazione predefinito ripristinato su INADDR_ANY.
Novità della versione nella versione:
- Nuove funzionalità:
- DLL del motore PKCS # 11 aggiornata alla versione 0.4.5.
- UI del motore predefinito impostato con ENGINE_CTRL_SET_USER_INTERFACE.
- Nome del file chiave aggiunto nel prompt della console della passphrase.
- Ottimizzazione delle prestazioni nel rilevamento delle perdite di memoria.
- Bugfix:
- Corretti i crash con il ramo OpenSSL 1.1.0.
- Risolto il problema con la verifica del certificato con & quot; verifyPeer = yes & quot; e & quot; verifyChain = no & quot; (il valore predefinito), mentre il peer restituisce solo un singolo certificato.
Novità nella versione 5.38:
- Nuove funzionalità:
- & quot; sni = & quot; può essere usato per impedire l'invio dell'estensione SNI.
- Il flag resolver AI_ADDRCONFIG viene utilizzato quando disponibile.
- Fuso Debian 06-lfs.patch (thx Peter Pentchev).
- Bugfix:
- Corretto un bug di allocazione della memoria che causava arresti anomali con OpenSSL 1.1.0.
- Corretta gestione degli errori per destinazioni miste IPv4 / IPv6.
- Ha unito Debian 08-typos.patch (thx Peter Pentchev).
Novità della versione nella versione 5.30:
- Bugfix di sicurezza:
- DLL OpenSSL aggiornate alla versione 1.0.2f. https://www.openssl.org/news/secadv_20160128.txt
- Nuove funzionalità:
- Migliore compatibilità con l'attuale albero OpenSSL 1.1.0-dev.
- Aggiunto il rilevamento automatico di OpenSSL per le versioni recenti di Xcode.
- Bugfix:
- Risolti i riferimenti a / etc rimossi da stunnel.init.in.
- Arrestato anche cercando di provare -fstack-protector su piattaforme non supportate (da thx a Rob Lockhart).
Novità nella versione 5.26:
- Correzioni di compilazione per OSX, * BSD e Solaris.
Novità nella versione 5.17:
- Bugfix:
- Risolto un errore di dereferenza del puntatore NULL che causava il blocco del servizio. Questo bug è stato introdotto in stunnel 5.15.
Novità nella versione 5.10:
- Nuove funzionalità:
- Supporto OCSP AIA (Authority Information Access). Questa funzione può essere abilitata con la nuova opzione a livello di servizio & quot; OCSPaia & quot;.
- Sono attivate ulteriori funzionalità di sicurezza del linker: & quot; -z relro & quot ;, & quot; -z now & quot ;, & quot; -z noexecstack & quot;.
- Bugfix:
- DLL OpenSSL aggiornate alla versione 1.0.1l. https://www.openssl.org/news/secadv_20150108.txt
- Contenitore FIPS aggiornato alla versione 2.0.9 nel build binario Win32.
Novità della versione nella versione 5.06:
- Bugfix di sicurezza:
- DLL OpenSSL aggiornate alla versione 1.0.1j. https://www.openssl.org/news/secadv_20141015.txt
- Il protocollo SSLv2 non sicuro è ora disabilitato per impostazione predefinita. Può essere abilitato con & quot; options = -NO_SSLv2 & quot;.
- Il protocollo SSLv3 non sicuro è ora disabilitato per impostazione predefinita. Può essere abilitato con & quot; options = -NO_SSLv3 & quot;.
- Default sslVersion cambiato in & quot; all & quot; (anche in modalità FIPS) per l'autonegoziazione della versione TLS supportata più alta.
- Nuove funzionalità:
- Aggiunte le opzioni SSL mancanti per abbinare OpenSSL 1.0.1j.
- Nuovo & quot; -opzioni & quot; opzione della riga di comando per visualizzare l'elenco delle opzioni SSL supportate.
- Bugfix:
- Corretto il bug di regressione build del threading FORK.
- Corretti gli aggiornamenti periodici dei log della GUI Win32 mancanti.
Novità della versione nella versione 4.56:
- Nuove funzionalità:
- Il programma di installazione Win32 configura automaticamente le eccezioni del firewall.
- Il programma di installazione di Win32 configura le scorciatoie amministrative per richiamare l'UAC.
- Tempo di spegnimento della GUI Win32 migliorato.
- Bugfix:
- Risolto un bug di regressione introdotto nella versione 4.55 che causava arresti anomali casuali su diverse piattaforme, incluso Windows 7.
- Risolti i crash di avvio in alcuni sistemi Win32.
- Corretto errato & quot; stunnel -exit & quot; sincronizzazione dei processi.
- Risolto il rilevamento FIPS con nuove versioni della libreria OpenSSL.
- La mancata apertura del file di registro all'avvio non viene più ignorata.
Novità nella versione 4.48:
- Le DLL OpenSSL conformi a FIPS sono fornite con il programma di installazione di Windows.
- La modalità FIPS può essere disabilitata con & quot; fips = no & quot; opzione del file di configurazione.
- Anche la stabilità della GUI di Windows è migliorata.
Novità nella versione 4.46:
- Questa versione aggiunge il supporto socket Unix (es. & quot; connect = / var / run / stunnel / socket & quot;) e una nuova modalità di verifica del certificato (& quot; verify = 4 & quot;) per ignorare la CA catena e verifica solo il certificato peer.
- Include anche alcune ottimizzazioni di prestazioni e scalabilità e correzioni di errori di compilazione.
Novità nella versione 4.45:
- Nuovo & quot; protocol = proxy & quot; è stato aggiunto il supporto per inviare l'indirizzo IP del client originale a haproxy.
- Ciò richiede l'opzione bind del proxy di accettazione di haproxy 1.5-dev3 o successiva.
- Sono stati aggiunti alcuni miglioramenti minori e correzioni di bug, principalmente relativi alla GUI Win32 e ai problemi di compilazione su varie piattaforme.
Novità nella versione 4.39:
- È stato aggiunto un nuovo modulo di installazione di Windows per creare un firmato stunnel.pem.
- La modifica del file di configurazione e la riapertura del file di registro sono state aggiunte alla GUI di Windows.
- Il file di configurazione che ricarica con la GUI di Windows è stato migliorato.
Novità nella versione 4.38:
- Server Name Indication (SNI) Il supporto dell'estensione TLS è stato implementato per i server virtuali basati sui nomi.
- Stunnel ora può cambiare la sezione del servizio in tempo reale, in base al nome host di destinazione incluso nel messaggio Client Hello.
- Sono state aggiunte numerose correzioni per i bug introdotti nelle precedenti versioni sperimentali.
Novità nella versione 4.35:
- Nuove funzionalità:
- DLL Win32 aggiornate per OpenSSL 1.0.0c.
- Sorgente trasparente (binding non locale) aggiunta per FreeBSD 8.x.
- Destinazione trasparente (& quot; transparent = destination & quot;) aggiunta per Linux.
- Bugfix:
- Risolto il problema di ricarica di stunnel abilitato per FIPS.
- Le opzioni del compilatore sono ora rilevate automaticamente dallo script ./configure per supportare le versioni obsolete di gcc.
- Async-signal-unsafe s_log () rimosso dal gestore SIGTERM / SIGQUIT / SIGINT.
- Le perdite dei descrittori di file CLOEXEC sono state risolte su Linux & gt; = 2.6.28 con glibc & gt; = 2.10. Perdite di condizioni di gara irreparabili rimangono su altre piattaforme Unix. Questo problema potrebbe avere implicazioni di sicurezza su alcune distribuzioni.
- Directory lib64 inclusa nel percorso di ricerca della libreria OpenSSL.
- Correzioni di compilazione di Windows CE (da thx a Pierre Delaage).
- RSA_generate_key () deprecato sostituito con RSA_generate_key_ex ().
- Modifiche ai nomi di dominio (per gentile concessione di Bri Hatch):
- http://stunnel.mirt.net/ - & gt; http://www.stunnel.org/
- ftp://stunnel.mirt.net/ - & gt; http://ftp.stunnel.org/
- stunnel.mirt.net::stunnel - & gt; rsync.stunnel.org::stunnel
- stunnel-users@mirt.net - & gt; stunnel-users@stunnel.org
- stunnel-announce@mirt.net - & gt; stunnel-announce@stunnel.org
I commenti non trovato