Книга: Linux глазами хакера
5.2.2. Дополнительные возможности OpenSSL
5.2.2. Дополнительные возможности OpenSSL
При запуске программы stunnel на сервере мы задали использование сертификата авторизации, но не сказали, как проверять его подлинность. Для указания уровня контроля применяется ключ -v
, после которого идет число:
? 0
— нет никакой проверки;
? 1
— если сертификат присутствует, то он проверяется на подлинность. Если получен отрицательный результат, то соединение разрывается. Наличие сертификата не является обязательным, соединение может быть установлено и без него;
? 2
— на данном уровне сертификат является обязательным. Если сертификата нет или он не является подлинным, соединение не может быть установлено;
? 3
— наличие сертификата обязательно, а помимо этого, он должен быть в локальном хранилище (специальный список). В этом случае нужно указать директорию, в которой находятся сертификаты с помощью опции -а
.
SSL-сервер может расшифровывать трафик и передавать на порт принимающей программы не только локального, но и другого компьютера. Таким образом, сервер SSL и сервер получатель трафика могут быть на разных компьютерах. Неплохо, чтобы сервер после расшифровки данных прятал IP-адрес клиента, с которого были отправлены данные, и это возможно, если указать опцию -T
.
Во время установки пакета OpenSSL на вашем диске создаются сертификаты и пары ключей, которые используются для шифрования. Все это находится в директории /usr/share/ssl/.
С помощью опции -n
можно непосредственно указать протокол, с которым будет происходить работа. В настоящий момент поддерживаются POP3 (Post Office Protocol, протокол обработки входящих сообщений), SMTP (Simple Mail Transfer Protocol, простой протокол электронной почты)) или NNTP (Network News Transfer Protocol, сетевой протокол передачи новостей).
Для большинства основных протоколов существуют номера портов, уже ставшие стандартом. Есть даже названия защищенных вариантов протоколов, которые, как правило, получаются за счет добавления к наименованию основного протокола буквы s, которая и указывает на безопасное соединение через SSL. Эта информация приведена в табл. 5.1.
Таблица 5.1. Список протоколов с номерами портов
Протокол | Название SSL варианта протокола | Номер TCP-порта |
---|---|---|
HTTP | HTTPS | 443 |
SMTP | SMTPS | 465 |
LDAP | LDAPS | 636 |
TELNET | TELNETS | 992 |
SHELL | SSHELL | 614 |
FTP | FTPS | 990 |
FTP-DATA | FTPS-DATA | 989 |
IMAP | IMAPS | 993 |
POP3 | POP3S | 995 |
IRC | IRCS | 994 |
Обратите внимание, что для протокола FTP требуется два защищенных канала. Один используется для управляющего соединения, а второй — для передачи данных. К этому мы еще вернемся в гл. 10, когда будем рассматривать этот протокол.
- 10.5. Дополнительные настройки
- 22.7 Дополнительные заголовки IPv6
- Дополнительные возможности
- 4.1.5. Дополнительные клавиши
- 12.7. Дополнительные сведения о сигналах
- Дополнительные переменные
- 3.2.3. Дополнительные репозитории
- Расширенные возможности указания пользовательских планов
- Дополнительные национальные кодовые страницы и порядки сортировки
- Возможности, планируемые к реализации в следующих версиях
- Возможности SSH
- Глава 8 Дополнительные службы