ESETオンラインヘルプ

トピックを選択

stunnel TLSプロキシを使用したセキュリティで保護されたICAP

stunnelサービスを使用して、ICAP検査の暗号化された接続を管理し、セキュリティを強化できます。

1.ESET Server Security for Linuxをインストールして、アクティベーションします。

2.ICAP検査を有効にするには、設定 > 検出エンジン > リモート検査 > ICAPサービスを使用してリモート検査を有効にするの横のトグルをクリックします。

3.パッケージマネージャーでstunnelをインストールします。Ubuntu 20.04では、特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

sudo apt install stunnel

4.stunnelによる通信を暗号化するための秘密鍵と公開鍵を、アクセスが制限されたファイルに格納します。この証明書は、このセキュリティで保護された接続で接続ESSLするICAPクライアントによって信頼される必要があります。鍵を保存して権限を設定する方法の例:

sudo cat private_key.pem ca_key.pem >> /etc/pki/tls/private/stunnel.pem

sudo chmod 400 /etc/pki/tls/private/stunnel.pem

5.root (chmod 0600)だけが読み取り可能な、次の行を含む設定ファイル/etc/stunnel/stunnel.confを作成します。

[efs_icap]

accept = 0.0.0.0:11344

connect = 0.0.0.0:1344

cert = /etc/pki/tls/private/stunnel.pem

efs_icap - 次の行で設定するサービス名。Stunnelは複数の接続の転送をサポートしています。

accept - ICAPS接続を許可するIPアドレスとポート。この例では、localhostとポート11344です

接続 - ESSLがICAP要求をリスニングするIPアドレスとポート。この例では、同じコンピューターと既定のポート1344です


note

Stunnelは専用サーバーで実行でき、chrootを使用してESSL複数のコンピューターに接続したり、chrootでサンドボックス化したりすることもできます。すべてのstunnelオプションについては、マニュアルを参照してください。

6.systemdによってstunnelを起動し、システム起動後に自動的に実行できるようにします。

sudo systemctl start stunnel

sudo systemctl enable stunnel

7.ファイアウォールでICAPSポートのポートを開きます。Ubuntu 20.04では、特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

sudo ufw allow 11344/tcp
sudo ufw reload

8.ガイドに従ってICAPクライアント(ストレージなど)を設定し、ESSLがstunnelで実行され、使用されている証明書を信頼するポート11344に接続します。次に、ウイルス対策接続がeicarサンプルなどで機能するかどうかをテストします。