stunnel TLSプロキシを使用したセキュリティで保護されたICAP
stunnelサービスを使用して、ICAP検査の暗号化された接続を管理し、セキュリティを強化できます。
1.ESET Server Security for Linuxをインストールして、アクティベーションします。
2.ICAP検査を有効にするには、設定 > 検出エンジン > リモート検査 > ICAPサービスを使用してリモート検査を有効にするの横のトグルをクリックします。
3.パッケージマネージャーでstunnelをインストールします。Ubuntu 20.04では、特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
sudo apt install stunnel |
4.stunnelによる通信を暗号化するための秘密鍵と公開鍵を、アクセスが制限されたファイルに格納します。この証明書は、このセキュリティで保護された接続で接続ESSLするICAPクライアントによって信頼される必要があります。鍵を保存して権限を設定する方法の例:
sudo cat private_key.pem ca_key.pem >> /etc/pki/tls/private/stunnel.pem sudo chmod 400 /etc/pki/tls/private/stunnel.pem |
5.root (chmod 0600)だけが読み取り可能な、次の行を含む設定ファイル/etc/stunnel/stunnel.confを作成します。
[efs_icap] accept = 0.0.0.0:11344 connect = 0.0.0.0:1344 cert = /etc/pki/tls/private/stunnel.pem |
•efs_icap - 次の行で設定するサービス名。Stunnelは複数の接続の転送をサポートしています。
•accept - ICAPS接続を許可するIPアドレスとポート。この例では、localhostとポート11344です
•接続 - ESSLがICAP要求をリスニングするIPアドレスとポート。この例では、同じコンピューターと既定のポート1344です
|
Stunnelは専用サーバーで実行でき、chrootを使用してESSL複数のコンピューターに接続したり、chrootでサンドボックス化したりすることもできます。すべてのstunnelオプションについては、マニュアルを参照してください。 |
6.systemdによってstunnelを起動し、システム起動後に自動的に実行できるようにします。
sudo systemctl start stunnel sudo systemctl enable stunnel |
7.ファイアウォールでICAPSポートのポートを開きます。Ubuntu 20.04では、特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
sudo ufw allow 11344/tcp |
8.ガイドに従ってICAPクライアント(ストレージなど)を設定し、ESSLがstunnelで実行され、使用されている証明書を信頼するポート11344に接続します。次に、ウイルス対策接続がeicarサンプルなどで機能するかどうかをテストします。