Захищений ICAP з проксі-сервером TLS stunnel
Службу stunnel можна використовувати для керування зашифрованим підключенням для підвищення рівня захисту під час сканування ICAP.
1.Інсталюйте й активуйте ESET Server Security for Linux.
2.Щоб увімкнути сканування ICAP, клацніть Параметр > Ядро виявлення > Віддалене сканування й клацніть перемикач Увімкнути віддалене сканування за допомогою служби ICAP.
3.Інсталюйте stunnel за допомогою менеджера пакетів. У Ubuntu 20.04 відкрийте вікно термінала й від імені привілейованого користувача виконайте таку команду:
sudo apt install stunnel |
4.Зберігайте закриті й відкриті ключі для шифрування обміну даними за допомогою stunnel у файлі з обмеженим доступом. Цьому сертифікату має довіряти клієнт ICAP, який підключатиметься до ESSL через це захищене підключення. Приклад того, як зберігати ключі й задавати дозволи:
sudo cat private_key.pem ca_key.pem >> /etc/pki/tls/private/stunnel.pem sudo chmod 400 /etc/pki/tls/private/stunnel.pem |
5.Створіть конфігураційний файл /etc/stunnel/stunnel.conf, який можна буде прочитати лише від імені root (chmod 0600), із такими рядками:
[efs_icap] accept = 0.0.0.0:11344 connect = 0.0.0.0:1344 cert = /etc/pki/tls/private/stunnel.pem |
•efs_icap: назва служби, яку ми налаштовуємо в наступних рядках. stunnel підтримує переадресацію кількох підключень.
•accept: IP-адреса й порт, які прийматимуть підключення ICAPS. У цьому прикладі це localhost і порт 11344
•connect: IP-адреса й порт, на якому ESSL прослуховує запити ICAP. У цьому прикладі використовується той самий комп’ютер і порт за замовчуванням (1344)
stunnel може працювати навіть на виділеному сервері й підключатися до кількох машин з ESSL або бути ізольованим у chroot. Усі параметри stunnel див. в посібнику. |
6.Запустіть stunnel від systemd і увімкніть його автоматичний запуск після завантаження системи:
sudo systemctl start stunnel sudo systemctl enable stunnel |
7.Відкрийте порт для порту ICAPS у брандмауері. У Ubuntu 20.04 відкрийте вікно термінала й від імені привілейованого користувача виконайте такі команди:
sudo ufw allow 11344/tcp |
8.Налаштуйте клієнт ICAP (наприклад, сховище) згідно з інструкціями у його документації та підключіть його до порту 11344, на якому ESSL виконується з stunnel і довіряє використовуваному сертифікату. Потім перевірте, чи працює підключення антивірусу, наприклад, для зразка eicar.