stunnel TLSプロキシを使用したセキュリティで保護されたICAP
stunnelサービスを使用して、ICAP検査の暗号化された接続を管理し、セキュリティを強化できます。
1.ESET Server Security for Linuxをインストールして、アクティベーションします。
2.ICAP検査を有効にするには、設定 > 検出エンジン > リモート検査 > ICAPサービスを使用してリモート検査を有効にするの横のトグルをクリックします。
3.パッケージマネージャーでstunnelをインストールします。Ubuntu 20.04では、特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
sudo apt install stunnel |
4.stunnelによる通信を暗号化するための秘密鍵と公開鍵を、アクセスが制限されたファイルに格納します。この証明書は、このセキュリティで保護された接続を使用してESSLに接続するICAPクライアントによって信頼される必要があります。キ鍵を保存してアクセス許可を設定する方法の例:
sudo cat private_key.pem ca_key.pem >> /etc/pki/tls/private/stunnel.pem sudo chmod 400 /etc/pki/tls/private/stunnel.pem |
5.root (chmod 0600)だけが読み取り可能な、次の行を含む設定ファイル/etc/stunnel/stunnel.confを作成します。
[efs_icap] accept = 0.0.0.0:11344 connect = 0.0.0.0:1344 cert = /etc/pki/tls/private/stunnel.pem |
•efs_icap - 次の行で設定するサービス名。Stunnelは次の複数の接続をサポートします。
•accept—ICAPS接続を許可するIPアドレスとポート。この例では、localhostとポート11344です。
•connect—ESSLがICAP要求を待機するIPアドレスとポート。この例では、同じコンピューターと既定のポート1344です。
|
Stunnelは専用サーバーで実行でき、chrootを使用してESSL複数のコンピューターに接続したり、chrootでサンドボックス化したりすることもできます。すべてのstunnelオプションについては、マニュアルを参照してください。 |
6.systemdによってstunnelを起動し、システム起動後に自動的に実行できるようにします。
sudo systemctl start stunnel sudo systemctl enable stunnel |
7.ファイアウォールでICAPSポートのポートを開きます。Ubuntu 20.04では、特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
sudo ufw allow 11344/tcp |
8.ガイドに従ってICAPクライアント(ストレージなど)を設定し、ESSLがstunnelで実行され、使用されている証明書を信頼するポート11344に接続します。その後、eicarサンプルなどのウイルス対策接続が動作するかどうかをテストします。