[Risolto] [Server] Apache e Stunnel

[Ares982]

Ciao a tutti,
volevo chiedervi un consiglio: ho un server su cui girano apache e un programma di file sharing chiamato HFS. Se volessi aggiungere il protocollo ssl ad entrambi, posso utilizzare un programma chiamato Stunnel? Oppure entra in conflitto con Apache?

Grazie mille

[il_muflone]

ciao

conflitti non ne crea in quanto stunnel lo configuri su qualsiasi porta tu voglia, ovviamente non lo metterai in ascolto su una porta usata da altri servizi

[Ares982]

Grazie mille. Ti posso chiedere per favore un template di esempio del file di configurazione stunnel.conf (avendo già creato i file server.key e server.crt)?

[il_muflone]

io non l'ho ma se ricordo bene su /usr/share/doc/stunnel4/examples ne trovi un paio

[Ares982]

Grazie mille. Ho provato a configurarlo ed in effetti Apache funziona senza problemi, mentre purtroppo HFS funziona solo senza il protocollo ssl. Posto tutto il file di configurazione, sperando che mi possiate aiutare. Grazie ancora!

; Sample stunnel configuration file by Michal Trojnara 2002-2009
; Some options used here may not be adequate for your particular configuration
; Please make sure you understand them (especially the effect of the chroot jail)

; Certificate/key is needed in server mode and optional in client mode
cert = /etc/ssl/certs/server.crt
key = /etc/ssl/certs/server.key

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
; PID is created inside the chroot jail
pid = /stunnel4.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
compression = zlib

; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS

; Authentication stuff
;verify = 2
; Don't forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It's often easier to use CAfile
;CAfile = /etc/stunnel/certs.pem
; Don't forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /etc/stunnel/crls.pem

; Some debugging stuff useful for troubleshooting
debug = 7
output = /var/log/stunnel4/stunnel.log

; SSL bug options / NO SSL:v2 (SSLv3 and TLSv1 is enabled)
options = ALL
options = NO_SSLv2

; Use it for client mode
;client = yes

; Service-level configuration

[pop3s]
accept  = 995
connect = 110

[imaps]
accept  = 993
connect = 143

[ssmtp]
accept  = 465
connect = 25

[https]
accept  = 443
connect = 80
TIMEOUTclose = 0

[hfs]
accept  = 44300
connect = 8080
TIMEOUTclose = 0

; vim:ft=dosini

[il_muflone]

il trucco di stunnel è quello di crittografare i dati ai due poli:
il client crittografa le richieste prima di inviarle a hfs, i dati crittografati viaggiano nel tunnel creato da stunnel e giunti all'altro capo effettueranno il collegamento dall'interno al server hfs in chiaro.

[Ares982]

Purtroppo non riesco a far partire hfs con https, ma solo con http. Non credo di poter mettere in ascolto sia Apache che HFS sulla porta 443, quindi mi servirebbe un'altra porta "sicura". Quale posso usare?

[il_muflone]

quella che ti pare, ne hai decine di migliaia libere

[Ares982]

Nonostante abbia provato parecchie porte (444,8081,44300...) non sto ottenendo alcun risultato... :-(

[il_muflone]

visto che non hai spiegato in nessun modo il problema, presumo tu sappia già cosa fare

[Ares982]

Perdonami, probabilmente mi sono espresso male. Purtroppo non so più cosa fare, invece...

Dunque, ho montato una macchina Linux Ubuntu Server su cui gira Apache 2.2 e HFS (programmino di File Sharing via http). Poiché ho a che fare con dati sensibili, ho la necessità di rendere utilizzabili entrambi i servizi con il protocollo https.
Ho deciso quindi, dopo una rapida ricerca su internet, di utilizzare il programma Stunnel, che tuttavia temo di non saper configurare, poichè mentre Apache funziona senza problemi sia via http che https (Apache ascolta le porte 80 e 443), il programma di file sharing (in listening sulla 8080 e 44300) invece funziona solo ed esclusivamente via http (se lo chiamo via https, non ottengo alcuna risposta). Le ultime righe del file di configurazione (dove credo risieda il problema, ma non ne sono sicuro, purtroppo) sono le seguenti:

[https]
accept  = 443
connect = 80
TIMEOUTclose = 0

[https]
accept  = 44300
connect = 8080
TIMEOUTclose = 0

Temo che il problema sia dato forse dai due nodi [https] o da un'errata configurazione delle porte di ascolto e connessione. Provando a variare i parametri "accept" e "connect" con varie porte disponibili, non ottengo alcun risultato.

Quindi la domanda è: posso utilizzare https su due porte distinte e due servizi attivi contemporaneamente? E se sì, come posso configurare quei parametri?

Grazie mille

[il_muflone]

ovviamente non ha senso abilitare due connessioni con lo stesso nome.
inoltre apache non ha bisogno di stunnel per usare l'ssl, lo fa già da sè.

dai un altro nome al tunnel e riavvia stunnel

[Ares982]

Ho capito da cosa è dovuto il problema: pare che HFS ascolti connessioni sicure solo sulla porta 443, in cui tuttavia è già in ascolto Apache (ho seguito il tuo consiglio ed ho abilitato la mod_ssl per Apache, quindi ora utilizzerei Stunnel solo per il programma di file sharing). Invece io avrei bisogno di utilizzare un'altra porta per il file sharing, ad esempio la 44300. Sul sito di HFS (http://www.rejetto.com/wiki/index.php/H ... our_server), trovo scritto (cito)

- HFS accepts requests on the chosen port, in this example 44300.
- Direct requests from clients to HFS on port 44300 have been blocked, except from 127.0.0.1 (localhost), where Stunnel resides.

Ecco spiegato il motivo per il quale da locale tutto funzionava senza problemi e da remoto no.

Tuttavia ancora non ho trovato la soluzione, ma vedo uno spiraglio...

Grazie mille comunque!

[il_muflone]

onestamente non ho capito quale sia il tuo problema.
imposta una porta libera, te lo dissi già prima.

[Ares982]

Quando dici "imposta" intendi su HFS e Stunnel? Se è così, purtroppo ho provato svariate porte (che peraltro erano tutte libere), e funziona in https solo sulla 443.

Se ad es. imposto su Stunnel:

[https]
accept  = 44300
connect = 8080
TIMEOUTclose = 0

e metto in ascolto HFS sulla 8080, in http non ho problemi, in https è raggiungibile solo da locale. Se cambio le porte "accept", "connect" e di conseguenza la porta in ascolto su HFS (ho provato un'infinità di porte), ottengo lo stesso risultato. Solo se imposto "accept = 443" funziona tutto perfettamente, ma devo previamente chiudere Apache (il che non va bene).

Mi sta sfuggendo forse qualche altro file di configurazione??

[il_muflone]

in che modo ti connetti via https?

[Ares982]

Dici la url che uso per connettermi? https://xxx.yyy.zzz:44300 (e funziona solo da locale). Altrimenti per connettermi in http (e qui funziona) http://xxx.yyy.zzz:8080

[il_muflone]

da locale vuol dire nella sola macchina che ha il server oppure anche da altre macchine nella rete locale?

[Ares982]

Allora, ho appena scoperto una cosa curiosa: grazie al tuo consiglio, ho provato ad accedere al sistema da altre reti e pare che funzioni anche in https! Il problema rimane quindi accedere al sistema dalla rete esterna da cui stavo facendo le prove (in pratica, il servizio è su una rete X, e io provavo ad accedervi da Y, e non funzionava: sia dalla rete X che da un'altra rete Z, non ho avuto problemi). Quindi a questo punto credo sia un problema mio di proxy o porte bloccate sul modem.

Grazie mille!!!

[il_muflone]

allora sposta il risolto sul primo messaggio, non sull'ultimo.
sarà utile a quanti altri avessero un problema similare.
ciao