3
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-2">
4
<TITLE>Gdy pojawiaj� si� k�opoty</TITLE>
6
<BODY TEXT="#000000" BGCOLOR="#FFFFFF" LINK="#0000EF" VLINK="#51188E" ALINK="#FF0000">
7
<B>Q: </B>Pr�buje kompilowa� stunnel jednak dostaje
8
nast�puj�ce komunikaty:
9
<BR>stunnel.c:69: ssl.h: No such file or directory
10
<BR>stunnel.c:71: bio.h: No such file or directory
11
<BR>stunnel.c:72: pem.h: No such file or directory
12
<BR>make: *** [stunnel.o] Error 1
14
<P><B>A:</B> S� dwie prawdopodobne przyczyny: nie masz zainstalowanego
15
w systemie pakietu SSLeay lub pakiet nie znajduje sie w miejscu domy�lnym
16
czyli<B> /usr/local/ssl. </B>Nale�y zainstalowa� SSLeay lub te� poprawi�
17
Makefile tak by �cie�ka by�a prawid�owa.
20
<BR><B>Q:</B> Pr�buje uruchomi� stunnel jako wrapper dla httpd. Po
21
wydaniu komendy: <B>stunnel 443 @localhost:80</B> demon si� nie uruchamia
22
a w syslogu pojawia si� komunikat "<B>stunnel[2481]: getpeername: Socket
23
operation on non-socket (88)"</B><B></B>
25
<P><B>A</B>: Jest to b��d charakterystyczny dla Linuxa. Nale�y w pliku
26
stunnel.c zmieni� lini�<B> #define INET_SOCKET_PAIR 1</B> na
27
<BR><B>#define INET_SOCKET_PAIR 0</B> i zrekompilowa� program ponownie.
30
<BR><B>Q:</B> Stunnel nadal si� nie uruchamia a w syslogu pojawia si� komunikat
31
"<B>stunnel[2525]: /usr/local/ssl/certs/localhost:80.pem: No such file
32
or directory (2)</B>"<B></B>
34
<P><B>A:</B> Nie posiadasz odpowiedniego certyfikatu dla demona. Stunnel
35
w celu poprawnego dzia�ania <B>MUSI</B> posiada� certyfikat. W celu wygenerowania
36
odpowiedniego certyfikatu nale�y wyda� komende: <B>/usr/local/ssl/bin/ssleay
37
req -new -x509 -nodes -out server.pem -days 365 -keyout server.pem</B>
38
b�d� te� u�y� <B>Makefile</B> do��czonego do programu stunnel i przy pomocy
39
komendy <B>make cert </B>stworzy� certyfikat. Tak utworzony certyfikat (server.pem)
40
nale�y umie�ci� w katalogu <B>/usr/local/ssl/certs</B> i utworzy� do� odpowiednie
41
linki lub zmie� nazw� certyfikatu na wymagan� przez stunnel.
44
<BR><B>Q:</B> Wygenerowa�em odpowiedni certyfikat przy pomocy skryptu CA.sh,
45
a stunnel <B>przy starcie prosi o podanie has�a</B>. Jak mo�na przekaza�
46
has�o zabezpieczaj�ce certyfikat do programu ?<B></B>
48
<P><B>A:</B> W chwili obecnej jest to niemo�liwe. Certyfikaty kt�rymi pos�uguje
49
sie stunnel nie mog� by� zabezpieczane has�em. Przy tworzeniu certyfikatu
50
nale�y u�y� opcji -nodes (lub utworzy� certyfikat przy pomocy makefile
51
odstarczonego z programem).
54
<BR><B>Q:</B> Po uruchomieniu programu stunnel w syslogu pojawia si� komunikat:
55
"<B>stunnel[2805]: WARNING: Wrong permissions on /usr/local/ssl/certs/localhost:80.pem</B>".
56
Co jest nie tak ?<B></B>
58
<P><B>A:</B> To tylko ostrze�enie ! Certyfikat nie powien da� si� odczyta�
59
przez innych u�ytkownik�w systemu. Prawid�owe prawa dost�pu powinny by�
60
nast�puj�ce: <B>-rw------ 1 root root
61
1370 Nov 8 1997 server.pem </B>(je�li uruchamiaj�cym stunnel jest
65
<BR><B>Q:</B> Probowa�em zrobi� tunelowanie po��czenia do demona <B>pop3</B>.
66
Pomimo zrobienia prawid�owego wpisu do inetd.conf
67
<BR>"spop3 stream tcp nowait root /usr/sbin/stunnel
68
qpopper -s" stunnel nie dzia�a a w syslogu pojawia si� komunikat:
69
<BR><B>inetd[2949]: spop3/tcp: unknown service.</B><B></B>
71
<P><B>A: </B>Nie zrobi�e� dodatkowych wpis�w do pliku <B>/etc/services.</B>
72
Zgodnie z rfc???? prawid�owymi portami na kt�rych dzia�aj� demony pos�uguj�ce
80
<TD># HTTP over SSL </TD>
88
<TD># SMTP over SSL </TD>
96
<TD># NNTP over SSL </TD>
104
<TD># LDAP over SSL </TD>
112
<TD># IMAP over SSL </TD>
120
<TD># POP-3 over SSL </TD>
123
Je�li nie chesz robi� poprawek zamiast nazwy serwisu u�yj numeru portu
127
<BR><B>Q:</B> Dobrze, zrobi�em wymagany wpis lecz w dalszym ciagu stunnel
128
nie dzia�a, natomiast w syslogu pojawia sie wpis:
129
<BR> <B>stunnel[3015]: execvp: No such file or directory (2). </B>Co
130
jeszcze jest nie tak ?<B></B>
132
<P><B>A:</B> Prawdopodone s� dwie przyczyny: pierwsza w twoim systemie
133
nie ma demona dla ktorego zrobi�e� wpis w inetd.conf,
134
<BR>(spop3 stream tcp nowait root /usr/sbin/stunnel
135
qpopper -s) lub te� dany program jest w systemie, jednak �cie�ka dost�pu
136
do niego nie jest wymieniona w zmiennej systemowej <B>$PATH</B>. Nale�y
137
wi�c poprawi� zapis w inetd.conf uzupe�niaj�c o pe�na �cie�ke dost�pu do
138
demona np. <B>spop3 stream tcp nowait root
139
/usr/sbin/stunnel /usr/sbin/qpopper -s</B>