~ubuntu-branches/ubuntu/precise/stunnel4/precise-security

Committer: Bazaar Package Importer
Author(s): Julien Lemoine
Date: 2005-04-20 21:07:50 UTC
mfrom: (1.1.1 upstream) (2.1.1 hoary)
Revision ID: james.westby@ubuntu.com-20050420210750-0vk5fj5vh75o4d00

Tags: 2:4.090-1

http://bugs.debian.org/305259

* New upstream release
* include better stunnel3 compability script from upstream, options
like -cd can now be use instead of -c -d ...
(closes: #305259)
* Added depends on perl-modules to allow use of stunnel3 compatibilty script

files added:
auto/depcomp

debian/connect-proxy_dunbar.patch

debian/stunnel4.logrotate

src/network.c

src/resolver.c

src/stunnel.exe

src/stunnel3.in

files removed:
Makefile

build-stamp

doc/Makefile

doc/stunnel4.8

libtool

src/.libs

src/.libs/libstunnel.la

src/.libs/libstunnel.lai

src/.libs/libstunnel.so

src/Makefile

src/client.o

src/env.lo

src/env.o

src/libstunnel.la

src/log.o

src/options.o

src/protocol.o

src/pty.o

src/sselect.c

src/sselect.o

src/ssl.o

src/sthreads.o

src/stunnel

src/stunnel.o

tools/Makefile

tools/stunnel.conf-sample

tools/stunnel.init

files modified:
BUGS

ChangeLog

Makefile.am

Makefile.in

TODO

aclocal.m4

auto/config.guess

auto/config.sub

auto/install-sh

auto/ltmain.sh

auto/missing

auto/mkinstalldirs

configure

configure.ac

debian/changelog

debian/control

debian/postinst

debian/rules

debian/stunnel4.0stunnel4.ppp.ip-down

debian/stunnel4.0stunnel4.ppp.ip-up

debian/stunnel4.default

debian/stunnel4.init

doc/Makefile.am

doc/Makefile.in

doc/stunnel.8

doc/stunnel.fr.8

doc/stunnel.fr.html

doc/stunnel.fr.pod

doc/stunnel.html

doc/stunnel.pl.8

doc/stunnel.pl.html

doc/stunnel.pl.pod

doc/stunnel.pod

src/Makefile.am

src/Makefile.in

src/Makefile.w32

src/client.c

src/common.h

src/env.c

src/gui.c

src/log.c

src/options.c

src/protocol.c

src/prototypes.h

src/pty.c

src/resources.rc

src/ssl.c

src/sthreads.c

src/stunnel.c

tools/Makefile.am

tools/Makefile.in

tools/script.sh

tools/stunnel.conf-sample.in

tools/stunnel.mak

tools/stunnel.spec *

Show diffs side-by-side

added added

removed removed

doc/stunnel.fr.html

<HTML>

<HEAD>

<TITLE>stunnel.8</TITLE>

</HEAD>

<BODY>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

<head>

<title>stunnel.8</title>

</head>

<UL>

<LI><A HREF="#synopsis">SYNOPSIS</A></LI>

<LI><A HREF="#description">DESCRIPTION</A></LI>

<LI><A HREF="#options">OPTIONS</A></LI>

<LI><A HREF="#fichier de configuration">FICHIER DE CONFIGURATION</A></LI>

<UL>

<LI><A HREF="#options globales">OPTIONS GLOBALES</A></LI>

<LI><A HREF="#options de niveau service">OPTIONS DE NIVEAU SERVICE</A></LI>

</UL>

<LI><A HREF="#valeur de retour">VALEUR DE RETOUR</A></LI>

<LI><A HREF="#exemples">EXEMPLES</A></LI>

<LI><A HREF="#fichiers">FICHIERS</A></LI>

<LI><A HREF="#restrictions">RESTRICTIONS</A></LI>

<LI><A HREF="#notes">NOTES</A></LI>

<UL>

<LI><A HREF="#mode inetd">MODE INETD</A></LI>

<LI><A HREF="#certificats">CERTIFICATS</A></LI>

<LI><A HREF="#al�atoires">AL�ATOIRES</A></LI>

</UL>

<LI><A HREF="#voir aussi">VOIR AUSSI</A></LI>

<LI><A HREF="#auteur">AUTEUR</A></LI>

</UL>

<ul>

<li><a href="#synopsis">SYNOPSIS</a></li>

<li><a href="#description">DESCRIPTION</a></li>

<li><a href="#options">OPTIONS</a></li>

<li><a href="#fichier_de_configuration">FICHIER DE CONFIGURATION</a></li>

<ul>

<li><a href="#options_globales">OPTIONS GLOBALES</a></li>

<li><a href="#options_de_service">OPTIONS DE SERVICE</a></li>

</ul>

<li><a href="#valeur_de_retour">VALEUR DE RETOUR</a></li>

<li><a href="#exemples">EXEMPLES</a></li>

<li><a href="#fichiers">FICHIERS</a></li>

<li><a href="#bogues">BOGUES</a></li>

<li><a href="#restrictions">RESTRICTIONS</a></li>

<li><a href="#notes">NOTES</a></li>

<ul>

<li><a href="#mode_inetd">MODE INETD</a></li>

<li><a href="#certificats">CERTIFICATS</a></li>

<li><a href="#aleatoire">ALEATOIRE</a></li>

</ul>

<li><a href="#voir_aussi">VOIR AUSSI</a></li>

<li><a href="#auteur">AUTEUR</a></li>

<li><a href="#adaptation_fran_aise">ADAPTATION FRAN�AISE</a></li>

</ul>

<HR>

stunnel - tunnel SSL universel

<HR>

<H1><A NAME="synopsis">SYNOPSIS</A></H1>

stunnel [filename] | -help | -version | -sockets

<HR>

<H1><A NAME="description">DESCRIPTION</A></H1>

Le programme stunnel est con�u pour agir en tant que wrapper de chiffrement SSL

entre des clients distants et des serveurs locaux (activables par inetd) ou distants.

Le concept est qu'ayant des daemons non-SSL sur votre syst�me, il est possible de

les configurer ais�ment pour communiquer avec des clients sur des canaux SSL s�curis�s.

stunnel peut �tre utilis� pour ajouter une fonctionnalit� SSL � des daemons Inetd

communs, tels que les serveurs POP-2, POP-3 et IMAP, � des daemons autonomes tels

que NNTP, SMTP et HTTP et pour tunneliser PPP sur des sockets r�seaux sans modification

du code source.

Ce produit contient du code de chiffrement �crit par

Eric Young (<A HREF="mailto:eay@cryptsoft.com">eay@cryptsoft.com</A>)

<HR>

<H1><A NAME="options">OPTIONS</A></H1>

<DL>

<DT><A NAME="item_%5Bfilename%5D">[filename]</A>

<DD>

Utilise le fichier de configuration sp�cifi�

<DD>

Affiche le menu d'aide de stunnel

<DT><A NAME="item_%2Dversion">-version</A>

<DD>

Affiche la version et la configuration de compilation de stunnel

<DT><A NAME="item_%2Dsockets">-sockets</A>

<DD>

Affiche les options par d�faut des sockets

<DT><A NAME="item_install">-install (NT/2000/XP seulement)</A>

<DD>

Installe le service NT

<DT><A NAME="item_uninstall">-uninstall (NT/2000/XP seulement)</A>

<DD>

D�sinstalle le service NT

</DL>

<HR>

<H1><A NAME="fichier de configuration">FICHIER DE CONFIGURATION</A></H1>

Chaque ligne du fichier de configuration peut �tre soit :

<UL>

<LI>

une ligne vide (ignor�e) ;

100

<LI>

101

un commentaire d�butant par un ``#'' (ignor�) ;

102

103

<LI>

104

une paire ``option = valeur'' ;

105

106

<LI>

107

``[service]'' indiquant le d�but d'une d�finition de service.

108

</UL>

109

110

<H2><A NAME="options globales">OPTIONS GLOBALES</A></H2>

111

<DL>

112

<DT><A NAME="item_CApath_%3D_r�pertoire">CApath = r�pertoire</A>

113

<DD>

114

R�pertoire de l'autorit� de certification

115

C'est le r�pertoire dans lequel stunnel cherche les certificats avec

116

verify.

117

Les certificats doivent �tre nomm�s XXXXXXXX.0 o� XXXXXXXX est la valeur

118

de hachage du certificat.

119

120

<DT><A NAME="item_CAfile_%3D_fichier">CAfile = fichier</A>

121

<DD>

122

Fichier de l'autorit� de certification

123

Ce fichier contients plusieurs certificats utilis�s avec verify.

124

125

<DT><A NAME="item_cert_%3D_fichier">cert = fichier</A>

126

<DD>

127

Nom du fichier de la cha�ne de certification PEM

128

Une PEM est toujours n�cessaire en mode serveur.

129

En mode client, cette option utilise cette cha�ne comme cha�ne de certificat client.

130

L'utilisation de certificats clients est optionnelle.

131

Les certificats doivent �tre au format PEM et tri�s par ordre de niveau d�croissant

132

(� partir de l'autorit� racine).

133

134

<DT><A NAME="item_r�pertoire">chroot = r�pertoire (Unix seulement)</A>

135

<DD>

136

r�pertoire de chroot pour le processus stunnel.

137

chroot enferme stunnel dans une cellule d'arborescence.

138

CApath, pid et exec sont dispos�s � l'int�rieur de la cellule et les chemins

139

doivent �tre relatifs au r�pertoire chroot.

140

Pour que le contr�le libwrap (TCP wrappers) soit effectif en environnement

141

chroot, il faut y copier ses fichiers de configuration (/etc/hosts.allow et

142

/etc/hosts.deny).

143

144

<DT><A NAME="item_ciphers_%3D_liste">ciphers = liste</A>

145

<DD>

146

S�lection des codages SSL autoris�s

147

Liste d�limit�e des codages � autoriser dans une connexion SSL.

148

Par exemple : DES-CBC3-SHA:IDEA-CBC-MD5

149

150

<DT><A NAME="item_client_%3D_yes_%7C_no">client = yes | no</A>

151

<DD>

152

Mode client (le service distant utilise SSL)

153

d�faut: no (mpde serveur)

154

155

<DT><A NAME="item_debug_%3D_%5Bfacilit�%2E%5Dniveau">debug = [facilit�.]niveau</A>

156

<DD>

157

Niveau de d�verminage

158

Le niveau est en phase avec ceux de syslog :

<hr />

stunnel - tunnel SSL universel

<hr />

<h1><a name="synopsis">SYNOPSIS</a></h1>

<dl>

</dt>

<dd>

stunnel [fichier] | -fd [n] | -help | -version | -sockets

</dd>

</dt>

<dd>

</dd>

</dl>

<hr />

<h1><a name="description">DESCRIPTION</a></h1>

Le programme stunnel est con�u pour fonctionner comme une couche

de chiffrement SSL entre des clients distants et des serveurs locaux

(inetd-d�marrables) ou distants. Le concept est qu'� partir de daemons

non-SSL pr�sents sur le syst�me, on peut facilement les configurer pour

communiquer avec des clients sur des liens s�curis�s SSL.

stunnel peut �tre utilis� pour ajouter des fonctionnalit�s SSL � des

daemons classiques Inetd tels que les serveurs POP-2, POP-3 et IMAP,

� d'autres autonomes tels que NNTP, SMTP et HTTP, ainsi que pour tunneliser

PPP sur des sockets r�seau sans modification du code source.

Ce produit inclut du code de chiffrement �crit par

Eric Young (<a href="mailto:eay@cryptsoft.com">eay@cryptsoft.com</a>)

<hr />

<h1><a name="options">OPTIONS</a></h1>

<dl>

<dt><a name="item__5bfichier_5d">[fichier]</a>

</dt>

<dd>

Utilisation du fichier de configuration sp�cifi�.

</dd>

<dt><a name="item__2dfd__5bn_5d__28unix_seulement_29">-fd [n] (Unix seulement)</a>

</dt>

<dd>

Lecture du fichier de configuration depuis le descripteur de

fichier indiqu�.

</dd>

100

101

102

</dt>

103

<dd>

104

Affiche le menu d'aide de stunnel.

105

</dd>

106

107

<dt><a name="item__2dversion">-version</a>

108

</dt>

109

<dd>

110

Affiche la version de stunnel et les options de compilation.

111

</dd>

112

113

<dt><a name="item__2dsockets">-sockets</a>

114

</dt>

115

<dd>

116

Affiche les options socket par d�faut.

117

</dd>

118

119

<dt><a name="item_install">-install (NT/2000/XP seulement)</a>

120

</dt>

121

<dd>

122

Installe un service NT.

123

</dd>

124

125

<dt><a name="item_uninstall">-uninstall (NT/2000/XP only)</a>

126

</dt>

127

<dd>

128

D�sinstalle un service NT.

129

</dd>

130

</dl>

131

132

133

<hr />

134

<h1><a name="fichier_de_configuration">FICHIER DE CONFIGURATION</a></h1>

135

Chaque ligne du fichier de configuration peut �tre soit :

136

<ul>

137

138

une ligne vide (ignor�e) ;

139

140

141

un commentaire commen�ant par � # � (ignor�) ;

142

143

144

une paire � option = valeur � ;

145

146

147

� [service_name] � indiquant le d�but de la d�finition d'un service ;

148

</ul>

149

150

151

<h2><a name="options_globales">OPTIONS GLOBALES</a></h2>

152

<dl>

153

<dt><a name="item_capath__3d_r_e9pertoire">CApath = r�pertoire</a>

154

</dt>

155

<dd>

156

R�pertoire des autorit�s de certification (CA)

157

</dd>

158

<dd>

159

C'est le r�pertoire dans lequel stunnel cherche les certificats si

160

l'on utilise verify. Les certificats doivent �tre d�nomm�s selon la

161

forme XXXXXXXX.0, o� XXXXXXXX est la valeur de hachage du certificat.

162

</dd>

163

<dd>

164

Le cas �ch�ant, le r�pertoire CApath est relatif au r�pertoire chroot.

165

</dd>

166

167

<dt><a name="item_cafile__3d_fichier">CAfile = fichier</a>

168

</dt>

169

<dd>

170

Fichier d'autorit�s de certification

171

</dd>

172

<dd>

173

Ce fichier, utilis� avec verify, contient plusieurs certificats de CA.

174

</dd>

175

176

<dt><a name="item_cert__3d_fichier">cert = fichier</a>

177

</dt>

178

<dd>

179

Fichier de cha�ne de certificats PEM

180

</dd>

181

<dd>

182

Une PEM est toujours n�cessaire en mode serveur.

183

En mode client, cette option utilise cette PEM comme une cha�ne c�t� client.

184

L'utilisation de certificats c�t� client est optionnelle. Les certificats

185

doivent �tre au format PEM et tri�s par ordre de niveau d�croissant (CA racine

186

en premier).

187

</dd>

188

189

<dt><a name="item_pertoire">chroot = r�pertoire (Unix seulement)</a>

190

</dt>

191

<dd>

192

R�pertoire de chroot du processus stunnel

193

</dd>

194

<dd>

195

chroot enferme stunnel dans une cellule chroot. CApath, CRLpath, pid

196

et exec sont situ�s � l'int�rieur de la cellule et les r�pertoires doivent �tre

197

relatifs au r�pertoire correspondant.

198

</dd>

199

<dd>

200

Pour que le contr�le de libwrap (wrappeur TCP) soit effectif dans un environnement

201

chroot, il faut aussi y recopier leurs fichiers de configuration (/etc/hosts.allow et

202

/etc/hosts.deny).

203

</dd>

204

205

<dt><a name="item_ciphers__3d_listes_de_chiffre">ciphers = listes de chiffre</a>

206

</dt>

207

<dd>

208

S�lection des chiffres SSL autoris�s

209

</dd>

210

<dd>

211

Liste d�limit�e par deux-points (� : �) des chiffres autoris�s pour la connexion SSL.

212

Exemple : DES-CBC3-SHA:IDEA-CBC-MD5

213

</dd>

214

215

<dt><a name="item_client__3d_yes__7c_no">client = yes | no</a>

216

</dt>

217

<dd>

218

Mode client (Le service distant utilise SSL)

219

</dd>

220

<dd>

221

Par d�faut : no (mode server)

222

</dd>

223

224

<dt><a name="item_crlpath__3d_r_e9pertoire">CRLpath = r�pertoire</a>

225

</dt>

226

<dd>

227

R�pertoire des listes de r�vocation de certificats (CRL)

228

</dd>

229

<dd>

230

C'est le r�pertoire dans lequel stunnel recherche les CRL avec

231

l'option verify. Les CRL doivent �tre d�nomm�s selon la

232

forme XXXXXXXX.0 o� XXXXXXXX est la valeur de hachage de la CRL.

233

</dd>

234

<dd>

235

Le cas �ch�ant, le r�pertoire CRLpath est relatif au r�pertoire chroot.

236

</dd>

237

238

<dt><a name="item_crlfile__3d_fichier">CRLfile = fichier</a>

239

</dt>

240

<dd>

241

Fichier de listes de r�vocation de certificats (CRL)

242

</dd>

243

<dd>

244

Ce fichier, utilis� avec verify, contient plusieurs CRL.

245

</dd>

246

247

<dt><a name="item_debug__3d__5bfacilit_e9_2e_5dniveau">debug = [facilit�.]niveau</a>

248

</dt>

249

<dd>

250

niveau de d�verminage

251

</dd>

252

<dd>

253

Le niveau est un nom ou un num�ro conforme � ceux de syslog :

159

254

emerg (0), alert (1), crit (2), err (3), warning (4), notice (5),

160

info (6), ou debug (7).

161

Toutes les traces de niveau inf�rieur ou �gal num�riquement seront

162

affich�es.

163

debug = debug ou debug = 7 donne le niveau de d�tail maximal.

164

La valeur par d�faut est notice (5).

165

La facilit� syslog 'daemon' sera utilis�e par d�faut (les facilit�s

166

ne sont pas support�es par Win32).

167

La casse des caract�res est sans signification.

168

169

<DT><A NAME="item_chemin">EGD = chemin (Unix seulement)</A>

170

<DD>

171

Chemin vers la socket du daemon de rassemblement d'entropie (EGD,

172

Entropy Gathering Daemon socket).

173

Socket d'EGD � utiliser pour alimenter le g�n�rateur d'al�atoires d'OpenSSL

174

(disponible seulement � partir d'OpenSSL 0.9.5a).

175

176

<DT><A NAME="item_no">foreground = yes | no (Unix seulement)</A>

177

<DD>

255

info (6) ou debug (7). Toutes les traces du niveau indiqu� et des niveaux

256

num�riquement inf�rieurs seront affich�es. debug = debug ou

257

debug = 7 donneront le maximum d'informations. La valeur par d�faut

258

est notice (5).

259

</dd>

260

<dd>

261

La facilit� syslog � daemon � est utilis�e, sauf si un autre nom est sp�cifi�

262

(Win32 ne permet pas l'usage des facilit�s.)

263

</dd>

264

<dd>

265

La casse est ignor�e, aussi bien pour la facilit� que pour le niveau.

266

</dd>

267

268

<dt><a name="item_chemin">EGD = chemin (Unix seulement)</a>

269

</dt>

270

<dd>

271

Emplacement du socket du daemon de recueil d'entropie (EGD - Entropy Gathering Daemon)

272

</dd>

273

<dd>

274

Socket EGD � utiliser pour alimenter le g�n�rateur d'al�atoires de OpenSSL (disponible

275

seulement si la compilation a �t� effectu�e avec OpenSSL 0.9.5a ou sup�rieur).

276

</dd>

277

278

<dt><a name="item_no">foreground = yes | no (Unix seulement)</a>

279

</dt>

280

<dd>

178

281

Mode avant-plan

179

Maintien en avant-plan (sans fork) et trace sur stderr au lieu

180

de syslog (sauf si output est sp�cifi�).

181

d�faut : arri�re-plan en mode daemon.

182

183

<DT><A NAME="item_key_%3D_fichier">key = fichier</A>

184

<DD>

185

Clef priv�e pour le certificat sp�cifi� � cert

186

La clef priv�e est n�cessaire pour l'authentification du propri�taire

187

du certificat.

188

Puisque ce fichier doit rester secret, il ne doit �tre lisible que par

189

son propri�taire.

190

Sous Unix on peut utiliser :

191

<PRE>

192

chmod 600 fichier</PRE>

193

d�faut : valeur de cert

194

195

<DT><A NAME="item_options_%3D_options_SSL">options = options_SSL</A>

196

<DD>

282

</dd>

283

<dd>

284

Reste en avant-plan (sans fork) et dirige la trace sur stderr

285

au lieu de syslog (sauf si output est sp�cifi�).

286

</dd>

287

<dd>

288

Par d�fault : arri�re-plan en mode daemon.

289

</dd>

290

291

<dt><a name="item_key__3d_fichier">key = fichier</a>

292

</dt>

293

<dd>

294

Fichier de clef priv�e pour le certificat sp�cifi� par cert

295

</dd>

296

<dd>

297

La clef priv�e est n�cessaire pour authentifier le titulaire du

298

certificat.

299

Puisque ce fichier doit rester secret, il ne doit �tre lisible que

300

par son propri�taire. Sur les syst�mes Unix, on peut utiliser la

301

commande suivante :

302

</dd>

303

<dd>

304

<pre>

305

chmod 600 fichier</pre>

306

</dd>

307

<dd>

308

Par d�fault : Valeur de cert

309

</dd>

310

311

<dt><a name="item_options__3d_options_ssl">options = Options_SSL</a>

312

</dt>

313

<dd>

197

314

Options de la biblioth�que OpenSSL

198

Ce param�tre est le nome de l'option OpenSSL ainsi que d�crite

199

dans le manuel SSL_CTX_set_options(3ssl), mais sans le

200

pr�fixe SSL_OP_.

201

Plusieurs options peuvent �tre utilis�es.

202

Par exemple, la compatibilit� avec l'implantation d�fectueuse de SSL

203

dans Eudora peut �tre assur�e par :

204

<PRE>

205

options = DONT_INSERT_EMPTY_FRAGMENTS</PRE>

206

207

<DT><A NAME="item_output_%3D_fichier">output = fichier</A>

208

<DD>

209

Sp�cification du fichier de messages au lieu de syslog.

210

211

<DT><A NAME="item_fichier">pid = fichier (Unix seulement)</A>

212

<DD>

213

Emplacement du fichier pid (contenant le num�ro de processus).

214

Si l'argument est vide, aucun fichier pid ne sera cr��.

215

216

<DT><A NAME="item_RNDbytes_%3D_octets">RNDbytes = octets</A>

217

<DD>

218

Nombre d'octets � lire depuis les fichiers de sel al�atoire.

219

Avec SSL de version inf�rieure � 0.9.5a, d�termine aussi le nombre

220

d'octets suffisants pour saler le PRNG.

221

Les versions plus r�centes d'OpenSSM ont une fonction int�gr�e qui

222

d�termine lorsque le niveau d'al�atoire est suffisant.

223

224

<DT><A NAME="item_RNDfile_%3D_fichier">RNDfile = fichier</A>

225

<DD>

226

Chemin vers le fichier de donn�es de sel.

227

La biblioth�que SSL utilisera en priorit� les donn�es de ce fichier

228

pour alimenter le g�n�rateur d'al�atoires.

229

230

<DT><A NAME="item_RNDoverwrite_%3D_yes_%7C_no">RNDoverwrite = yes | no</A>

231

<DD>

232

�crase les fichiers de sel al�atoire avec de nouvelles valeurs.

233

d�faut : yes

234

235

<DT><A NAME="item_service_%3D_service">service = service</A>

236

<DD>

237

Sp�cification du nom de service.

238

Sur Unix : nom de service de mode inetd pour TCP Wrapper ;

239

Sur NT/2000/XP : nom de service NT dans le panneau de configuration.

240

d�faut : stunnel

241

242

<DT><A NAME="item_session_%3D_timeout">session = timeout</A>

243

<DD>

315

</dd>

316

<dd>

317

Le param�tre est l'option OpenSSL d�crite dans la page de man

318

SSL_CTX_set_options(3ssl), d�barass�e du pr�fixe SSL_OP_.

319

Plusieurs options peuvent �tre sp�cifi�es.

320

</dd>

321

<dd>

322

Par exemple, pour la compatibilit� avec l'implantation SSL d�faillante

323

d'Eudora, on peut utiliser :

324

</dd>

325

<dd>

326

<pre>

327

options = DONT_INSERT_EMPTY_FRAGMENTS</pre>

328

</dd>

329

330

<dt><a name="item_output__3d_fichier">output = fichier</a>

331

</dt>

332

<dd>

333

Ajoute la trace � la fin d'un fichier au lieu d'utiliser syslog.

334

</dd>

335

<dd>

336

/dev/stdout peut �tre utilis� pour afficher les traces sur la sortie standard

337

(par exemple pour les traiter avec les outils splogger).

338

</dd>

339

340

<dt><a name="item_fichier">pid = fichier (Unix seulement)</a>

341

</dt>

342

<dd>

343

Emplacement du fichier pid

344

</dd>

345

<dd>

346

Si l'argument est vide, aucun fichier ne sera cr��.

347

</dd>

348

<dd>

349

Le cas �ch�ant, le chemin pid est relatif au r�pertoire chroot.

350

</dd>

351

352

<dt><a name="item_rndbytes__3d_nombre">RNDbytes = nombre</a>

353

</dt>

354

<dd>

355

Nombre d'octets � lire depuis les fichiers de � sel � al�atoire

356

</dd>

357

<dd>

358

Avec les SSL de version inf�rieure � 0.9.5a, d�termine aussi le nombre

359

d'octets consid�r�s comme suffisants pour � saler � le PRNG. Les versions plus

360

r�centes d'OpenSSL ont une fonction int�gr�e qui d�termine lorsque l'al�atoire

361

est suffisant.

362

</dd>

363

364

<dt><a name="item_rndfile__3d_fichier">RNDfile = fichier</a>

365

</dt>

366

<dd>

367

chemin du fichier de donn�es de � sel � al�atoire

368

</dd>

369

<dd>

370

La biblioth�que SSL utilise prioritairement les donn�es de ce fichier pour

371

� saler � le g�n�rateur d'al�atoire.

372

</dd>

373

374

<dt><a name="item_rndoverwrite__3d_yes__7c_no">RNDoverwrite = yes | no</a>

375

</dt>

376

<dd>

377

Recouvre les fichiers de � sel � avec de nouvelles donn�es al�atoires.

378

</dd>

379

<dd>

380

Par d�faut : yes

381

</dd>

382

383

<dt><a name="item_service__3d_nom">service = nom</a>

384

</dt>

385

<dd>

386

D�finit le nom de service � utiliser

387

</dd>

388

<dd>

389

Sous Unix : nom de service du mode inetd pour la biblioth�que TCP Wrapper.

390

</dd>

391

<dd>

392

Sous NT/2000/XP : nom de service NT dans le gestionnaire de t�ches.

393

</dd>

394

<dd>

395

Par d�faut : stunnel

396

</dd>

397

398

<dt><a name="item_session__3d_timeout">session = timeout</a>

399

</dt>

400

<dd>

244

401

Timeout du cache de session

245

246

<DT><A NAME="item_groupe">setgid = groupe (Unix seulement)</A>

247

<DD>

248

En mode daemon, <CODE>setgid()</CODE> vers le groupe sp�cifi� et d�sactivation de

249

tous les autres groupes de rattachement.

250

251

<DT><A NAME="item_utilisateur">setuid = utilisateur (Unix seulement)</A>

252

<DD>

253

En mode daemon, <CODE>setuid()</CODE> vers l'utilisateur sp�cifi�.

254

255

<DT><A NAME="item_socket_%3D_a%7Cl%7Cr%3Aoption%3Dvaleur%5B%3Avaleur">socket = a|l|r:option=valeur[:valeur]</A>

256

<DD>

257

Positionne une option sur les sockets accept/local/remote

258

Les valeurs de l'option linger sont l_onof:l_linger.

259

Les valeurs de l'option time sont tv_sec:tv_usec.

260

Exemples :

261

<PRE>

402

</dd>

403

404

<dt><a name="item_nom">setgid = nom (Unix seulement)</a>

405

</dt>

406

<dd>

407

Nom de groupe utilis� en mode daemon (les �ventuels autres noms de groupe attribu�s sont supprim�s)

408

</dd>

409

410

<dt>setuid = nom (Unix seulement)

411

</dt>

412

<dd>

413

Nom d'utilisateur utilis� en mode daemon

414

</dd>

415

416

<dt><a name="item_socket__3d_a_7cl_7cr_3aoption_3dvaleur_5b_3avaleur">socket = a|l|r:option=valeur[:valeur]</a>

417

</dt>

418

<dd>

419

Configure une option de socket accept (a), locale (l) ou distante (r)

420

</dd>

421

<dd>

422

Les valeurs de l'option linger sont : l_onof:l_linger.

423

Les valeurs de l'option time sont : tv_sec:tv_usec.

424

</dd>

425

<dd>

426

Exemples :

427

</dd>

428

<dd>

429

<pre>

262

430

socket = l:SO_LINGER=1:60

263

positionne un timeout d'une minute pour la cl�ture d'un socket local.

431

d�finit un d�lai d'une minute pour la cl�ture des sockets locaux

264

432

socket = r:TCP_NODELAY=1

265

d�sactive l'algorithme Nagle pour les sockets distants.

433

d�sactive l'algorithme Nagle pour les sockets distants

266

434

socket = r:SO_OOBINLINE=1

267

place les donn�es out-of-band directement dans le flux de r�ception

268

pour les sockets distants.

435

Place directement les donn�es hors-bande dans le flux de r�ception

436

des sockets distants

269

437

socket = a:SO_REUSEADDR=0

270

d�sactive la r�utilisation d'adresses (activ�e par d�faut).

438

d�sactive la r�utilisation d'adresses (activ�e par d�faut)

271

439

socket = a:SO_BINDTODEVICE=lo

272

n'accepte les connexions que sur l'interface de rebouclage.</PRE>

273

274

<DT><A NAME="item_verify_%3D_niveau">verify = niveau</A>

275

<DD>

276

V�rification du certificat de l'interlocuteur

277

<PRE>

278

niveau 1 - v�rification du certificat s'il est pr�sent ;

279

niveau 2 - v�rification du certificat ;

280

niveau 3 - contr�le de l'interlocuteur avec le certificat install� en local ;

281

d�faut - pas de v�rification.</PRE>

282

</DL>

283

284

<H2><A NAME="options de niveau service">OPTIONS DE NIVEAU SERVICE</A></H2>

285

Chaque section de configuration d�bute par le nom du service entre crochets.

286

Celui-ci est utiliser pour le contr�le d'acc�s libwrap (TCP Wrappers) et

287

permet de distinguer les services stunnel dans les fichiers de trace.

288

Si l'on veut utiliser stunnel en monde inetd (dans lequel un socket

289

r�seau est fourni par un serveur comme inetd, xinetd,

290

ou tcpserver), il faut lire la section MODE INETD ci-apr�s.

291

<DL>

292

<DT><A NAME="item_accept_%3D_%5Bh�te%3A%5Dport">accept = [h�te:]port</A>

293

<DD>

294

Accepte les connexions du h�te sp�cifi� sur le port sp�cifi�.

295

Si aucun h�te n'est sp�cifi�, toutes les adresses IP par d�faut pour l'h�te local.

296

297

<DT><A NAME="item_connect_%3D_%5Bh�te%3A%5Dport">connect = [h�te:]port</A>

298

<DD>

299

Connextion � l'adresse h�te:port.

300

Si aucun h�te n'est sp�cifi�, connexion sur localhost.

301

302

<DT><A NAME="item_delay_%3D_yes_%7C_no">delay = yes | no</A>

303

<DD>

304

D�lai de recherche DNS pour l'option 'connect'.

305

306

<DT>exec = chemin (Unix seulement)

307

<DD>

308

Ex�cution d'un programme local de type inetd.

309

310

<DT><A NAME="item_execargs_%3D_%240_%241_%242_%2E%2E%2E_%28Unix_seul">execargs = $0 $1 $2 ... (Unix seulement)</A>

311

<DD>

312

Arguments pour exec, y compris le nom du programme ($0)

313

Les guillemets ne sont pas support�s actuellement.

314

Les arguments sont s�par�s par un nombre quelconque d'espaces.

315

316

<DT><A NAME="item_ident_%3D_utilisateur">ident = utilisateur</A>

317

<DD>

318

Utilisation du contr�le de nom d'utilisateur IDENT (RFC 1413).

319

320

<DT><A NAME="item_local_%3D_h�te">local = h�te</A>

321

<DD>

322

Adresse IP de l'interface de sortie pour les connexions distantes.

323

Cette option permet de connecter une adresse IP statique.

324

325

<DT><A NAME="item_protocol_%3D_protocole">protocol = protocole</A>

326

<DD>

327

N�gociation SSL avec le protocole indiqu� (actuellement : smtp,

328

pop3 ou nntp).

329

330

<DT>pty = yes | no (Unix seulement)

331

<DD>

332

Allocation d'un pseudo-terminal pour l'option 'exec'.

333

334

<DT><A NAME="item_TIMEOUTbusy_%3D_secondes">TIMEOUTbusy = secondes</A>

335

<DD>

336

Dur�e d'attente des donn�es.

337

338

<DT><A NAME="item_TIMEOUTclose_%3D_secondes">TIMEOUTclose = secondes</A>

339

<DD>

340

Dur�e d'attente pour close_notify (positionn� � 0 pour MSIE bugg�).

341

342

<DT><A NAME="item_TIMEOUTidle_%3D_secondes">TIMEOUTidle = secondes</A>

343

<DD>

344

Dur�e de maintien d'une connexion inactive.

345

346

<DT>transparent = yes | no (Unix seulement)

347

<DD>

348

Mode mandataire transparent.

349

R��criture de l'adresse afin que la connexion apparaisse comme provenant

350

de la machine client SSL plut�t que de celle ex�cutant stunnel.

351

Cette option n'est disponible en mode local (option exec) qu'avec

352

l'option LD_PRELOAD de la biblioth�que partag�e env.so ou en mode distant

353

(option connect) sur un noyau Linux 2.2 compil� avec l'option transparent

354

proxy puis seulement en mode serveur.

355

Cette option est incompatible avec le mode mandataire (connect) sauf si

356

la route par d�faut vers la machine cible passe par l'h�te stunnel, qui ne

357

peut �tre localhost.

358

</DL>

359

360

<HR>

361

<H1><A NAME="valeur de retour">VALEUR DE RETOUR</A></H1>

362

stunnel renvoie z�ro en cas de succ�s, une autre valeur en cas d'erreur.

363

364

<HR>

365

<H1><A NAME="exemples">EXEMPLES</A></H1>

366

Pour encapsuler un service local imapd dans SSL :

367

<PRE>

440

limite l'acceptation des connexions sur la seule interface de bouclage</pre>

441

</dd>

442

443

<dt>taskbar = yes | no (WIN32 seulement)

444

</dt>

445

<dd>

446

active l'ic�ne de la barre de t�ches

447

</dd>

448

<dd>

449

Par d�faut : yes

450

</dd>

451

452

<dt><a name="item_verify__3d_niveau">verify = niveau</a>

453

</dt>

454

<dd>

455

V�rifie le certificat du correspondant

456

</dd>

457

<dd>

458

<pre>

459

niveau 1 - v�rifie le certificat s'il est pr�sent

460

niveau 2 - v�rifie le certificat

461

niveau 3 - contr�le le correspondant avec le certificat local</pre>

462

</dd>

463

<dd>

464

Par d�faut - pas de v�rification

465

</dd>

466

</dl>

467

468

469

<h2><a name="options_de_service">OPTIONS DE SERVICE</a></h2>

470

Chaque section de configuration commence par le nom du service entre crochets.

471

Celui-ci est utilis� par le contr�le d'acc�s de libwrap (TCP Wrappers) et sert

472

� distinguer les services stunnel dans les fichiers de traces.

473

Si l'on souhaite utiliser stunnel en mode inetd (lorsqu'un socket lui est

474

fourni par un serveur comme inetd, xinetd ou tcpserver), il faut se

475

reporter � la section MODE INETD plus bas.

476

<dl>

477

<dt><a name="item_accept__3d__5bh_f4te_3a_5dport">accept = [h�te:]port</a>

478

</dt>

479

<dd>

480

Accepte des connexions sur le port sp�cifi�

481

</dd>

482

<dd>

483

Si l'h�te n'est pas indiqu�, le port est ouvert pour toutes les adresses IP de

484

la machine locale.

485

</dd>

486

487

<dt><a name="item_connect__3d__5bh_f4te_3a_5dport">connect = [h�te:]port</a>

488

</dt>

489

<dd>

490

Se connecte au port distant indiqu�

491

</dd>

492

<dd>

493

Par d�faut, l'h�te est localhost.

494

</dd>

495

496

<dt><a name="item_delay__3d_yes__7c_no">delay = yes | no</a>

497

</dt>

498

<dd>

499

Retarde la recherche DNS pour l'option � connect �

500

</dd>

501

502

<dt><a name="item_cutable">exec = chemin_ex�cutable (Unix seulement)</a>

503

</dt>

504

<dd>

505

Ex�cute un programme local de type inetd

506

</dd>

507

<dd>

508

Le cas �ch�ant, le chemin exec est relatif au r�pertoire chroot.

509

</dd>

510

511

<dt><a name="item_execargs__3d__240__241__242__2e_2e_2e__28unix_seul">execargs = $0 $1 $2 ... (Unix seulement)</a>

512

</dt>

513

<dd>

514

Arguments pour exec, y compris le nom du programme ($0)

515

</dd>

516

<dd>

517

Les quotes ne peuvent actuellement pas �tre utilis�es.

518

Les arguments sont s�par�s par un nombre quelconque d'espaces.

519

</dd>

520

521

<dt><a name="item_ident__3d_nom">ident = nom</a>

522

</dt>

523

<dd>

524

Applique le contr�le d'identit� d'utilisateur IDENT (RFC 1413)

525

</dd>

526

527

<dt><a name="item_local__3d_h_f4te">local = h�te</a>

528

</dt>

529

<dd>

530

Adresse IP de l'interface de sortie utilis�e pour les connexions distantes.

531

Cette option permet de relier une adresse statique locale.

532

</dd>

533

534

<dt><a name="item_protocol__3d_protocole">protocol = protocole</a>

535

</dt>

536

<dd>

537

N�gocie avec SSL selon le protocole indiqu�

538

</dd>

539

<dd>

540

Actuellement g�r�s : cifs, nntp, pop3, smtp

541

</dd>

542

543

<dt>pty = yes | no (Unix seulement)

544

</dt>

545

<dd>

546

Alloue un pseudo-terminal pour l'option � exec �

547

</dd>

548

549

<dt><a name="item_timeoutbusy__3d_secondes">TIMEOUTbusy = secondes</a>

550

</dt>

551

<dd>

552

Dur�e d'attente de donn�es

553

</dd>

554

555

<dt><a name="item_timeoutclose__3d_secondes">TIMEOUTclose = secondes</a>

556

</dt>

557

<dd>

558

Dur�e d'attente du close_notify (mis � 0 pour MSIE qui est bogu�)

559

</dd>

560

561

<dt><a name="item_timeoutidle__3d_secondes">TIMEOUTidle = secondes</a>

562

</dt>

563

<dd>

564

Dur�e d'attente sur une connexion inactive

565

</dd>

566

567

<dt>transparent = yes | no (Unix seulement)

568

</dt>

569

<dd>

570

Mode mandataire transparent

571

</dd>

572

<dd>

573

R�-�crit les adresses pour qu'elles apparaissent provenir de la

574

machine client SSL plut�t que de celle qui ex�cute stunnel.

575

Cette option n'est disponible en mode local (option exec) qu'avec

576

la biblioth�que partag�e LD_PRELOADing env.so shared library et en mode

577

distant (option connect) sur les noyaux Linux 2.2 compil�s avec

578

l'option transparent proxy et seulement en mode serveur. Cette

579

option ne se combine pas au mode mandataire (connect) sauf si la

580

route par d�faut du client vers la cible passe par l'h�te qui fait

581

tourner stunnel, qui ne peut �tre localhost.

582

</dd>

583

</dl>

584

585

586

<hr />

587

<h1><a name="valeur_de_retour">VALEUR DE RETOUR</a></h1>

588

stunnel renvoie z�ro en cas de succ�s, une autre valeur en cas d'erreur.

589

590

591

<hr />

592

<h1><a name="exemples">EXEMPLES</a></h1>

593

Pour encapsuler votre service imapd local avec SSL :

594

<pre>

368

595

[imapd]

369

596

accept = 993

370

597

exec = /usr/sbin/imapd

371

execargs = imapd</PRE>

372

Pour tunnelliser le daemon pppd sur le port 2020 :

373

<PRE>

598

execargs = imapd</pre>

599

Pour tunneliser un daemon pppd sur le port 2020 :

600

<pre>

374

601

[vpn]

375

602

accept = 2020

376

603

exec = /usr/sbin/pppd

377

604

execargs = pppd local

378

pty = yes</PRE>

379

Pour que stunnel lance le processus imapd en mode inetd, le fichier

380

stunnel.conf sera ainsi (il ne doit y avoir aucune section [service]):

381

<PRE>

605

pty = yes</pre>

606

Configuration de stunnel.conf pour utiliser stunnel en mode inetd

607

qui lance imapd � son tour (il ne doit pas y avoir de section [service_name]) :

608

<pre>

382

609

exec = /usr/sbin/imapd

383

execargs = imapd</PRE>

384

385

<HR>

386

<H1><A NAME="fichiers">FICHIERS</A></H1>

387

<DL>

388

<DT><A NAME="item_stunnel%2Econf">stunnel.conf</A>

389

<DD>

390

Fichier de configuration de stunnel.

391

392

<DT><A NAME="item_stunnel%2Epem">stunnel.pem</A>

393

<DD>

394

Certificat et clef priv�e de stunnel.

395

</DL>

396

397

<HR>

398

399

L'option execargs ne supporte pas les guillemets.

400

401

<HR>

402

<H1><A NAME="restrictions">RESTRICTIONS</A></H1>

403

stunnel ne peut �tre utilis� pour le daemon FTP en raison de la nature

404

de ce protocole qui ouvre de multiples ports pour les transferts de donn�es.

405

Il existe cependant des versions de FTP et de telnet qui permettent l'utilisation

406

de SSL.

407

408

<HR>

409

<H1><A NAME="notes">NOTES</A></H1>

410

411

<H2><A NAME="mode inetd">MODE INETD</A></H2>

412

L'utilisation la plus courante de stunnel est l'�coute sur un

413

port r�seau pour �tablir des communications, soit sur un nouveau port

414

avec l'option connect, soit avec un programme avec l'option exec.

415

Dans certains cas, il est souhaitable qu'un autre programme accepte

416

les connexions entrantes puis passe la main � stunnel (par exemple

417

avec inetd, xinetd, ou tcpserver).

418

Imaginons la ligne suivante dans inetd.conf :

419

<PRE>

420

imaps stream tcp nowait root /usr/sbin/stunnel stunnel /etc/stunnel/imaps.conf</PRE>

421

Dans ce cas, le programme de style inetd est en charge

422

de la connexion du socket r�seau (imaps ci-dessus) et

423

du passage � stunnel une fois la connexion re�ue.

424

Ainsi, stunnel ne doit pas avoir d'option accept/

425

Toutes les options de niveau service doivent �tre dans la

426

section des options globales et il ne doit pas y avoir de section

427

[service]. Se reporter � la section EXEMPLES.

428

429

<H2><A NAME="certificats">CERTIFICATS</A></H2>

430

Chasue daemon SSL-is� doit pr�senter un certificat X.509 valide � son

431

interlocuteur. Il n�cessite aussi une clef priv�e pour d�chiffrer les

432

donn�es entrantes.

433

La m�thode la plus simple d'obtention d'un certificat et d'une clef est

434

de les engendrer � l'aide du paquetage lible OpenSSL.

435

Plus d'informations sur la g�n�ration de certificats est disponible sur

436

les pages indiqu�es plus bas.

437

Deux points importants lors de la g�n�ration de paires certificat-clef

438

pour stunnel : la clef priv�e ne peut �tre chiffr�e car le serveur

439

n'a aucun moyen d'acc�der au mot de passe de l'utilisateur ; l'option

440

-nodes de la commande req du kit OpenSSL permet de produire

441

une clef non chiffr�e.

442

L'ordre du contenu du fichier .pem est important aussi : il doit

443

contenir la clef priv�e non chiffr�e en premier, puis un certificat

444

sign� (pas de requ�te de certificat).

445

Il doit y avoir aussi des lignes vides apr�s le certificat et la clef

446

priv�e.

447

L'information en texte simple ajout�e sur le certificat engendr� doit �tre

448

supprim�e.

449

Ainsi, le fichier doit se pr�senter comme suit :

450

<PRE>

610

execargs = imapd</pre>

611

612

613

<hr />

614

<h1><a name="fichiers">FICHIERS</a></h1>

615

<dl>

616

<dt><a name="item_stunnel_2econf">stunnel.conf</a>

617

</dt>

618

<dd>

619

Fichier de configuration de stunnel

620

</dd>

621

622

<dt><a name="item_stunnel_2epem">stunnel.pem</a>

623

</dt>

624

<dd>

625

Certificat et clef priv�e de stunnel

626

</dd>

627

</dl>

628

629

630

<hr />

631

<h1><a name="bogues">BOGUES</a></h1>

632

L'option execargs n'admet pas les quotes.

633

634

635

<hr />

636

<h1><a name="restrictions">RESTRICTIONS</a></h1>

637

stunnel ne peut �tre utilis� pour le daemon FTP en raison de la nature

638

du protocole FTP qui utilise des ports multiples pour les transferts de donn�es.

639

Il existe cependant des versions SSL de FTP et de telnet.

640

641

642

<hr />

643

<h1><a name="notes">NOTES</a></h1>

644

645

646

<h2><a name="mode_inetd">MODE INETD</a></h2>

647

L'utilisation la plus commune de stunnel consiste � �couter un port

648

r�seau et � �tablir une communication, soit avec un nouveau port

649

avec l'option connect, soit avec un programme avec l'option exec.

650

On peut parfois cependant souhaiter qu'un autre programme re�oive les

651

connexions entrantes et lance stunnel, par exemple avec inetd,

652

xinetd ou tcpserver.

653

Si, par exemple, la ligne suivante se trouve dans inetd.conf :

654

<pre>

655

imaps stream tcp nowait root /usr/sbin/stunnel stunnel /etc/stunnel/imaps.conf</pre>

656

Dans ces cas, c'est le programme du genre inetd-style qui est

657

responsable de l'�tablissement de la connexion (imaps ci-dessus) et de passer

658

celle-ci � stunnel.

659

Ainsi, stunnel ne doit alors avoir aucune option accept.

660

Toutes les options de niveau service doivent �tre plac�es dans

661

la section des options globales et aucune section [service_name] ne doit

662

�tre pr�sente. Voir la section EXEMPLES pour des exemples de configurations.

663

664

665

<h2><a name="certificats">CERTIFICATS</a></h2>

666

Chaque daemon � propri�t�s SSL doit pr�senter un certificat X.509

667

valide � son interlocuteur. Il a aussi besoin d'une clef priv� pour

668

d�chiffrer les donn�es entrantes. La m�thode la plus simple pour

669

obtenir un certificat et une clef est d'engendrer celles-ci avec

670

le paquetage libre OpenSSL. Plus d'informations sur la g�n�ration de

671

certificats se trouvent dans les pages indiqu�es plus bas.

672

Deux choses importantes lors de la g�n�ration de paires certificat-clef

673

pour stunnel :

674

<ul>

675

676

la clef priv�e ne peut �tre chiffr�e puisque le serveur n'a aucun moyen

677

d'obtenir le mot de passe de l'utilisateur ; pour produire une clef non chiffr�e,

678

ajouter l'option -nodes � la commande req de OpenSSL ;

679

680

681

l'ordre du contenu du fichier .pem est significatif : il doit contenir d'abord

682

une clef priv�e non chiffr�e, puis un certificat sign� (et non une demande de certificat).

683

Il doit aussi y avoir des lignes vides apr�s le certificat et apr�s la clef priv�e.

684

L'information textuelle ajout�e au d�but d'un certificat doit �tre supprim�e afin que

685

le fichier ait l'allure suivante :

686

<pre>

451

687

-----BEGIN RSA PRIVATE KEY-----

452

688

[clef encod�e]

453

689

-----END RSA PRIVATE KEY-----

455

691

-----BEGIN CERTIFICATE-----

456

692

[certificat encod�]

457

693

-----END CERTIFICATE-----

458

[ligne vide]</PRE>

459

460

<H2><A NAME="al�atoires">AL�ATOIRES</A></H2>

461

stunnel doit alimenter le g�n�rateur d'al�atoires

462

(PRNG - pseudo random number generator) pour fournir � SSL un bon

463

niveau d'al�atoires.

464

Les sources suivantes sont charg�es dans l'ordre jusqu'� ce qu'une

465

quantit� suffisante d'informations al�atoires ait �t� rassembl�e :

466

<UL>

467

<LI>

468

le fichier sp�cifi� par RNDfile ;

469

470

<LI>

471

le fichier sp�cifi� par la variable d'environnement �ventuelle RANDFILE ;

472

473

<LI>

474

le fichier $HOME/.rnd si RANDFILE n'est pas positionn� ;

475

476

<LI>

477

le fichier sp�cifi� avec '--with-random' lors de la compilation ;

478

479

<LI>

480

le contenu de l'�cran en environnement Windows ;

481

482

<LI>

483

le socket sp�cifi� par EGD ;

484

485

<LI>

486

le socket sp�cifi� avec '--with-egd-sock' lors de la compilation ;

487

488

<LI>

694

[ligne vide]</pre>

695

</ul>

696

697

698

<h2><a name="aleatoire">ALEATOIRE</a></h2>

699

stunnel doit � saler � le g�n�rateur de pseudo-al�atoires PRNG (pseudo random

700

number generator) afin que SSL utilise un al�atoire de qualit�. Les sources suivantes

701

sont charg�es dans l'ordre jusqu'� ce qu'une quantit� suffisante de donn�es soit lue :

702

<ul>

703

704

le fichier sp�cifi� par RNDfile ;

705

706

707

le fichier sp�cifi� par la variable d'environnement RANDFILE, � d�faut

708

le fichier .rnd du r�pertoire $HOME de l'utilisateur ;

709

710

711

le fichier sp�cifi� par � --with-random � lors de la compilation ;

712

713

714

le contenu de l'�cran (MS-Windows seulement) ;

715

716

717

le socket EGD sp�cifi� par EGD ;

718

719

720

le socket EGD sp�cifi� par � --with-egd-sock � lors de la compilation ;

721

722

489

723

le p�riph�rique /dev/urandom.

490

</UL>

491

Si les versions r�centes (>=OpenSSL 0.9.5a) de SSL cessent le chargement

492

automatiquement lorsqu'une entropie suffisante a �t� rassembl�e, ce n'est

493

pas le cas des versions pr�c�dentes qui ne disposent pas d'une fonction

494

permettant de d�terminer cela.

495

Sur les machines Windows sans interaction utilisateur (mouvements de souris,

496

cr�ation de fen�tres, etc.), le contenu de l'�cran n'est pas suffisamment

497

variable et il faut fournir un fichier d'al�atoires � l'aide de RNDfile.

498

Le fichier sp�cifi� par RNDfile doit contenir des donn�es al�atoires --

499

donc des donn�es diff�rentes pour chaque lancement de stunnel.

500

Cela est r�alis� automatiquement sauf si RNDoverwrite est utilis�.

501

Pour la mise � jour manuelle de ce fichier, la commande openssl rand

502

des versions r�centes d'OpenSSL peut �tre utile.

503

Note importante -- si /dev/urandom est disponible, OpenSSL a pour habitude

504

de l'utiliser, quel que soit l'�tat d'al�atoire, donc il sera vraisemblablement

505

utilis� m�me s'il est indiqu� en derni�re position de la liste ci-dessus.

506

C'est un comportement de OpenSSL, pas de stunnel.

507

508

<HR>

509

<H1><A NAME="voir aussi">VOIR AUSSI</A></H1>

510

<DL>

511

512

<DD>

513

syst�me de contr�le d'acc�s pour les services internet.

514

515

<DT><A NAME="item_inetd"><A HREF="#item_inetd">inetd(8)</A></A>

516

<DD>

517

``super-serveur'' internet

518

519

<DT><A NAME="item_http%3A%2F%2Fstunnel%2Emirt%2Enet%2F"><A HREF="http://stunnel.mirt.net/">http://stunnel.mirt.net/</A></A>

520

<DD>

521

Site de stunnel

522

523

<DT><A NAME="item_http%3A%2F%2Fwww%2Estunnel%2Eorg%2F"><A HREF="http://www.stunnel.org/">http://www.stunnel.org/</A></A>

524

<DD>

525

Foire aux questions stunnel

526

527

<DT><A NAME="item_http%3A%2F%2Fwww%2Eopenssl%2Eorg%2F"><A HREF="http://www.openssl.org/">http://www.openssl.org/</A></A>

528

<DD>

529

Site web du projet OpenSSL.

530

</DL>

531

532

<HR>

533

<H1><A NAME="auteur">AUTEUR</A></H1>

534

<DL>

535

<DT><A NAME="item_Michal_Trojnara">Michal Trojnara</A>

536

<DD>

537

<<A HREF="mailto:Michal.Trojnara@mirt.net">Michal.Trojnara@mirt.net</A>>

538

539

<DT><A NAME="item_Adaptation_fran�aise_Bernard_Choppy_%3CF%3Cchoppy%">Adaptation fran�aise Bernard Choppy

540

<<A HREF="mailto:choppy@imaginet.fr">choppy@imaginet.fr</A>></A>

541

<DD>

542

</DL>

543

544

</BODY>

545

546

</HTML>

724

</ul>

725

Avec un OpenSSL r�cent (>=OpenSSL 0.9.5a) le chargement de donn�es s'arr�te

726

automatiquement lorsqu'un niveau d'entropie suffisant est atteint.

727

Les versions pr�c�dentes continuent � lire toutes les sources puisqu'aucune

728

fonction SSL ne leur permet de savoir que suffisamment de donn�es sont disponibles.

729

Sur les machines MS-Windows qui n'ont pas d'interaction utilisateur sur la console,

730

(mouvements de souris, cr�ation de fen�tres, etc.), le contenu de l'�cran n'est

731

pas suffisamment changeant et il est n�cessaire de fournir un fichier d'al�atoire

732

par le biais de RNDfile.

733

Le fichier sp�cifi� par RNDfile doit contenir des informations al�atoires --

734

c'est-�-dire des informations diff�rentes � chaque lancement de stunnel.

735

Cela est g�r� automatiquement sauf si l'option RNDoverwrite est utilis�e.

736

Si l'on souhaite proc�der manuellement � la mise � jour de ce fichier, la

737

commande openssl rand des versions r�centes d'OpenSSL sera sans doute utile.

738

Note importante : si /dev/urandom est disponible, OpenSSL a l'habitude d'utiliser

739

celui-ci pour � saler � le PRNG m�me lorsqu'il contr�le l'�tat de l'al�atoire ;

740

ainsi, m�me si /dev/urandom est dernier de la liste ci-dessus, il est vraisemblable

741

qu'il soit utilis� s'il est pr�sent.

742

Ce n'est pas le comportement de stunnel, c'est celui d'OpenSSL.

743

744

745

<hr />

746

<h1><a name="voir_aussi">VOIR AUSSI</a></h1>

747

<dl>

748

749

</dt>

750

<dd>

751

Service de contr�le d'acc�s pour les services internet

752

</dd>

753

754

<dt><a name="item_inetd"><a href="#item_inetd">inetd(8)</a></a>

755

</dt>

756

<dd>

757

� super-serveur � internet

758

</dd>

759

760

<dt><a name="item_http_3a_2f_2fstunnel_2emirt_2enet_2f"><a href="http://stunnel.mirt.net/">http://stunnel.mirt.net/</a></a>

761

</dt>

762

<dd>

763

Page de r�f�rence de stunnel

764

</dd>

765

766

<dt><a name="item_http_3a_2f_2fwww_2estunnel_2eorg_2f"><a href="http://www.stunnel.org/">http://www.stunnel.org/</a></a>

767

</dt>

768

<dd>

769

Foire aux questions stunnel

770

</dd>

771

772

<dt><a name="item_http_3a_2f_2fwww_2eopenssl_2eorg_2f"><a href="http://www.openssl.org/">http://www.openssl.org/</a></a>

773

</dt>

774

<dd>

775

Site web du projet OpenSSL

776

</dd>

777

</dl>

778

779

780

<hr />

781

<h1><a name="auteur">AUTEUR</a></h1>

782

<dl>

783

<dt><a name="item_michal_trojnara">Michal Trojnara</a>

784

</dt>

785

<dd>

786

<<a href="mailto:Michal.Trojnara@mirt.net">Michal.Trojnara@mirt.net</a>>

787

</dd>

788

</dl>

789

790

791

<hr />

792

<h1><a name="adaptation_fran_aise">ADAPTATION FRAN�AISE</a></h1>

793

<dl>

794

<dt><a name="item_bernard_choppy">Bernard Choppy</a>

795

</dt>

796

<dd>

797

798

</dd>

799

</dl>

800

801

</body>

802

803

</html>

Older »