Ich führe OTRS auf einem CentOS-Server aus und die MySQL-Datenbank läuft auf einem Remote-Server, ebenfalls auf CentOS. OTRS unterstützt keine verschlüsselte Verbindung mit MySQL, daher ist die Verbindung nicht verschlüsselt. Ich würde gerne Stunnel verwenden, um die Verbindung zu verschlüsseln, aber ich kann es nicht konfigurieren. MySQL verwendet den Standardport 3306.
OTRS = 10.0.0.4 MySQL = 10.0.0.3
#Sample stunnel configuration on OTRS Server
#Provide the full path to your certificate-key pair file
cert = /etc/pki/tls/certs/stunnel.pem
#lock the process into a chroot jail
chroot = /var/run/stunnel
# and create the PID file in this jail
pid = /stunnel.pid
#change the UID and GID of the process for security reasons
setuid = nobody
setgid = nobody
#enable client mode
client = yes
socket = l:TCP_NODELAY=1
#socket = r:TCP:NODELAY=1
[mysqls]
accept = 0.0.0.0:3306
connect = 10.0.0.3:3307
Und die Konfigurationsdatei auf dem Datenbankserver:
#Sample configuration file for MySQL
#Provide the full path to your certificate-key pair file
cert = /etc/pki/tls/certs/stunnel.pem
#Allow only TLS, thus avoiding SSL
sslVersion = TLSv1
#lock the process into a chroot jail
chroot = /var/run/stunnel
#change the UID and GID of the process for security reasons
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
#Configure our secured MySQL Server
[mysqls]
accept = 3307
connect = 3306
Ich vermute, dass der Teil in der Stunnel-Konfigurationsdatei auf dem OTRS-Server falsch ist. Irgendwelche Ideen?
akzeptieren = 0.0.0.0:3306
Antwort1
OK, ich habe es herausgefunden.
Ich habe den Datenbank-Host-Wert in der Datei Config.pm von der echten IPv4-Adresse des Datenbankservers auf 127.0.0.1 geändert:
Dann habe ich die stunnel.conf auf der OTRS-Box so konfiguriert, dass sie auf 127.0.0.1:3306 lauscht (OTRS verbindet sich standardmäßig mit dem Standard-MySQL-Port) und sich mit der echten IPv$-Adresse des Datenbankhosts, aber auf Port 3307 verbindet:
Auf dem Datenbankserver sieht die stunnel.conf folgendermaßen aus:
Wenn ich tcpdump auf dem Datenbankserver ausführe und die .pcap-Datei in Wireshark analysiere, zeigt sich, dass die Verbindung verschlüsselt ist und OTRS weiterhin funktioniert:
Ob die stunnel.conf Dateien dafür gut aufgebaut sind weiß ich noch nicht, habe aber beispielsweise gelesen, dass man chroot nicht mehr verwenden sollte, werde mich da aber mal genauer damit befassen.