Estoy ejecutando OTRS en un servidor CentOS y la base de datos MySQL se ejecuta en un servidor remoto, también en CentOS. OTRS no admite una conexión cifrada con MySQL, por lo que la conexión no está cifrada. Me gustaría utilizar stunnel para cifrar la conexión pero no logro configurarla. MySQL utiliza el puerto predeterminado 3306.
OTRS = 10.0.0.4 MySQL = 10.0.0.3
#Sample stunnel configuration on OTRS Server
#Provide the full path to your certificate-key pair file
cert = /etc/pki/tls/certs/stunnel.pem
#lock the process into a chroot jail
chroot = /var/run/stunnel
# and create the PID file in this jail
pid = /stunnel.pid
#change the UID and GID of the process for security reasons
setuid = nobody
setgid = nobody
#enable client mode
client = yes
socket = l:TCP_NODELAY=1
#socket = r:TCP:NODELAY=1
[mysqls]
accept = 0.0.0.0:3306
connect = 10.0.0.3:3307
Y el archivo de configuración en el servidor de la base de datos:
#Sample configuration file for MySQL
#Provide the full path to your certificate-key pair file
cert = /etc/pki/tls/certs/stunnel.pem
#Allow only TLS, thus avoiding SSL
sslVersion = TLSv1
#lock the process into a chroot jail
chroot = /var/run/stunnel
#change the UID and GID of the process for security reasons
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
#Configure our secured MySQL Server
[mysqls]
accept = 3307
connect = 3306
Supongo que la parte del archivo de configuración de stunnel en el servidor OTRS es incorrecta. ¿Algunas ideas?
aceptar = 0.0.0.0:3306
Respuesta1
Bien, lo descubrí.
Cambié el valor del host de la base de datos en el archivo Config.pm de la dirección IPv4 real del servidor de la base de datos a 127.0.0.1:
Luego configuré stunnel.conf en el cuadro OTRS para escuchar en 127.0.0.1:3306 (OTRS se conecta de forma predeterminada al puerto MySQL estándar) y para conectarse a la dirección IPv$ real del host de la base de datos pero en el puerto 3307:
En el servidor de la base de datos, stunnel.conf tiene este aspecto:
Al ejecutar tcpdump en el servidor de base de datos y analizar el .pcap en Wireshark, se muestra que la conexión está cifrada y OTRS aún funciona:
Aún no sé si los archivos stunnel.conf están bien construidos, pero, por ejemplo, he leído que chroot no debería usarse por más tiempo, pero profundizaré más en ello.