Estou executando o OTRS em um servidor CentOS e o banco de dados MySQL está sendo executado em um servidor remoto, também no CentOS. OTRS não suporta uma conexão criptografada com MySQL, portanto a conexão não é criptografada. Gostaria de usar o stunnel para criptografar a conexão, mas não consigo configurá-lo. MySQL está usando a porta padrão 3306.
OTRS = 10.0.0.4 MySQL = 10.0.0.3
#Sample stunnel configuration on OTRS Server
#Provide the full path to your certificate-key pair file
cert = /etc/pki/tls/certs/stunnel.pem
#lock the process into a chroot jail
chroot = /var/run/stunnel
# and create the PID file in this jail
pid = /stunnel.pid
#change the UID and GID of the process for security reasons
setuid = nobody
setgid = nobody
#enable client mode
client = yes
socket = l:TCP_NODELAY=1
#socket = r:TCP:NODELAY=1
[mysqls]
accept = 0.0.0.0:3306
connect = 10.0.0.3:3307
E o arquivo de configuração no servidor de banco de dados:
#Sample configuration file for MySQL
#Provide the full path to your certificate-key pair file
cert = /etc/pki/tls/certs/stunnel.pem
#Allow only TLS, thus avoiding SSL
sslVersion = TLSv1
#lock the process into a chroot jail
chroot = /var/run/stunnel
#change the UID and GID of the process for security reasons
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
#Configure our secured MySQL Server
[mysqls]
accept = 3307
connect = 3306
Acho que a parte do arquivo de configuração do stunnel no servidor OTRS está errada. Alguma ideia?
aceitar = 0.0.0.0:3306
Responder1
Ok, eu descobri.
Alterei o valor do host do banco de dados no arquivo Config.pm do endereço IPv4 real do servidor de banco de dados para 127.0.0.1:
Então configurei o stunnel.conf na caixa OTRS para escutar em 127.0.0.1:3306 (OTRS por padrão se conecta à porta MySQL padrão) e para se conectar ao endereço IPv$ real do host do banco de dados, mas na porta 3307:
No servidor de banco de dados, o stunnel.conf se parece com isto:
Executando o tcpdump no servidor db e analisando o .pcap no Wireshark mostra que a conexão está criptografada e o OTRS ainda funciona:
Se os arquivos stunnel.conf são bem construídos, ainda não sei, mas por exemplo, li que o chroot não deve ser usado por mais tempo, mas irei me aprofundar mais nele.