Якими повинні бути дозволи на каталог, сертифікат і ключ Apache SSL?

У мене є свої cert.pemта cert.keyфайли у /etc/apache2/sslпапках.

Які найбезпечніші дозволи та права власності на:

/etc/apache2/ssl каталог
/etc/apache2/ssl/cert.pem файл
/etc/apache2/ssl/cert.key файл

( https://Звичайно, забезпечення доступу до роботи :).

Дякую,

— Буде
джерело

Відповіді:

Дозволи для каталогу повинні бути 700, дозволи на файли для всіх файлів мають бути 600, а каталог та файли мають належати root.

— Майк Скотт
джерело

Дякую. Це працює. Одне - я думаю, що файли потрібно читати лише під коренем, який запускає демон apache. Чому нам потрібно надати дозволу на "запис" у файл?

Файли потребуватимуть періодичного оновлення, оскільки термін дії ваших сертифікатів закінчується та потребує поновлення, а оскільки немає реального ризику для безпеки, щоб зробити їх доступними для запису, це робить життя трохи простішим. Їм не потрібно читати для щоденного використання, тому ви можете використовувати 400 дозволів (і 500 у каталозі), якщо ви не заперечуєте, щоб поспілкуватися з ними під час оновлення.

— Майк Скотт

Слід зазначити, що офіційні документи Apache не погоджуються з оригінальними пропозиціями Майка щодо SSL та йдуть з його другою пропозицією тут у коментарях.

— meshfields

Яким має бути власник?

— Джон Бачір

де ви знайшли "офіційні документи Apache" про ssl

— user9

Найголовніше - переконатися, що *.keyфайли читаються лише за допомогоюroot ( SSL / TLS Strong Encryption: FAQ ).

Мій досвід полягає в тому, що він може бути реалізований і для інших файлів сертифікатів (наприклад, *.crtнаприклад).

Таким чином, ми повинні встановити rootєдиного власника каталогу та його файлів:

$ chown -R root:root /etc/apache2/ssl

І ми можемо встановити найбільш обмежувальні дозволи для цієї локалізації:

$ chmod -R 000 /etc/apache2/ssl

У якомусь конкретному випадку локалізація може бути різною.

— simhumileco
джерело