Jakie powinny być uprawnienia do katalogu Apache SSL, certyfikatu i klucza?

50

Mam moje cert.pemi cert.keypliki w /etc/apache2/sslfolderach.

Jakie byłyby najbezpieczniejsze uprawnienia i własność:

  1. /etc/apache2/ssl informator

  2. /etc/apache2/ssl/cert.pem plik

  3. /etc/apache2/ssl/cert.key plik

(Zapewnienie https://dostępu działa oczywiście :).

Dzięki,

JP

Będzie
źródło

Odpowiedzi:

69

Uprawnienia do katalogu powinny wynosić 700, uprawnienia do wszystkich plików powinny wynosić 600, a katalog i pliki powinny być własnością root.

Mike Scott
źródło
5
Dzięki. To działa. Jedno - myślę, że pliki muszą być odczytywane tylko przez root, który uruchamia demona apache. Dlaczego musimy nadać plikowi uprawnienia „do zapisu”?
23
Pliki będą wymagały okresowej aktualizacji, ponieważ wasze certyfikaty wygasają i muszą zostać odnowione, a ponieważ nie ma rzeczywistego ryzyka bezpieczeństwa, jeśli umożliwi się ich zapisywanie, życie jest nieco prostsze. Nie muszą być czytelne do codziennego użytku, więc możesz użyć 400 uprawnień (i 500 w katalogu), jeśli nie masz nic przeciwko konieczności manipulowania nimi przy odnawianiu.
Mike Scott
5
Należy zauważyć, że oficjalne dokumenty Apache Docs nie zgadzają się z oryginalnymi sugestiami Mike'a dotyczącymi SSL i idą z jego drugą sugestią tutaj w komentarzach.
meshfields
5
Kim powinien być właściciel?
John Bachir,
gdzie znalazłeś „oficjalne dokumenty Apache” dotyczące ssl
user9
0

Najważniejsze jest, aby upewnić się, że *.keypliki są czytelne tylko przezroot ( Silne szyfrowanie SSL / TLS: FAQ ).

Z mojego doświadczenia wynika, że ​​można to zrealizować również w innych plikach certyfikatów (jak *.crtna przykład).

Powinniśmy więc ustawić rootjedynego właściciela katalogu i jego plików:

$ chown -R root:root /etc/apache2/ssl

I możemy ustawić najbardziej restrykcyjne uprawnienia dla tej lokalizacji:

$ chmod -R 000 /etc/apache2/ssl

W niektórych szczególnych przypadkach lokalizacja może być oczywiście inna.

simhumileco
źródło