Jakie powinny być uprawnienia do katalogu Apache SSL, certyfikatu i klucza?

Mam moje cert.pemi cert.keypliki w /etc/apache2/sslfolderach.

Jakie byłyby najbezpieczniejsze uprawnienia i własność:

/etc/apache2/ssl informator
/etc/apache2/ssl/cert.pem plik
/etc/apache2/ssl/cert.key plik

(Zapewnienie https://dostępu działa oczywiście :).

Dzięki,

apache-2.2 security permissions ssl file-permissions Będzie
źródło

Odpowiedzi:

Uprawnienia do katalogu powinny wynosić 700, uprawnienia do wszystkich plików powinny wynosić 600, a katalog i pliki powinny być własnością root.

Mike Scott
źródło

Dzięki. To działa. Jedno - myślę, że pliki muszą być odczytywane tylko przez root, który uruchamia demona apache. Dlaczego musimy nadać plikowi uprawnienia „do zapisu”?

Pliki będą wymagały okresowej aktualizacji, ponieważ wasze certyfikaty wygasają i muszą zostać odnowione, a ponieważ nie ma rzeczywistego ryzyka bezpieczeństwa, jeśli umożliwi się ich zapisywanie, życie jest nieco prostsze. Nie muszą być czytelne do codziennego użytku, więc możesz użyć 400 uprawnień (i 500 w katalogu), jeśli nie masz nic przeciwko konieczności manipulowania nimi przy odnawianiu.

Mike Scott

Należy zauważyć, że oficjalne dokumenty Apache Docs nie zgadzają się z oryginalnymi sugestiami Mike'a dotyczącymi SSL i idą z jego drugą sugestią tutaj w komentarzach.

meshfields

Kim powinien być właściciel?

John Bachir,

gdzie znalazłeś „oficjalne dokumenty Apache” dotyczące ssl

user9

Najważniejsze jest, aby upewnić się, że *.keypliki są czytelne tylko przezroot ( Silne szyfrowanie SSL / TLS: FAQ ).

Z mojego doświadczenia wynika, że można to zrealizować również w innych plikach certyfikatów (jak *.crtna przykład).

Powinniśmy więc ustawić rootjedynego właściciela katalogu i jego plików:

$ chown -R root:root /etc/apache2/ssl

I możemy ustawić najbardziej restrykcyjne uprawnienia dla tej lokalizacji:

$ chmod -R 000 /etc/apache2/ssl

W niektórych szczególnych przypadkach lokalizacja może być oczywiście inna.

simhumileco
źródło