[devel] [Q]Общесистемныйкаталог для SSL-сертификатов.

[Dmitry Lebkov]

On Mon, 6 Jan 2003 22:00:21 +0300 (MSK)
Ivan Zakharyaschev <imz на altlinux.ru> wrote:

> 	Hello, Dmitry!
> 
> On Tue, 7 Jan 2003, Dmitry Lebkov wrote:
> 
> > Есть ли в нас в системе какой-нить общий каталог, куда следует
> > складывать SSL-сертификаты сервисов, запускаемых на отдельно
> > взятой машине?
> 
> Насколько я помню, было принято решение, что это /var/lib/ssl/certs/.
> 
> (Нашёл:
> http://www.altlinux.ru/pipermail/devel/2002-September/006355.html)

Спасибо за линк. К сожалению, я упустил это обсуждение ... :(

> 
> > Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
> > хранит сертификаты там где понравилось автору/пакаджеру пакета,
> > что есть не очень хорошо.
> >
> > Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
> > и внутри создавать структуру каталогов (?) для каждого сервиса,
> > умеющего SSL/TLS (с соответствующм разграничением доступа)?
> >
> > Из плюсов:
> >  - монтировать /usr в read-only значительно проще чем /etc или /var;
> >  - упрощается контроль целостности сертификатов в случае размещения
> >    их всех в одном, оговоренном, месте;
> >
> > Из минусов:
> >  - патчить все существующие сервисы на предмет размещения
> > сертификатов;
> >  - поддерживать внесенные измененияж
> 
> - это не соответствует правилу о том, что то, что лежит в /usr/ (без
> local/), предоставляется утсановкой дистрибутива. Местная конфигурация
> попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в
> /var/.

Может я непонятно объяснил, но имелось ввиду следующее:
собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
производится в каталоге /etc/courier-imap/ssl. Создание
сертификатов (самоподписанных) возможно на стадии %post. Т.е.
это вроде бы попадает под определение "предоставляется установкой
дистрибутива"?

Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
администратор, в случае устаревания) - им не место в /var. И т.к.
это достаточно критичная составляющая сервиса (очень плохо, если
кто-то сможет стащить незащищенные сертификаты сервера, а они не
закрыты паролем для того, чтоб сервис стартовал автоматом, при
старте системы) - доступ в католг, содержащий сертификаты должен
быть ограничен по-максимуму.

Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl
засунуть, но это как-то неправильно.

По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
Я думаю, что этот каталог имеет смысл пользовать для _создания_
сертификатов, предназначенных для других сервисов/хостов на, локальной
машине. Но как место хранения сертификатов локальных сервисов он не
подходит.


"Истертый" вопрос - что делать? %)

--
WBR, Dmitry Lebkov