[devel] Q: systemwide directories for SSL certificates
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вт Янв 7 14:06:03 MSK 2003
On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote:
> Может я непонятно объяснил, но имелось ввиду следующее:
> собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> производится в каталоге /etc/courier-imap/ssl. Создание
> сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> это вроде бы попадает под определение "предоставляется установкой
> дистрибутива"?
Нет.
Администратор вправе заменить эти сертификаты по своему желанию.
> Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> администратор, в случае устаревания) - им не место в /var. И т.к.
Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?
> это достаточно критичная составляющая сервиса (очень плохо, если
> кто-то сможет стащить незащищенные сертификаты сервера, а они не
> закрыты паролем для того, чтоб сервис стартовал автоматом, при
> старте системы) - доступ в католг, содержащий сертификаты должен
> быть ограничен по-максимуму.
>
> Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl
> засунуть, но это как-то неправильно.
Обратите внимание на %attr(700,root,root) /var/lib/ssl/private
> По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
> Я думаю, что этот каталог имеет смысл пользовать для _создания_
> сертификатов, предназначенных для других сервисов/хостов на, локальной
> машине. Но как место хранения сертификатов локальных сервисов он не
> подходит.
По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не так
ли?
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20030107/862b0fa5/attachment-0001.bin>
Подробная информация о списке рассылки Devel