[devel] Q: systemwide directories for SSL certificates

Dmitry Lebkov =?iso-8859-1?q?dima_=CE=C1_sakhalin=2Eru?=
Вт Янв 7 16:43:02 MSK 2003 

On Tue, 7 Jan 2003 14:06:03 +0300
"Dmitry V. Levin" <ldv на altlinux.org> wrote:

> On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote:
> > Может я непонятно объяснил, но имелось ввиду следующее:
> > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> > производится в каталоге /etc/courier-imap/ssl. Создание
> > сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> > это вроде бы попадает под определение "предоставляется установкой
> > дистрибутива"?
> 
> Нет.
> Администратор вправе заменить эти сертификаты по своему желанию.
> 
> > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> > администратор, в случае устаревания) - им не место в /var. И т.к.
> 
> Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?

Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило
следующее:

$ rpm -qf /etc/httpd/conf/ssl/server.crt
mod_ssl-2.8.12-alt1

$ rpm -qf /var/lib/ssl/certs/stunnel.pem
stunnel-3.22-alt2

Вот и начал метаться, куда бы положить этои @#$% сертификаты. %)

> > это достаточно критичная составляющая сервиса (очень плохо, если
> > кто-то сможет стащить незащищенные сертификаты сервера, а они не
> > закрыты паролем для того, чтоб сервис стартовал автоматом, при
> > старте системы) - доступ в католг, содержащий сертификаты должен
> > быть ограничен по-максимуму.
> > 
> > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> > сентябрьскому обсуждению). Можно, конечно и
> > в/usr/share/package_name/ssl засунуть, но это как-то неправильно.
> 
> Обратите внимание на %attr(700,root,root) /var/lib/ssl/private

Это понятно. В пакете так и буду делать, раз таковы требования
дистрибутива.

В размещении в /var cмущает только одно - невозможность
монтирования в R/O.

> 
> > По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
> > Я думаю, что этот каталог имеет смысл пользовать для _создания_
> > сертификатов, предназначенных для других сервисов/хостов на,
> > локальной машине. Но как место хранения сертификатов локальных
> > сервисов он не подходит.
> 
> По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не
> так ли?

Наверняка. Но моя паранойя не позволяет мне использовать /var для
хранения сертификатов :) (но это уже к делу не относится).

Спасибо всем, ответившим. Пойду "дотачивать" пакет.

--
WBR, Dmitry Lebkov

Подробная информация о списке рассылки Devel