[devel] Q: systemwide directories for SSL certificates

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вт Янв 7 17:21:40 MSK 2003 

On Tue, Jan 07, 2003 at 11:43:02PM +1000, Dmitry Lebkov wrote:
> > > Может я непонятно объяснил, но имелось ввиду следующее:
> > > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> > > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> > > производится в каталоге /etc/courier-imap/ssl. Создание
> > > сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> > > это вроде бы попадает под определение "предоставляется установкой
> > > дистрибутива"?
> > 
> > Нет.
> > Администратор вправе заменить эти сертификаты по своему желанию.
> > 
> > > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> > > администратор, в случае устаревания) - им не место в /var. И т.к.
> > 
> > Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?
> 
> Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило
> следующее:
> 
> $ rpm -qf /etc/httpd/conf/ssl/server.crt
> mod_ssl-2.8.12-alt1
> 
> $ rpm -qf /var/lib/ssl/certs/stunnel.pem
> stunnel-3.22-alt2
> 
> Вот и начал метаться, куда бы положить этои @#$% сертификаты. %)

"Кто - в лес, кто - по дрова"?

> > > это достаточно критичная составляющая сервиса (очень плохо, если
> > > кто-то сможет стащить незащищенные сертификаты сервера, а они не
> > > закрыты паролем для того, чтоб сервис стартовал автоматом, при
> > > старте системы) - доступ в католг, содержащий сертификаты должен
> > > быть ограничен по-максимуму.
> > > 
> > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> > > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> > > сентябрьскому обсуждению). Можно, конечно и
> > > в/usr/share/package_name/ssl засунуть, но это как-то неправильно.
> > 
> > Обратите внимание на %attr(700,root,root) /var/lib/ssl/private
> 
> Это понятно. В пакете так и буду делать, раз таковы требования
> дистрибутива.
> 
> В размещении в /var cмущает только одно - невозможность
> монтирования в R/O.

Администратор может поместить этот каталог на readonly-раздел.


--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20030107/d26d7068/attachment-0001.bin>

Подробная информация о списке рассылки Devel