Apache SSL Dizini, Sertifika ve Anahtar İzinleri Ne Olmalı?

Benim var cert.pemve cert.keydosyaları /etc/apache2/sslklasörler.

Aşağıdakilerin en güvenli izinleri ve mülkiyeti ne olurdu:

/etc/apache2/ssl rehber
/etc/apache2/ssl/cert.pem dosya
/etc/apache2/ssl/cert.key dosya

( https://Tabii erişim çalışmalarının sağlanması :).

Teşekkürler,

— Niyet
kaynak

Yanıtlar:

Dizin izinleri 700 olmalı, tüm dosyalardaki dosya izinleri 600 olmalı ve dizine ve dosyalara kök ait olmalıdır.

— Mike Scott
kaynak

Teşekkürler. Bu çalışıyor. Bir şey - Sanırım sadece apache arka planını başlatan root tarafından okunması gereken dosyalar. Dosyaya neden "yazma" izni vermemiz gerekiyor?

Sertifikalarınızın süresinin dolması ve yenilenmesi gerektiğinden dosyaların düzenli olarak güncellenmesi gerekir ve bunları yazılabilir hale getirme konusunda gerçek bir güvenlik riski olmadığından hayatı biraz daha basitleştirir. Günlük kullanım için okunabilir olmaları gerekmediğinden, yenileme zamanlarında bunlarla uğraşmak zorunda kalmazsanız 400 izin (ve dizinde 500) kullanabilirsiniz.

— Mike Scott,

Resmi Apache Dokümanlarının Mike'ın SSL hakkındaki orijinal önerileriyle aynı fikirde olmadığı ve yorumlarda buradaki ikinci öneriyle aynı fikirde olmadığı belirtilmelidir.

— kafes alanları

Sahibi ne olmalı?

— John Bachir,

ssl hakkında "resmi Apache Dokümanları"

— nı buldunuz

Bunlardan en önemlisi, *.keydosyaların yalnızca okunabilir olduğundan emin olmaktırroot ( SSL / TLS Güçlü Şifreleme: SSS ).

Tecrübelerim, sertifikaların diğer dosyalarında da gerçekleştirilebileceğidir ( *.crtörneğin).

Bu yüzden rootdizinin ve dosyalarının tek sahibi olarak ayarlamalıyız :

$ chown -R root:root /etc/apache2/ssl

Ve bu yerelleştirme için en kısıtlayıcı izinleri ayarlayabiliriz:

$ chmod -R 000 /etc/apache2/ssl

Bazı özel durumlarda, yerelleştirme elbette farklı olabilir.

— simhumileco
kaynak