Какими должны быть разрешения Apache SSL Directory, Certificate и Key?

50

У меня есть cert.pemи cert.keyфайлы в /etc/apache2/sslпапках.

Каковы будут наиболее безопасные разрешения и права собственности на:

  1. /etc/apache2/ssl каталог

  2. /etc/apache2/ssl/cert.pem файл

  3. /etc/apache2/ssl/cert.key файл

(Обеспечение https://доступа работает конечно :).

Спасибо,

JP

Будет
источник

Ответы:

69

Разрешения для каталога должны быть 700, разрешения для файлов для всех файлов должны быть 600, а каталог и файлы должны принадлежать пользователю root.

Майк Скотт
источник
5
Благодарю. Это работает. Одна вещь - я предполагаю, что файлы должны быть прочитаны только пользователем root, который запускает демон apache. Почему мы должны дать разрешения на «запись» в файл?
23
Файлы должны будут периодически обновляться, так как срок действия ваших сертификатов истекает, и их необходимо обновлять, и, поскольку нет реальной угрозы безопасности, делая их доступными для записи, это немного упрощает жизнь. Они не должны быть удобочитаемыми для повседневного использования, поэтому вы можете использовать 400 разрешений (и 500 для каталога), если вы не против возиться с ними во время обновления.
Майк Скотт
5
Следует отметить, что официальные документы Apache не согласны с первоначальными предложениями Майка о SSL и приводят его второе предложение здесь в комментариях.
meshfields
6
Каким должен быть владелец?
Джон Башир
где вы нашли "официальные документы Apache" о ssl
user9
0

Самое главное - убедиться, что *.keyфайлы доступны только для чтенияroot ( SSL / TLS Strong Encryption: FAQ ).

Мой опыт показывает, что это может быть реализовано и для других файлов сертификатов (как, *.crtнапример).

Поэтому мы должны установить в rootкачестве единственного владельца каталога и его файлов:

$ chown -R root:root /etc/apache2/ssl

И мы можем установить наиболее строгие разрешения для этой локализации:

$ chmod -R 000 /etc/apache2/ssl

В каком-то конкретном случае локализация может быть разной конечно.

simhumileco
источник