Apa yang Seharusnya Izin dari Direktori SSL SSL, Sertifikat, dan Kunci?


50

Saya punya cert.pemdan cert.keyfile di /etc/apache2/sslfolder.

Apa yang akan menjadi izin dan kepemilikan paling aman dari:

  1. /etc/apache2/ssl direktori

  2. /etc/apache2/ssl/cert.pem mengajukan

  3. /etc/apache2/ssl/cert.key mengajukan

(Memastikan https://akses bekerja tentu saja :).

Terima kasih,

JP

Jawaban:


69

Izin direktori harus 700, izin file pada semua file harus 600, dan direktori dan file harus dimiliki oleh root.


5
Terima kasih. Ini bekerja. Satu hal - saya kira file hanya perlu dibaca oleh root yang memulai daemon apache. Mengapa kita perlu memberikan izin "tulis" ke file?

23
File-file tersebut perlu diperbarui secara berkala, karena sertifikat Anda kedaluwarsa dan perlu diperbarui, dan karena tidak ada risiko keamanan nyata dalam membuat mereka dapat ditulisi, itu membuat hidup sedikit lebih sederhana. Mereka tidak perlu dibaca untuk penggunaan sehari-hari, sehingga Anda dapat menggunakan 400 izin (dan 500 pada direktori) jika Anda tidak keberatan harus mengutak-atik mereka pada waktu perpanjangan.
Mike Scott

5
Perlu dicatat, bahwa Apache Documents resmi tidak setuju dengan saran asli Mike tentang SSL dan mengikuti saran keduanya di komentar.
meshfields

6
Bagaimana seharusnya pemiliknya?
John Bachir

di mana Anda menemukan "Documents resmi Apache" tentang ssl
user9

0

Yang paling penting adalah memastikan *.keyfile hanya dapat dibaca olehroot ( Enkripsi Kuat SSL / TLS: FAQ ).

Pengalaman saya adalah bisa direalisasikan juga ke file sertifikat lainnya (seperti *.crtmisalnya).

Jadi kita harus menetapkan rootsebagai satu-satunya pemilik direktori dan file-file-nya:

$ chown -R root:root /etc/apache2/ssl

Dan kami dapat mengatur izin paling ketat untuk pelokalan ini:

$ chmod -R 000 /etc/apache2/ssl

Dalam beberapa kasus tertentu, pelokalan tentu saja bisa berbeda.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.