From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.ru>
Date: Tue, 7 Jan 2003 14:06:03 +0300
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@altlinux.ru>
Subject: Re: [devel] Q: systemwide directories for SSL certificates
Message-ID: <20030107110603.GA23353@basalt.office.altlinux.ru>
Mail-Followup-To: ALT Devel discussion list <devel@altlinux.ru>
References: <20030107011043.5e1af8e1.dima@sakhalin.ru> <Pine.LNX.4.51L.0301062152460.12735@arrakis.zephyrous> <20030107154341.51db757a.dima@sakhalin.ru>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="HcAYCG3uE/tztfnV"
Content-Disposition: inline
In-Reply-To: <20030107154341.51db757a.dima@sakhalin.ru>
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Id: <devel.altlinux.ru>
List-Post: <mailto:devel@altlinux.ru>
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20030107110603.GA23353@basalt.office.altlinux.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

--HcAYCG3uE/tztfnV
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote:
> Может я непонятно объяснил, но имелось ввиду следующее:
> собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> производится в каталоге /etc/courier-imap/ssl. Создание
> сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> это вроде бы попадает под определение "предоставляется установкой
> дистрибутива"?

Нет.
Администратор вправе заменить эти сертификаты по своему желанию.

> Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> администратор, в случае устаревания) - им не место в /var. И т.к.

Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?

> это достаточно критичная составляющая сервиса (очень плохо, если
> кто-то сможет стащить незащищенные сертификаты сервера, а они не
> закрыты паролем для того, чтоб сервис стартовал автоматом, при
> старте системы) - доступ в католг, содержащий сертификаты должен
> быть ограничен по-максимуму.
> 
> Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl
> засунуть, но это как-то неправильно.

Обратите внимание на %attr(700,root,root) /var/lib/ssl/private

> По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
> Я думаю, что этот каталог имеет смысл пользовать для _создания_
> сертификатов, предназначенных для других сервисов/хостов на, локальной
> машине. Но как место хранения сертификатов локальных сервисов он не
> подходит.

По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не так
ли?


--
ldv

--HcAYCG3uE/tztfnV
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+GrSa9viEa8HiNCkRAuZRAJ98dlwL1LDWz+igjKO+x2InVi+yMQCeIOnK
K1wVVo7EjOtR3gOMLkpPBNA=
=Qp7U
-----END PGP SIGNATURE-----

--HcAYCG3uE/tztfnV--