* [devel] [Q]Общесистемный каталог для SSL-сертификатов.
@ 2003-01-06 15:10 Dmitry Lebkov
2003-01-06 19:00 ` Ivan Zakharyaschev
0 siblings, 1 reply; 7+ messages in thread
From: Dmitry Lebkov @ 2003-01-06 15:10 UTC (permalink / raw)
To: devel
Доброго времени суток,
Есть ли в нас в системе какой-нить общий каталог, куда следует
складывать SSL-сертификаты сервисов, запускаемых на отдельно
взятой машине?
Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
хранит сертификаты там где понравилось автору/пакаджеру пакета,
что есть не очень хорошо.
Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
и внутри создавать структуру каталогов (?) для каждого сервиса,
умеющего SSL/TLS (с соответствующм разграничением доступа)?
Из плюсов:
- монтировать /usr в read-only значительно проще чем /etc или /var;
- упрощается контроль целостности сертификатов в случае размещения
их всех в одном, оговоренном, месте;
Из минусов:
- патчить все существующие сервисы на предмет размещения сертификатов;
- поддерживать внесенные измененияж
Какие будут предложения?
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] [Q]Общесистемный каталог для SSL-сертификатов.
2003-01-06 15:10 [devel] [Q]Общесистемный каталог для SSL-сертификатов Dmitry Lebkov
@ 2003-01-06 19:00 ` Ivan Zakharyaschev
2003-01-07 5:43 ` [devel] [Q]Общесистемныйкаталог " Dmitry Lebkov
0 siblings, 1 reply; 7+ messages in thread
From: Ivan Zakharyaschev @ 2003-01-06 19:00 UTC (permalink / raw)
To: devel
Hello, Dmitry!
On Tue, 7 Jan 2003, Dmitry Lebkov wrote:
> Есть ли в нас в системе какой-нить общий каталог, куда следует
> складывать SSL-сертификаты сервисов, запускаемых на отдельно
> взятой машине?
Насколько я помню, было принято решение, что это /var/lib/ssl/certs/.
(Нашёл:
http://www.altlinux.ru/pipermail/devel/2002-September/006355.html)
> Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
> хранит сертификаты там где понравилось автору/пакаджеру пакета,
> что есть не очень хорошо.
>
> Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
> и внутри создавать структуру каталогов (?) для каждого сервиса,
> умеющего SSL/TLS (с соответствующм разграничением доступа)?
>
> Из плюсов:
> - монтировать /usr в read-only значительно проще чем /etc или /var;
> - упрощается контроль целостности сертификатов в случае размещения
> их всех в одном, оговоренном, месте;
>
> Из минусов:
> - патчить все существующие сервисы на предмет размещения
> сертификатов;
> - поддерживать внесенные измененияж
- это не соответствует правилу о том, что то, что лежит в /usr/ (без
local/), предоставляется утсановкой дистрибутива. Местная конфигурация
попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в /var/.
--
С наилучшими пожеланиями,
Иван Захарьящев, Москва
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] [Q]Общесистемныйкаталог для SSL-сертификатов.
2003-01-06 19:00 ` Ivan Zakharyaschev
@ 2003-01-07 5:43 ` Dmitry Lebkov
2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin
0 siblings, 1 reply; 7+ messages in thread
From: Dmitry Lebkov @ 2003-01-07 5:43 UTC (permalink / raw)
To: devel
On Mon, 6 Jan 2003 22:00:21 +0300 (MSK)
Ivan Zakharyaschev <imz@altlinux.ru> wrote:
> Hello, Dmitry!
>
> On Tue, 7 Jan 2003, Dmitry Lebkov wrote:
>
> > Есть ли в нас в системе какой-нить общий каталог, куда следует
> > складывать SSL-сертификаты сервисов, запускаемых на отдельно
> > взятой машине?
>
> Насколько я помню, было принято решение, что это /var/lib/ssl/certs/.
>
> (Нашёл:
> http://www.altlinux.ru/pipermail/devel/2002-September/006355.html)
Спасибо за линк. К сожалению, я упустил это обсуждение ... :(
>
> > Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
> > хранит сертификаты там где понравилось автору/пакаджеру пакета,
> > что есть не очень хорошо.
> >
> > Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
> > и внутри создавать структуру каталогов (?) для каждого сервиса,
> > умеющего SSL/TLS (с соответствующм разграничением доступа)?
> >
> > Из плюсов:
> > - монтировать /usr в read-only значительно проще чем /etc или /var;
> > - упрощается контроль целостности сертификатов в случае размещения
> > их всех в одном, оговоренном, месте;
> >
> > Из минусов:
> > - патчить все существующие сервисы на предмет размещения
> > сертификатов;
> > - поддерживать внесенные измененияж
>
> - это не соответствует правилу о том, что то, что лежит в /usr/ (без
> local/), предоставляется утсановкой дистрибутива. Местная конфигурация
> попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в
> /var/.
Может я непонятно объяснил, но имелось ввиду следующее:
собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
производится в каталоге /etc/courier-imap/ssl. Создание
сертификатов (самоподписанных) возможно на стадии %post. Т.е.
это вроде бы попадает под определение "предоставляется установкой
дистрибутива"?
Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
администратор, в случае устаревания) - им не место в /var. И т.к.
это достаточно критичная составляющая сервиса (очень плохо, если
кто-то сможет стащить незащищенные сертификаты сервера, а они не
закрыты паролем для того, чтоб сервис стартовал автоматом, при
старте системы) - доступ в католг, содержащий сертификаты должен
быть ограничен по-максимуму.
Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl
засунуть, но это как-то неправильно.
По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
Я думаю, что этот каталог имеет смысл пользовать для _создания_
сертификатов, предназначенных для других сервисов/хостов на, локальной
машине. Но как место хранения сертификатов локальных сервисов он не
подходит.
"Истертый" вопрос - что делать? %)
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: systemwide directories for SSL certificates
2003-01-07 5:43 ` [devel] [Q]Общесистемныйкаталог " Dmitry Lebkov
@ 2003-01-07 11:06 ` Dmitry V. Levin
2003-01-07 13:43 ` Dmitry Lebkov
0 siblings, 1 reply; 7+ messages in thread
From: Dmitry V. Levin @ 2003-01-07 11:06 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1715 bytes --]
On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote:
> Может я непонятно объяснил, но имелось ввиду следующее:
> собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> производится в каталоге /etc/courier-imap/ssl. Создание
> сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> это вроде бы попадает под определение "предоставляется установкой
> дистрибутива"?
Нет.
Администратор вправе заменить эти сертификаты по своему желанию.
> Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> администратор, в случае устаревания) - им не место в /var. И т.к.
Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?
> это достаточно критичная составляющая сервиса (очень плохо, если
> кто-то сможет стащить незащищенные сертификаты сервера, а они не
> закрыты паролем для того, чтоб сервис стартовал автоматом, при
> старте системы) - доступ в католг, содержащий сертификаты должен
> быть ограничен по-максимуму.
>
> Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl
> засунуть, но это как-то неправильно.
Обратите внимание на %attr(700,root,root) /var/lib/ssl/private
> По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
> Я думаю, что этот каталог имеет смысл пользовать для _создания_
> сертификатов, предназначенных для других сервисов/хостов на, локальной
> машине. Но как место хранения сертификатов локальных сервисов он не
> подходит.
По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не так
ли?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: systemwide directories for SSL certificates
2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin
@ 2003-01-07 13:43 ` Dmitry Lebkov
2003-01-07 14:21 ` Dmitry V. Levin
0 siblings, 1 reply; 7+ messages in thread
From: Dmitry Lebkov @ 2003-01-07 13:43 UTC (permalink / raw)
To: devel
On Tue, 7 Jan 2003 14:06:03 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:
> On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote:
> > Может я непонятно объяснил, но имелось ввиду следующее:
> > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> > производится в каталоге /etc/courier-imap/ssl. Создание
> > сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> > это вроде бы попадает под определение "предоставляется установкой
> > дистрибутива"?
>
> Нет.
> Администратор вправе заменить эти сертификаты по своему желанию.
>
> > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> > администратор, в случае устаревания) - им не место в /var. И т.к.
>
> Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?
Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило
следующее:
$ rpm -qf /etc/httpd/conf/ssl/server.crt
mod_ssl-2.8.12-alt1
$ rpm -qf /var/lib/ssl/certs/stunnel.pem
stunnel-3.22-alt2
Вот и начал метаться, куда бы положить этои @#$% сертификаты. %)
> > это достаточно критичная составляющая сервиса (очень плохо, если
> > кто-то сможет стащить незащищенные сертификаты сервера, а они не
> > закрыты паролем для того, чтоб сервис стартовал автоматом, при
> > старте системы) - доступ в католг, содержащий сертификаты должен
> > быть ограничен по-максимуму.
> >
> > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> > сентябрьскому обсуждению). Можно, конечно и
> > в/usr/share/package_name/ssl засунуть, но это как-то неправильно.
>
> Обратите внимание на %attr(700,root,root) /var/lib/ssl/private
Это понятно. В пакете так и буду делать, раз таковы требования
дистрибутива.
В размещении в /var cмущает только одно - невозможность
монтирования в R/O.
>
> > По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
> > Я думаю, что этот каталог имеет смысл пользовать для _создания_
> > сертификатов, предназначенных для других сервисов/хостов на,
> > локальной машине. Но как место хранения сертификатов локальных
> > сервисов он не подходит.
>
> По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не
> так ли?
Наверняка. Но моя паранойя не позволяет мне использовать /var для
хранения сертификатов :) (но это уже к делу не относится).
Спасибо всем, ответившим. Пойду "дотачивать" пакет.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: systemwide directories for SSL certificates
2003-01-07 13:43 ` Dmitry Lebkov
@ 2003-01-07 14:21 ` Dmitry V. Levin
2003-01-08 9:32 ` [devel] " Michael Shigorin
0 siblings, 1 reply; 7+ messages in thread
From: Dmitry V. Levin @ 2003-01-07 14:21 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 2010 bytes --]
On Tue, Jan 07, 2003 at 11:43:02PM +1000, Dmitry Lebkov wrote:
> > > Может я непонятно объяснил, но имелось ввиду следующее:
> > > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> > > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> > > производится в каталоге /etc/courier-imap/ssl. Создание
> > > сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> > > это вроде бы попадает под определение "предоставляется установкой
> > > дистрибутива"?
> >
> > Нет.
> > Администратор вправе заменить эти сертификаты по своему желанию.
> >
> > > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> > > администратор, в случае устаревания) - им не место в /var. И т.к.
> >
> > Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?
>
> Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило
> следующее:
>
> $ rpm -qf /etc/httpd/conf/ssl/server.crt
> mod_ssl-2.8.12-alt1
>
> $ rpm -qf /var/lib/ssl/certs/stunnel.pem
> stunnel-3.22-alt2
>
> Вот и начал метаться, куда бы положить этои @#$% сертификаты. %)
"Кто - в лес, кто - по дрова"?
> > > это достаточно критичная составляющая сервиса (очень плохо, если
> > > кто-то сможет стащить незащищенные сертификаты сервера, а они не
> > > закрыты паролем для того, чтоб сервис стартовал автоматом, при
> > > старте системы) - доступ в католг, содержащий сертификаты должен
> > > быть ограничен по-максимуму.
> > >
> > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> > > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> > > сентябрьскому обсуждению). Можно, конечно и
> > > в/usr/share/package_name/ssl засунуть, но это как-то неправильно.
> >
> > Обратите внимание на %attr(700,root,root) /var/lib/ssl/private
>
> Это понятно. В пакете так и буду делать, раз таковы требования
> дистрибутива.
>
> В размещении в /var cмущает только одно - невозможность
> монтирования в R/O.
Администратор может поместить этот каталог на readonly-раздел.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* [devel] Re: Q: systemwide directories for SSL certificates
2003-01-07 14:21 ` Dmitry V. Levin
@ 2003-01-08 9:32 ` Michael Shigorin
0 siblings, 0 replies; 7+ messages in thread
From: Michael Shigorin @ 2003-01-08 9:32 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 421 bytes --]
On Tue, Jan 07, 2003 at 05:21:40PM +0300, Dmitry V. Levin wrote:
> > $ rpm -qf /etc/httpd/conf/ssl/server.crt
> > mod_ssl-2.8.12-alt1
> "Кто - в лес, кто - по дрова"?
Там еще один check/fix к mod_ssl нужен -- он свою конфигурацию
как-то странно перекладывает/трогает. Были жалобы на грабли при
ALM2+=updates.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2003-01-08 9:32 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-01-06 15:10 [devel] [Q]Общесистемный каталог для SSL-сертификатов Dmitry Lebkov
2003-01-06 19:00 ` Ivan Zakharyaschev
2003-01-07 5:43 ` [devel] [Q]Общесистемныйкаталог " Dmitry Lebkov
2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin
2003-01-07 13:43 ` Dmitry Lebkov
2003-01-07 14:21 ` Dmitry V. Levin
2003-01-08 9:32 ` [devel] " Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git