On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote:
> Может я непонятно объяснил, но имелось ввиду следующее:
> собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> производится в каталоге /etc/courier-imap/ssl. Создание
> сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> это вроде бы попадает под определение "предоставляется установкой
> дистрибутива"?

Нет.
Администратор вправе заменить эти сертификаты по своему желанию.

> Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> администратор, в случае устаревания) - им не место в /var. И т.к.

Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?

> это достаточно критичная составляющая сервиса (очень плохо, если
> кто-то сможет стащить незащищенные сертификаты сервера, а они не
> закрыты паролем для того, чтоб сервис стартовал автоматом, при
> старте системы) - доступ в католг, содержащий сертификаты должен
> быть ограничен по-максимуму.
> 
> Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl
> засунуть, но это как-то неправильно.

Обратите внимание на %attr(700,root,root) /var/lib/ssl/private

> По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
> Я думаю, что этот каталог имеет смысл пользовать для _создания_
> сертификатов, предназначенных для других сервисов/хостов на, локальной
> машине. Но как место хранения сертификатов локальных сервисов он не
> подходит.

По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не так
ли?


--
ldv